sécurité des mots de passe
Le
siger
Pour un bon mot de passe, il est d'usage de dire qu'il faut au moins
une minuscule, une majuscule, un chiffre et un caractère spécial.
Ça semble logique, mais finalement peut-être pas : un logiciel qui
cherche un mot de passe ne sais pas comment il est conçu, il ignore si
ce ne sont que des lettres minuscules par exemple, donc il cherche sur
la totalité des possibilités, non ?
Ou alors c'est parce que la recherche se fait dans un ordre ? Par
exemple d'abord les minuscules, puis les majuscules, puis les chiffres,
puis un mélange de 2, puis un mélange de 3 ?
--
siger
une minuscule, une majuscule, un chiffre et un caractère spécial.
Ça semble logique, mais finalement peut-être pas : un logiciel qui
cherche un mot de passe ne sais pas comment il est conçu, il ignore si
ce ne sont que des lettres minuscules par exemple, donc il cherche sur
la totalité des possibilités, non ?
Ou alors c'est parce que la recherche se fait dans un ordre ? Par
exemple d'abord les minuscules, puis les majuscules, puis les chiffres,
puis un mélange de 2, puis un mélange de 3 ?
--
siger
Poser une question
Oui et non
Les attaques se font généralement par dictionnaire, il n'y a donc pas à
proprement parler de traitement de faveur pour les majuscules et les
caractères spéciaux.
Mais le fait d'en avoir rend la probabilité de trouver le mot de passe
BEAUCOUP plus faible.
Par exemple avec un mot de passe de 5 caratères uniquement en minuscules, il
n'y a «que» 11 881 376 possibilités. Avec 1ms par tentative, il faudrait
3.3 heures, ce qui semble réalisable.
Le simple fait d'ajouter les majuscules fait exploser la combinatoire à
380 204 032 possibilités, soit 4.4 jours ce qui est déjà beaucoup plus
difficile à réaliser sans se faire détecter avant.
Avec une 10aine de caractères spéciaux en plus, on monte à 916 132 832
possibilités, soit 10.6 jours de calculs! En plus de ça le mot de passe n'a
aucune raison de se trouver dans une attaque par dictionnaire «classique»
qui se limite à des termes connus.
Si on passe à 10 caractères avec majuscules et caractères spéciaux, on en
arrive à 839 299 365 868 340 200 possibilités et 26 614 008 années de
traitement. Autant dire que le mot de passe a une probabilité quasi-nulle
(mais pas nulle!) d'être trouvé par bruteforce…
Ça ne rendra donc pas ton mot de passe inviolable mais ça découragera et
rendra totalement inutile toute tentative de bruteforce dessus.
--
Aeris
Quand tu vois la politique de securité des mot de passe de certaines
entreprise le taux de reussite se situe plutot du coté des 3h30 que
des 4 jours.
--
Travailler plus pour gagner plus pour quoi faire ?
Pour finir par divorcer parce qu'on est pas souvent à la maison ou faire un malaise vagal et creuser le trou de la sécu ?
Oui, mais ce que tu dis signifie que le logiciel cherche d'abord avec
uniquement des minuscules. S'il essaye tout de suite des combinaisons
majuscules + minuscules, il doit chercher parmi les 380 204 032
possibilités pour trouver un mot en minuscules. Enfin il me semble.
--
siger
Oui et puis bon, même si les "pros" ont de bon mots de passe, il n'en
reste pas moins que l'attaque la plus efficace, c'est l'engineering social.
Comme les blaireaux d'une firme de "sécurité" (avec de gros guillemets)
célèbre qui s'est fait r00ter après avoir divulgué le mot de pass root
du serveur par email à un type qui se faisait passer pour le boss:
http://arstechnica.com/tech-policy/...-hack.ars/
(Je passe sur les autres failles, tout aussi hilarantes - la firme en
question a renoncé à ses conférences à la RSA pour qu'on se foute pas de
sa gueule de manière trop visible)
On dit tellement de choses sur les mots de passes.
Cela va dépendre de ton logiciel de cassage de mdp; tout ça se configure.
Néanmoins, les stratégies de mot de passes sont tout de même curieuses,
cf ce petit quizz:
-Quel est le meilleur mot de passe Windows ?
1. Bonjour
2. Bonjour123
3. 3!
4. AAAAAAAAAAAAAAA
Réponse sur
--
Kevin