> la même que de deviner ton mot de passe sans aucun renseignement
Alors CA c'est ce qu'on appelle une "probabilité générale faussée" car la saine logique intervient dans le processus, par elimination. Sachant que la plupart des zigottos utilisent des mdp simples, voir achi-simple. Dans un très grande entreprise le service informatique a fait une étude (7000 PC) et constaté que:
PLus de 20% des employés utilisaient uniquement des chiffres et la plupart de ces pluparts encodaient leur date de naissance ou celle d'un de leurs enfants.
Dans les 50% qui n'utilisent que des lettres (et aucun chiffre) la plupart utilisent des prénoms ou des noms propres connus. Et il y en avait quand même 7 de l'échantillons qui avaient mis carrément "password".
Les enquêteurs ont aussi constaté qu'un bon quart des employés avaient collé un papier sous leur clavier avec le mdp écrit dessus.
Et il est apparu qu'il n' avait aucun problème si un employé demandait à un de ses collègues de lui donner son pwd en prétextant les excuses les plus banales.
Plus de 60% utilisaient la même casse pour toutes les lettres de leur mdp et...... seulement 3(trois) pourcents utilisaient un mélange lettres/chiffre/caractères.
Personne, je dis bien "personne", n'avais changé son mdp depuis 6 mois. Raison évoquée: "on" ne m'a rien demandé.
Cela semble réaliste, ceci dit nous forçons les utilisateurs à avoir des mots de passe un peu plus sécurisés, et de temps à autre nous faisons tourner un logiciel de craquage. Résulat, environ 3% des mots de passes sont non sécurisés et craquables si on a accès aux hash.
La politique qui demande de changer son mdp régulièrement est à double tranchants : si on change trop souvent, alors il faut écrire son mot de passe pour s'en souvenir. Donc la sécurité est plus faible.
FiLH
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
Richard <garetgv_remove_@skynet.be> wrote:
> la même que de deviner ton mot de passe sans aucun renseignement
Alors CA c'est ce qu'on appelle une "probabilité générale faussée"
car la saine logique intervient dans le processus, par elimination.
Sachant que la plupart des zigottos utilisent des mdp simples,
voir achi-simple. Dans un très grande entreprise le service
informatique a fait une étude (7000 PC) et constaté que:
PLus de 20% des employés utilisaient uniquement des chiffres
et la plupart de ces pluparts encodaient leur date de naissance
ou celle d'un de leurs enfants.
Dans les 50% qui n'utilisent que des lettres (et aucun chiffre)
la plupart utilisent des prénoms ou des noms propres connus.
Et il y en avait quand même 7 de l'échantillons qui avaient
mis carrément "password".
Les enquêteurs ont aussi constaté qu'un bon quart des employés
avaient collé un papier sous leur clavier avec le mdp écrit dessus.
Et il est apparu qu'il n' avait aucun problème si un employé
demandait à un de ses collègues de lui donner son pwd en
prétextant les excuses les plus banales.
Plus de 60% utilisaient la même casse pour toutes les lettres
de leur mdp et...... seulement 3(trois) pourcents utilisaient
un mélange lettres/chiffre/caractères.
Personne, je dis bien "personne", n'avais changé son mdp
depuis 6 mois. Raison évoquée: "on" ne m'a rien demandé.
Cela semble réaliste, ceci dit nous forçons les utilisateurs à avoir des
mots de passe un peu plus sécurisés, et de temps à autre nous faisons
tourner un logiciel de craquage. Résulat, environ 3% des mots de passes
sont non sécurisés et craquables si on a accès aux hash.
La politique qui demande de changer son mdp régulièrement est à double
tranchants : si on change trop souvent, alors il faut écrire son mot de
passe pour s'en souvenir. Donc la sécurité est plus faible.
FiLH
--
Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire
une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle.
Roland Barthes.
http://www.filh.org
> la même que de deviner ton mot de passe sans aucun renseignement
Alors CA c'est ce qu'on appelle une "probabilité générale faussée" car la saine logique intervient dans le processus, par elimination. Sachant que la plupart des zigottos utilisent des mdp simples, voir achi-simple. Dans un très grande entreprise le service informatique a fait une étude (7000 PC) et constaté que:
PLus de 20% des employés utilisaient uniquement des chiffres et la plupart de ces pluparts encodaient leur date de naissance ou celle d'un de leurs enfants.
Dans les 50% qui n'utilisent que des lettres (et aucun chiffre) la plupart utilisent des prénoms ou des noms propres connus. Et il y en avait quand même 7 de l'échantillons qui avaient mis carrément "password".
Les enquêteurs ont aussi constaté qu'un bon quart des employés avaient collé un papier sous leur clavier avec le mdp écrit dessus.
Et il est apparu qu'il n' avait aucun problème si un employé demandait à un de ses collègues de lui donner son pwd en prétextant les excuses les plus banales.
Plus de 60% utilisaient la même casse pour toutes les lettres de leur mdp et...... seulement 3(trois) pourcents utilisaient un mélange lettres/chiffre/caractères.
Personne, je dis bien "personne", n'avais changé son mdp depuis 6 mois. Raison évoquée: "on" ne m'a rien demandé.
Cela semble réaliste, ceci dit nous forçons les utilisateurs à avoir des mots de passe un peu plus sécurisés, et de temps à autre nous faisons tourner un logiciel de craquage. Résulat, environ 3% des mots de passes sont non sécurisés et craquables si on a accès aux hash.
La politique qui demande de changer son mdp régulièrement est à double tranchants : si on change trop souvent, alors il faut écrire son mot de passe pour s'en souvenir. Donc la sécurité est plus faible.
FiLH
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
filh
jdd wrote:
Le 25/01/2013 00:24, Richard a écrit : >> la même que de deviner ton mot de passe sans aucun renseignement > > Alors CA c'est ce qu'on appelle une "probabilité générale faussée" > car la saine logique intervient dans le processus, par elimination. > Sachant que la plupart des zigottos utilisent des mdp simples, > voir achi-simple. Dans un très grande entreprise le service > informatique a fait une étude (7000 PC) et constaté que:
si tu ne connais pas l'utilisateur... tout ca ne veut rien dire. Quel mot de passe va utiliser un coréen?
Les dictionnaires coréens sont disponnibles. Quand je fais ma tournée de craquage je charge les dictionnaires des langues des utilisateurs de mon système.
jdd
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
jdd <jdd@dodin.org> wrote:
Le 25/01/2013 00:24, Richard a écrit :
>> la même que de deviner ton mot de passe sans aucun renseignement
>
> Alors CA c'est ce qu'on appelle une "probabilité générale faussée"
> car la saine logique intervient dans le processus, par elimination.
> Sachant que la plupart des zigottos utilisent des mdp simples,
> voir achi-simple. Dans un très grande entreprise le service
> informatique a fait une étude (7000 PC) et constaté que:
si tu ne connais pas l'utilisateur... tout ca ne veut rien dire. Quel
mot de passe va utiliser un coréen?
Les dictionnaires coréens sont disponnibles. Quand je fais ma tournée de
craquage je charge les dictionnaires des langues des utilisateurs de mon
système.
jdd
--
Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire
une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle.
Roland Barthes.
http://www.filh.org
Le 25/01/2013 00:24, Richard a écrit : >> la même que de deviner ton mot de passe sans aucun renseignement > > Alors CA c'est ce qu'on appelle une "probabilité générale faussée" > car la saine logique intervient dans le processus, par elimination. > Sachant que la plupart des zigottos utilisent des mdp simples, > voir achi-simple. Dans un très grande entreprise le service > informatique a fait une étude (7000 PC) et constaté que:
si tu ne connais pas l'utilisateur... tout ca ne veut rien dire. Quel mot de passe va utiliser un coréen?
Les dictionnaires coréens sont disponnibles. Quand je fais ma tournée de craquage je charge les dictionnaires des langues des utilisateurs de mon système.
jdd
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
filh
Alf92 wrote:
FiLH a écrit : > Stephane Legras-Decussy wrote: > >> Le 24/01/2013 09:54, jdd a écrit : >>> >>> a non! sur mes serveurs, je ne connais pas les mots de passe des >>> usagers, >> >> ya un truc qui m'échappe ... si ton serveur ne connait >> pas le log/pass de l'usager, comment sait-il qu'il est correct ? > > Enhaurme... > > et ce mec vient donner des leçons d'informatique sur le forum
il y a un truc qu'il ignore dans un domaine qui n'est pas le sien, il demande. où est le pb ?
Dans les leçons qu'il tente de donner régulièrement sur le sujet.
Ah oui mais c'est ton copain donc ta la mémoire qui flanche :)
FiLH
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
Alf92 <alf921@gmail.com> wrote:
FiLH <filh@filh.orgie> a écrit :
> Stephane Legras-Decussy <admin@barilla.com> wrote:
>
>> Le 24/01/2013 09:54, jdd a écrit :
>>>
>>> a non! sur mes serveurs, je ne connais pas les mots de passe des
>>> usagers,
>>
>> ya un truc qui m'échappe ... si ton serveur ne connait
>> pas le log/pass de l'usager, comment sait-il qu'il est correct ?
>
> Enhaurme...
>
> et ce mec vient donner des leçons d'informatique sur le forum
il y a un truc qu'il ignore dans un domaine qui n'est pas le sien, il
demande. où est le pb ?
Dans les leçons qu'il tente de donner régulièrement sur le sujet.
Ah oui mais c'est ton copain donc ta la mémoire qui flanche :)
FiLH
--
Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire
une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle.
Roland Barthes.
http://www.filh.org
FiLH a écrit : > Stephane Legras-Decussy wrote: > >> Le 24/01/2013 09:54, jdd a écrit : >>> >>> a non! sur mes serveurs, je ne connais pas les mots de passe des >>> usagers, >> >> ya un truc qui m'échappe ... si ton serveur ne connait >> pas le log/pass de l'usager, comment sait-il qu'il est correct ? > > Enhaurme... > > et ce mec vient donner des leçons d'informatique sur le forum
il y a un truc qu'il ignore dans un domaine qui n'est pas le sien, il demande. où est le pb ?
Dans les leçons qu'il tente de donner régulièrement sur le sujet.
Ah oui mais c'est ton copain donc ta la mémoire qui flanche :)
FiLH
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
filh
Stephane Legras-Decussy wrote:
On 01/24/2013 08:11 PM, FiLH wrote: > > > et ce mec vient donner des leçons d'informatique sur le forum >
informatique industrielle... il a toujours pas pigé la différence
Moi oui, toi non, vu les leçons que tu donnes régulièrement.
FiLH
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
On 01/24/2013 08:11 PM, FiLH wrote:
>
>
> et ce mec vient donner des leçons d'informatique sur le forum
>
informatique industrielle...
il a toujours pas pigé la différence
Moi oui, toi non, vu les leçons que tu donnes régulièrement.
FiLH
--
Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire
une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle.
Roland Barthes.
http://www.filh.org
On 01/24/2013 08:11 PM, FiLH wrote: > > > et ce mec vient donner des leçons d'informatique sur le forum >
informatique industrielle... il a toujours pas pigé la différence
Moi oui, toi non, vu les leçons que tu donnes régulièrement.
FiLH
-- Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle. Roland Barthes. http://www.filh.org
jdd
Le 25/01/2013 20:20, FiLH a écrit :
jdd wrote:
si tu ne connais pas l'utilisateur... tout ca ne veut rien dire. Quel mot de passe va utiliser un coréen?
Les dictionnaires coréens sont disponnibles. Quand je fais ma tournée de craquage je charge les dictionnaires des langues des utilisateurs de mon système.
certes, mais dans le cas de mega il faut charger tous les doctionnaires...
ceci dit, dans ce cas précis (mega), la discussion est sans objet: le codage n'est là que comme argument *légal*. Un juge ne va pas te demander de cracker le cryptage de tes clients!
jdd
-- http://www.dodin.net Le wiki des forums son-image français: http://dodin.org/frsv/ http://jddtube.dodin.org/20120616-52-highway_v1115
Le 25/01/2013 20:20, FiLH a écrit :
jdd <jdd@dodin.org> wrote:
si tu ne connais pas l'utilisateur... tout ca ne veut rien dire. Quel
mot de passe va utiliser un coréen?
Les dictionnaires coréens sont disponnibles. Quand je fais ma tournée de
craquage je charge les dictionnaires des langues des utilisateurs de mon
système.
certes, mais dans le cas de mega il faut charger tous les doctionnaires...
ceci dit, dans ce cas précis (mega), la discussion est sans objet: le
codage n'est là que comme argument *légal*. Un juge ne va pas te
demander de cracker le cryptage de tes clients!
jdd
--
http://www.dodin.net
Le wiki des forums son-image français: http://dodin.org/frsv/
http://jddtube.dodin.org/20120616-52-highway_v1115
si tu ne connais pas l'utilisateur... tout ca ne veut rien dire. Quel mot de passe va utiliser un coréen?
Les dictionnaires coréens sont disponnibles. Quand je fais ma tournée de craquage je charge les dictionnaires des langues des utilisateurs de mon système.
certes, mais dans le cas de mega il faut charger tous les doctionnaires...
ceci dit, dans ce cas précis (mega), la discussion est sans objet: le codage n'est là que comme argument *légal*. Un juge ne va pas te demander de cracker le cryptage de tes clients!
jdd
-- http://www.dodin.net Le wiki des forums son-image français: http://dodin.org/frsv/ http://jddtube.dodin.org/20120616-52-highway_v1115
Tonton Th
On 01/24/2013 10:48 PM, Stephane Legras-Decussy a dit:
Mais quel doctorant reconnu, ce SLD !
oui et je jouerais bien au docteur avec ta mère ...
Parce qu'en plus, tu es nécrophile ?
--
Nous vivons dans un monde étrange/ http://foo.bar.quux.over-blog.com/
On 01/24/2013 10:48 PM, Stephane Legras-Decussy a dit:
Mais quel doctorant reconnu, ce SLD !
oui et je jouerais bien au docteur avec ta mère ...
Parce qu'en plus, tu es nécrophile ?
--
Nous vivons dans un monde étrange/
http://foo.bar.quux.over-blog.com/
Un juge ne va pas te demander de cracker le cryptage de tes clients!
pas sur ...
la faisabilité technique doit être prise en compte...
sinon dans ce cas un cryptage trivial genre n = n+1 suffit à dire que c'est crypté et que tu ne peux pas savoir que c'est le dernier Batman ...
Richard
Un juge ne va pas te demander de cracker le cryptage de tes clients!
Ca reste encore à démontrer. Il n'y a pas si longtemps un projet de législation américaine (basée sur les lois anti-terrorisme) prévoyait que toute personne qui utilisait un système de cryptage pour transmettre des fichiers sur le territoire américains devait déposer une clé de décryptage auprès du ministère de la sécurité intérieure.
Un juge ne va pas te demander de cracker le cryptage de tes clients!
Ca reste encore à démontrer. Il n'y a pas si longtemps
un projet de législation américaine (basée sur les lois
anti-terrorisme) prévoyait que toute personne qui utilisait
un système de cryptage pour transmettre des fichiers sur
le territoire américains devait déposer une clé de
décryptage auprès du ministère de la sécurité intérieure.
Un juge ne va pas te demander de cracker le cryptage de tes clients!
Ca reste encore à démontrer. Il n'y a pas si longtemps un projet de législation américaine (basée sur les lois anti-terrorisme) prévoyait que toute personne qui utilisait un système de cryptage pour transmettre des fichiers sur le territoire américains devait déposer une clé de décryptage auprès du ministère de la sécurité intérieure.
jdd
Le 26/01/2013 18:34, Richard a écrit :
Un juge ne va pas te demander de cracker le cryptage de tes clients!
Ca reste encore à démontrer. Il n'y a pas si longtemps un projet de législation américaine (basée sur les lois anti-terrorisme) prévoyait que toute personne qui utilisait un système de cryptage pour transmettre des fichiers sur le territoire américains devait déposer une clé de décryptage auprès du ministère de la sécurité intérieure.
peut-être auprès du ministère, et encore sans doute a n'utiliser qu'à la demande d'un juge, mais un hébergeur n'a pas le droit de lire les fichiers de ses clients, encore moins de cracker un fichier crypté (encore heureux)
jdd
-- http://www.dodin.net Le wiki des forums son-image français: http://dodin.org/frsv/ http://jddtube.dodin.org/20120616-52-highway_v1115
Le 26/01/2013 18:34, Richard a écrit :
Un juge ne va pas te demander de cracker le cryptage de tes clients!
Ca reste encore à démontrer. Il n'y a pas si longtemps
un projet de législation américaine (basée sur les lois
anti-terrorisme) prévoyait que toute personne qui utilisait
un système de cryptage pour transmettre des fichiers sur
le territoire américains devait déposer une clé de
décryptage auprès du ministère de la sécurité intérieure.
peut-être auprès du ministère, et encore sans doute a n'utiliser qu'à
la demande d'un juge, mais un hébergeur n'a pas le droit de lire les
fichiers de ses clients, encore moins de cracker un fichier crypté
(encore heureux)
jdd
--
http://www.dodin.net
Le wiki des forums son-image français: http://dodin.org/frsv/
http://jddtube.dodin.org/20120616-52-highway_v1115
Un juge ne va pas te demander de cracker le cryptage de tes clients!
Ca reste encore à démontrer. Il n'y a pas si longtemps un projet de législation américaine (basée sur les lois anti-terrorisme) prévoyait que toute personne qui utilisait un système de cryptage pour transmettre des fichiers sur le territoire américains devait déposer une clé de décryptage auprès du ministère de la sécurité intérieure.
peut-être auprès du ministère, et encore sans doute a n'utiliser qu'à la demande d'un juge, mais un hébergeur n'a pas le droit de lire les fichiers de ses clients, encore moins de cracker un fichier crypté (encore heureux)
jdd
-- http://www.dodin.net Le wiki des forums son-image français: http://dodin.org/frsv/ http://jddtube.dodin.org/20120616-52-highway_v1115
