J'ai bien compris. Ce que je dis c'est que mettre mon /boot sur une clé
USB n'est pas plus contraignant que d'utiliser une clé de chiffrement
(au lieu d'une paraphrase) stockée sur une clé USB ; dans les deux cas,
il faut la clé USB pour démarrer donc la contrainte est la même.
D'ailleurs je me demande si TPM ne pourrait pas apporter une aide dans
ce processus (à vrai dire, ça fait une paye que je me dis que je vais me
pencher dessus et je ne l'ai que survolé donc je ne sais pas vraiment).
<pub gratuite>
http://2010.rmll.info/IMG/pdf/06_denis_article-2.pdf
</pub>
J'ai juste survolé la partie TPM et, si j'ai bien compris, ça permet de
contourner le problème (le chiffrement du disque n'est pas une sécurité
suffisante) que tu évoques quelques messages plus haut.
Administration du système
Bref, les exemples ne manquent pas et pourtant la sécurité ça passe
forcément par là. Maintenant, si tu connais de la sécurité sans
contrainte, j'attends avec impatience des exemples.
J'ai bien compris. Ce que je dis c'est que mettre mon /boot sur une clé
USB n'est pas plus contraignant que d'utiliser une clé de chiffrement
(au lieu d'une paraphrase) stockée sur une clé USB ; dans les deux cas,
il faut la clé USB pour démarrer donc la contrainte est la même.
D'ailleurs je me demande si TPM ne pourrait pas apporter une aide dans
ce processus (à vrai dire, ça fait une paye que je me dis que je vais me
pencher dessus et je ne l'ai que survolé donc je ne sais pas vraiment).
<pub gratuite>
http://2010.rmll.info/IMG/pdf/06_denis_article-2.pdf
</pub>
J'ai juste survolé la partie TPM et, si j'ai bien compris, ça permet de
contourner le problème (le chiffrement du disque n'est pas une sécurité
suffisante) que tu évoques quelques messages plus haut.
Administration du système
Bref, les exemples ne manquent pas et pourtant la sécurité ça passe
forcément par là. Maintenant, si tu connais de la sécurité sans
contrainte, j'attends avec impatience des exemples.
J'ai bien compris. Ce que je dis c'est que mettre mon /boot sur une clé
USB n'est pas plus contraignant que d'utiliser une clé de chiffrement
(au lieu d'une paraphrase) stockée sur une clé USB ; dans les deux cas,
il faut la clé USB pour démarrer donc la contrainte est la même.
D'ailleurs je me demande si TPM ne pourrait pas apporter une aide dans
ce processus (à vrai dire, ça fait une paye que je me dis que je vais me
pencher dessus et je ne l'ai que survolé donc je ne sais pas vraiment).
<pub gratuite>
http://2010.rmll.info/IMG/pdf/06_denis_article-2.pdf
</pub>
J'ai juste survolé la partie TPM et, si j'ai bien compris, ça permet de
contourner le problème (le chiffrement du disque n'est pas une sécurité
suffisante) que tu évoques quelques messages plus haut.
Administration du système
Bref, les exemples ne manquent pas et pourtant la sécurité ça passe
forcément par là. Maintenant, si tu connais de la sécurité sans
contrainte, j'attends avec impatience des exemples.
Bref, les exemples ne manquent pas et pourtant la sécurité ça passe
forcément par là. Maintenant, si tu connais de la sécurité sans
contrainte, j'attends avec impatience des exemples.
Sans contrainte pour l'utilisateur final. Un exemple: le https.
L'utilisateur ne sait même pas que ça existe, au final, c'est
sécurisé [1].
Le WPA en lieu et place de WEP.
Le DEP
ou l'ALSR. La segmentation de la mémoire. Tout ça c'est
invisible pour l'utilisateur; au final, c'est de la sécurité.
Bitlocker, c'est très bien: le disque est chiffré sans mot de passe!
L'utilisateur lance le système, et il démarre sans rien demander
a l'utilisateur.
Taper ssh au lieu de telnet.
Obliger l'utilisateur a employer des mots de passe de +9 caractères
avec maj min chiffrs symboles qui changent tous les 12 jours, c'est
de la sécurité mais qui ne sera jamais acceptée, et qui sera donc
contournée. Donc, il vaut mieux mettre cette idée à la corbeille et
trouver autre chose.
Bref, les exemples ne manquent pas et pourtant la sécurité ça passe
forcément par là. Maintenant, si tu connais de la sécurité sans
contrainte, j'attends avec impatience des exemples.
Sans contrainte pour l'utilisateur final. Un exemple: le https.
L'utilisateur ne sait même pas que ça existe, au final, c'est
sécurisé [1].
Le WPA en lieu et place de WEP.
Le DEP
ou l'ALSR. La segmentation de la mémoire. Tout ça c'est
invisible pour l'utilisateur; au final, c'est de la sécurité.
Bitlocker, c'est très bien: le disque est chiffré sans mot de passe!
L'utilisateur lance le système, et il démarre sans rien demander
a l'utilisateur.
Taper ssh au lieu de telnet.
Obliger l'utilisateur a employer des mots de passe de +9 caractères
avec maj min chiffrs symboles qui changent tous les 12 jours, c'est
de la sécurité mais qui ne sera jamais acceptée, et qui sera donc
contournée. Donc, il vaut mieux mettre cette idée à la corbeille et
trouver autre chose.
Bref, les exemples ne manquent pas et pourtant la sécurité ça passe
forcément par là. Maintenant, si tu connais de la sécurité sans
contrainte, j'attends avec impatience des exemples.
Sans contrainte pour l'utilisateur final. Un exemple: le https.
L'utilisateur ne sait même pas que ça existe, au final, c'est
sécurisé [1].
Le WPA en lieu et place de WEP.
Le DEP
ou l'ALSR. La segmentation de la mémoire. Tout ça c'est
invisible pour l'utilisateur; au final, c'est de la sécurité.
Bitlocker, c'est très bien: le disque est chiffré sans mot de passe!
L'utilisateur lance le système, et il démarre sans rien demander
a l'utilisateur.
Taper ssh au lieu de telnet.
Obliger l'utilisateur a employer des mots de passe de +9 caractères
avec maj min chiffrs symboles qui changent tous les 12 jours, c'est
de la sécurité mais qui ne sera jamais acceptée, et qui sera donc
contournée. Donc, il vaut mieux mettre cette idée à la corbeille et
trouver autre chose.
On Mon, 28 Feb 2011 18:05:44 +0100, Yannix
wrote:Ménonkilékon.
Ménonjesuipakon. Je te parie même que la secrétaire connait le mot de
passe de son patron... Du coup, le "taux de réussite" doit être de 5
minutes maxi. ;-)
Elle doit l'avoir sur le bout de la langue ;o))
On Mon, 28 Feb 2011 18:05:44 +0100, Yannix <faitmoipeur@gmail.com>
wrote:
Ménonkilékon.
Ménonjesuipakon. Je te parie même que la secrétaire connait le mot de
passe de son patron... Du coup, le "taux de réussite" doit être de 5
minutes maxi. ;-)
Elle doit l'avoir sur le bout de la langue ;o))
On Mon, 28 Feb 2011 18:05:44 +0100, Yannix
wrote:Ménonkilékon.
Ménonjesuipakon. Je te parie même que la secrétaire connait le mot de
passe de son patron... Du coup, le "taux de réussite" doit être de 5
minutes maxi. ;-)
Elle doit l'avoir sur le bout de la langue ;o))
Sans contrainte pour l'utilisateur final. Un exemple: le https.
L'utilisateur ne sait même pas que ça existe, au final, c'est
sécurisé [1].
Sans contrainte pour l'utilisateur final. Un exemple: le https.
L'utilisateur ne sait même pas que ça existe, au final, c'est
sécurisé [1].
Sans contrainte pour l'utilisateur final. Un exemple: le https.
L'utilisateur ne sait même pas que ça existe, au final, c'est
sécurisé [1].
1) je n'ai jamais vu un lecteur de disquette reflashable
Faut dire qu'à l'époque où les lecteurs de disquettes ont été conçus,
la mémoire Flash n'existait pas.
Ok, abus de langage. ;-) Ca pouvait être de l'EEPROM, quoi.
1) je n'ai jamais vu un lecteur de disquette reflashable
Faut dire qu'à l'époque où les lecteurs de disquettes ont été conçus,
la mémoire Flash n'existait pas.
Ok, abus de langage. ;-) Ca pouvait être de l'EEPROM, quoi.
1) je n'ai jamais vu un lecteur de disquette reflashable
Faut dire qu'à l'époque où les lecteurs de disquettes ont été conçus,
la mémoire Flash n'existait pas.
Ok, abus de langage. ;-) Ca pouvait être de l'EEPROM, quoi.
Sans contrainte pour l'utilisateur final. Un exemple: le https.
L'utilisateur ne sait même pas que ça existe, au final, c'est
sécurisé [1].
Heu.. oui et non. Un exemple, ma boite à mis en place depuis peu un
webmail accessible en https, or il se trouve que le certificat n'est pas
signé par une des autorités qui est installé chez le client où je
travaille actuellement. Résultat, à chaque fois que je me connecte, j'ai
le droit à un beau message et une belle couleur rouge à coté de la barre
d'adresse.
Le WPA en lieu et place de WEP.
Tiens, justement, combien de temps a-t-il fallu attendre avant que WPA
soit implémenté dans OpenBSD ? Je peux te dire que se fut pour moi
réellement contraignant.
Le DEP
Je connais pas mais le premier lien google me dis :
ou l'ALSR. La segmentation de la mémoire. Tout ça c'est
invisible pour l'utilisateur; au final, c'est de la sécurité.
Effectivement, tu as raison (ce n'est pas ce que j'ai en tête lorsque je
parle de sécurité pour l'utilisateur final). D'un autre coté, c'est un
peu comme si on parle d'un composant d'une serrure qui permet de
retarder son ouverture alors que la fenêtre d'à coté est grande ouverte.
Bitlocker, c'est très bien: le disque est chiffré sans mot de passe!
L'utilisateur lance le système, et il démarre sans rien demander
a l'utilisateur.
Je ne connais pas mais selon wikipedia, ça a quand même quelques
contraintes (TPM et/ou clé USB).
Obliger l'utilisateur a employer des mots de passe de +9 caractères
avec maj min chiffrs symboles qui changent tous les 12 jours, c'est
de la sécurité mais qui ne sera jamais acceptée, et qui sera donc
contournée. Donc, il vaut mieux mettre cette idée à la corbeille et
trouver autre chose.
Justement, pour en revenir au sujet du thread, je vois pas comment on
peu avoir une authentification par mot de passe sécurisée sans avoir un
mot de passe un minimum complexe. C'est une contrainte et je n'ai pas vu
de solution à ce problème (ou j'ai mal lu).
Sans contrainte pour l'utilisateur final. Un exemple: le https.
L'utilisateur ne sait même pas que ça existe, au final, c'est
sécurisé [1].
Heu.. oui et non. Un exemple, ma boite à mis en place depuis peu un
webmail accessible en https, or il se trouve que le certificat n'est pas
signé par une des autorités qui est installé chez le client où je
travaille actuellement. Résultat, à chaque fois que je me connecte, j'ai
le droit à un beau message et une belle couleur rouge à coté de la barre
d'adresse.
Le WPA en lieu et place de WEP.
Tiens, justement, combien de temps a-t-il fallu attendre avant que WPA
soit implémenté dans OpenBSD ? Je peux te dire que se fut pour moi
réellement contraignant.
Le DEP
Je connais pas mais le premier lien google me dis :
ou l'ALSR. La segmentation de la mémoire. Tout ça c'est
invisible pour l'utilisateur; au final, c'est de la sécurité.
Effectivement, tu as raison (ce n'est pas ce que j'ai en tête lorsque je
parle de sécurité pour l'utilisateur final). D'un autre coté, c'est un
peu comme si on parle d'un composant d'une serrure qui permet de
retarder son ouverture alors que la fenêtre d'à coté est grande ouverte.
Bitlocker, c'est très bien: le disque est chiffré sans mot de passe!
L'utilisateur lance le système, et il démarre sans rien demander
a l'utilisateur.
Je ne connais pas mais selon wikipedia, ça a quand même quelques
contraintes (TPM et/ou clé USB).
Obliger l'utilisateur a employer des mots de passe de +9 caractères
avec maj min chiffrs symboles qui changent tous les 12 jours, c'est
de la sécurité mais qui ne sera jamais acceptée, et qui sera donc
contournée. Donc, il vaut mieux mettre cette idée à la corbeille et
trouver autre chose.
Justement, pour en revenir au sujet du thread, je vois pas comment on
peu avoir une authentification par mot de passe sécurisée sans avoir un
mot de passe un minimum complexe. C'est une contrainte et je n'ai pas vu
de solution à ce problème (ou j'ai mal lu).
Sans contrainte pour l'utilisateur final. Un exemple: le https.
L'utilisateur ne sait même pas que ça existe, au final, c'est
sécurisé [1].
Heu.. oui et non. Un exemple, ma boite à mis en place depuis peu un
webmail accessible en https, or il se trouve que le certificat n'est pas
signé par une des autorités qui est installé chez le client où je
travaille actuellement. Résultat, à chaque fois que je me connecte, j'ai
le droit à un beau message et une belle couleur rouge à coté de la barre
d'adresse.
Le WPA en lieu et place de WEP.
Tiens, justement, combien de temps a-t-il fallu attendre avant que WPA
soit implémenté dans OpenBSD ? Je peux te dire que se fut pour moi
réellement contraignant.
Le DEP
Je connais pas mais le premier lien google me dis :
ou l'ALSR. La segmentation de la mémoire. Tout ça c'est
invisible pour l'utilisateur; au final, c'est de la sécurité.
Effectivement, tu as raison (ce n'est pas ce que j'ai en tête lorsque je
parle de sécurité pour l'utilisateur final). D'un autre coté, c'est un
peu comme si on parle d'un composant d'une serrure qui permet de
retarder son ouverture alors que la fenêtre d'à coté est grande ouverte.
Bitlocker, c'est très bien: le disque est chiffré sans mot de passe!
L'utilisateur lance le système, et il démarre sans rien demander
a l'utilisateur.
Je ne connais pas mais selon wikipedia, ça a quand même quelques
contraintes (TPM et/ou clé USB).
Obliger l'utilisateur a employer des mots de passe de +9 caractères
avec maj min chiffrs symboles qui changent tous les 12 jours, c'est
de la sécurité mais qui ne sera jamais acceptée, et qui sera donc
contournée. Donc, il vaut mieux mettre cette idée à la corbeille et
trouver autre chose.
Justement, pour en revenir au sujet du thread, je vois pas comment on
peu avoir une authentification par mot de passe sécurisée sans avoir un
mot de passe un minimum complexe. C'est une contrainte et je n'ai pas vu
de solution à ce problème (ou j'ai mal lu).
On Sat, 05 Mar 2011 14:29:08 +0100, Bruno Tréguier :1) je n'ai jamais vu un lecteur de disquette reflashable
Faut dire qu'à l'époque où les lecteurs de disquettes ont été conçus,
la mémoire Flash n'existait pas.
Ok, abus de langage. ;-) Ca pouvait être de l'EEPROM, quoi.
Justement, de l'EEPROM, ça ne s'efface pas comme ça, d'un coup de
baguette magique. Si mes souvenirs sont bons, il faut lui balancer du
24 volts dans les dents. Du coup, remplacer le contenu d'une EEPROM
par logiciel, je ne suis pas sûr que ça se fasse.
On Sat, 05 Mar 2011 14:29:08 +0100, Bruno Tréguier :
1) je n'ai jamais vu un lecteur de disquette reflashable
Faut dire qu'à l'époque où les lecteurs de disquettes ont été conçus,
la mémoire Flash n'existait pas.
Ok, abus de langage. ;-) Ca pouvait être de l'EEPROM, quoi.
Justement, de l'EEPROM, ça ne s'efface pas comme ça, d'un coup de
baguette magique. Si mes souvenirs sont bons, il faut lui balancer du
24 volts dans les dents. Du coup, remplacer le contenu d'une EEPROM
par logiciel, je ne suis pas sûr que ça se fasse.
On Sat, 05 Mar 2011 14:29:08 +0100, Bruno Tréguier :1) je n'ai jamais vu un lecteur de disquette reflashable
Faut dire qu'à l'époque où les lecteurs de disquettes ont été conçus,
la mémoire Flash n'existait pas.
Ok, abus de langage. ;-) Ca pouvait être de l'EEPROM, quoi.
Justement, de l'EEPROM, ça ne s'efface pas comme ça, d'un coup de
baguette magique. Si mes souvenirs sont bons, il faut lui balancer du
24 volts dans les dents. Du coup, remplacer le contenu d'une EEPROM
par logiciel, je ne suis pas sûr que ça se fasse.
Le 06/03/2011 à 7:00, Fabien LE LEZ a écrit :On Sat, 05 Mar 2011 14:29:08 +0100, Bruno Tréguier :1) je n'ai jamais vu un lecteur de disquette reflashable
Faut dire qu'à l'époque où les lecteurs de disquettes ont été conçus,
la mémoire Flash n'existait pas.
Ok, abus de langage. ;-) Ca pouvait être de l'EEPROM, quoi.
Justement, de l'EEPROM, ça ne s'efface pas comme ça, d'un coup de
baguette magique. Si mes souvenirs sont bons, il faut lui balancer du
24 volts dans les dents. Du coup, remplacer le contenu d'une EEPROM
par logiciel, je ne suis pas sûr que ça se fasse.
C'est effectivement ce genre de tension qu'il faut en règle générale,
mais il me semble que certains types d'EEPROM (peu nombreuses)
comportent en interne leur propre circuiterie permettant un effacement
et une reprogrammation in situ. Cela ne change de toute façon pas
grand-chose à l'affaire: nous sommes d'accord sur le fait que le risque
d'altération du fonctionnement d'un lecteur de disquettes par un malware
(notamment pour bypasser la protection en écriture) est nulle.
Le 06/03/2011 à 7:00, Fabien LE LEZ a écrit :
On Sat, 05 Mar 2011 14:29:08 +0100, Bruno Tréguier :
1) je n'ai jamais vu un lecteur de disquette reflashable
Faut dire qu'à l'époque où les lecteurs de disquettes ont été conçus,
la mémoire Flash n'existait pas.
Ok, abus de langage. ;-) Ca pouvait être de l'EEPROM, quoi.
Justement, de l'EEPROM, ça ne s'efface pas comme ça, d'un coup de
baguette magique. Si mes souvenirs sont bons, il faut lui balancer du
24 volts dans les dents. Du coup, remplacer le contenu d'une EEPROM
par logiciel, je ne suis pas sûr que ça se fasse.
C'est effectivement ce genre de tension qu'il faut en règle générale,
mais il me semble que certains types d'EEPROM (peu nombreuses)
comportent en interne leur propre circuiterie permettant un effacement
et une reprogrammation in situ. Cela ne change de toute façon pas
grand-chose à l'affaire: nous sommes d'accord sur le fait que le risque
d'altération du fonctionnement d'un lecteur de disquettes par un malware
(notamment pour bypasser la protection en écriture) est nulle.
Le 06/03/2011 à 7:00, Fabien LE LEZ a écrit :On Sat, 05 Mar 2011 14:29:08 +0100, Bruno Tréguier :1) je n'ai jamais vu un lecteur de disquette reflashable
Faut dire qu'à l'époque où les lecteurs de disquettes ont été conçus,
la mémoire Flash n'existait pas.
Ok, abus de langage. ;-) Ca pouvait être de l'EEPROM, quoi.
Justement, de l'EEPROM, ça ne s'efface pas comme ça, d'un coup de
baguette magique. Si mes souvenirs sont bons, il faut lui balancer du
24 volts dans les dents. Du coup, remplacer le contenu d'une EEPROM
par logiciel, je ne suis pas sûr que ça se fasse.
C'est effectivement ce genre de tension qu'il faut en règle générale,
mais il me semble que certains types d'EEPROM (peu nombreuses)
comportent en interne leur propre circuiterie permettant un effacement
et une reprogrammation in situ. Cela ne change de toute façon pas
grand-chose à l'affaire: nous sommes d'accord sur le fait que le risque
d'altération du fonctionnement d'un lecteur de disquettes par un malware
(notamment pour bypasser la protection en écriture) est nulle.
Bitlocker, c'est très bien: le disque est chiffré sans mot de passe!
L'utilisateur lance le système, et il démarre sans rien demander
a l'utilisateur.
Je ne connais pas mais selon wikipedia, ça a quand même quelques
contraintes (TPM et/ou clé USB).
Contraintes? D'avoir une puce TPM? (le mode clé USB n'amène rien). Tu
achètes une machine avec TPM, tu la donnes à un youser de base, et
tu gagnes en sécurité: le disque est chiffré, garantie de confidentialité
en cas de perte ou vol et il n'y a pas de mot de passe, le youseur ne se
rend compte de rien et ne risque pas d'oublier son mot passe ou de le
mettre sur un postit puisqu'il n'en a pas.
Pour la complexité des "mots de passe" le lien que j'ai fourni plus
haut sur une conférence du SSTIC montre qu'aujourd'hui sous windows,
le mot de passe Bonjour123 est aussi sécurisé que l33t_H4x0R!, donc
le "minimum complexe" reste très raisonnable. Ca doit être le cas
sous linux aussi.
Bitlocker, c'est très bien: le disque est chiffré sans mot de passe!
L'utilisateur lance le système, et il démarre sans rien demander
a l'utilisateur.
Je ne connais pas mais selon wikipedia, ça a quand même quelques
contraintes (TPM et/ou clé USB).
Contraintes? D'avoir une puce TPM? (le mode clé USB n'amène rien). Tu
achètes une machine avec TPM, tu la donnes à un youser de base, et
tu gagnes en sécurité: le disque est chiffré, garantie de confidentialité
en cas de perte ou vol et il n'y a pas de mot de passe, le youseur ne se
rend compte de rien et ne risque pas d'oublier son mot passe ou de le
mettre sur un postit puisqu'il n'en a pas.
Pour la complexité des "mots de passe" le lien que j'ai fourni plus
haut sur une conférence du SSTIC montre qu'aujourd'hui sous windows,
le mot de passe Bonjour123 est aussi sécurisé que l33t_H4x0R!, donc
le "minimum complexe" reste très raisonnable. Ca doit être le cas
sous linux aussi.
Bitlocker, c'est très bien: le disque est chiffré sans mot de passe!
L'utilisateur lance le système, et il démarre sans rien demander
a l'utilisateur.
Je ne connais pas mais selon wikipedia, ça a quand même quelques
contraintes (TPM et/ou clé USB).
Contraintes? D'avoir une puce TPM? (le mode clé USB n'amène rien). Tu
achètes une machine avec TPM, tu la donnes à un youser de base, et
tu gagnes en sécurité: le disque est chiffré, garantie de confidentialité
en cas de perte ou vol et il n'y a pas de mot de passe, le youseur ne se
rend compte de rien et ne risque pas d'oublier son mot passe ou de le
mettre sur un postit puisqu'il n'en a pas.
Pour la complexité des "mots de passe" le lien que j'ai fourni plus
haut sur une conférence du SSTIC montre qu'aujourd'hui sous windows,
le mot de passe Bonjour123 est aussi sécurisé que l33t_H4x0R!, donc
le "minimum complexe" reste très raisonnable. Ca doit être le cas
sous linux aussi.
Par exemple avec un mot de passe de 5 caratères uniquement en minuscules, il
n'y a «que» 11 881 376 possibilités. Avec 1ms par tentative, il faudrait
3.3 heures, ce qui semble réalisable.
Avec une 10aine de caractères spéciaux en plus, on monte à 916 132 832
possibilités, soit 10.6 jours de calculs! En plus de ça le mot de passe n'a
aucune raison de se trouver dans une attaque par dictionnaire «classique»
qui se limite à des termes connus.
Si on passe à 10 caractères avec majuscules et caractères spéciaux, on en
arrive à 839 299 365 868 340 200 possibilités et 26 614 008 années de
Ça ne rendra donc pas ton mot de passe inviolable mais ça découragera et
rendra totalement inutile toute tentative de bruteforce dessus.
Par exemple avec un mot de passe de 5 caratères uniquement en minuscules, il
n'y a «que» 11 881 376 possibilités. Avec 1ms par tentative, il faudrait
3.3 heures, ce qui semble réalisable.
Avec une 10aine de caractères spéciaux en plus, on monte à 916 132 832
possibilités, soit 10.6 jours de calculs! En plus de ça le mot de passe n'a
aucune raison de se trouver dans une attaque par dictionnaire «classique»
qui se limite à des termes connus.
Si on passe à 10 caractères avec majuscules et caractères spéciaux, on en
arrive à 839 299 365 868 340 200 possibilités et 26 614 008 années de
Ça ne rendra donc pas ton mot de passe inviolable mais ça découragera et
rendra totalement inutile toute tentative de bruteforce dessus.
Par exemple avec un mot de passe de 5 caratères uniquement en minuscules, il
n'y a «que» 11 881 376 possibilités. Avec 1ms par tentative, il faudrait
3.3 heures, ce qui semble réalisable.
Avec une 10aine de caractères spéciaux en plus, on monte à 916 132 832
possibilités, soit 10.6 jours de calculs! En plus de ça le mot de passe n'a
aucune raison de se trouver dans une attaque par dictionnaire «classique»
qui se limite à des termes connus.
Si on passe à 10 caractères avec majuscules et caractères spéciaux, on en
arrive à 839 299 365 868 340 200 possibilités et 26 614 008 années de
Ça ne rendra donc pas ton mot de passe inviolable mais ça découragera et
rendra totalement inutile toute tentative de bruteforce dessus.
