Pour un bon mot de passe, il est d'usage de dire qu'il faut au moins
une minuscule, une majuscule, un chiffre et un caractère spécial.
Ça semble logique, mais finalement peut-être pas : un logiciel qui
cherche un mot de passe ne sais pas comment il est conçu, il ignore si
ce ne sont que des lettres minuscules par exemple, donc il cherche sur
la totalité des possibilités, non ?
Ou alors c'est parce que la recherche se fait dans un ordre ? Par
exemple d'abord les minuscules, puis les majuscules, puis les chiffres,
puis un mélange de 2, puis un mélange de 3... ?
Benoit Izac devait dire quelque chose comme ceci :
quelqu'un né le premier janvier 1970 aurait pour mot de passe de son compte mail pro quelque chose comme 0m1a0i1l1p9r7o0, soit "01011970" et "mailpro", ce qui est facile à retenir mais offre une protection forte tant que personne ne connait l'astuce utilisée.
01011970mailpro, mailpro01011970 ou mail01011970pro est équivalent au niveau de l'entropie et plus facile à retenir et à taper.
A taper oui, à retenir je ne pense pas ; du moins tant que l'on garde la même politique quand à la façon dont les deux sont intercalés. Il suffit de se souvenir que c'est un chiffre suivi d'une lettre. Cela dit, ça démontre que les possibilités sont nombreuses tout en conservant une facilité de mémorisation et un niveau de sécurité élevé.
-- 17/06/1969 - 18/01/2011
Repose en paix mon amour :'(
Benoit Izac devait dire quelque chose comme ceci :
quelqu'un né le premier janvier 1970 aurait pour mot de passe de son
compte mail pro quelque chose comme 0m1a0i1l1p9r7o0, soit "01011970" et
"mailpro", ce qui est facile à retenir mais offre une protection forte
tant que personne ne connait l'astuce utilisée.
01011970mailpro, mailpro01011970 ou mail01011970pro est équivalent au
niveau de l'entropie et plus facile à retenir et à taper.
A taper oui, à retenir je ne pense pas ; du moins tant que l'on garde
la même politique quand à la façon dont les deux sont intercalés. Il
suffit de se souvenir que c'est un chiffre suivi d'une lettre.
Cela dit, ça démontre que les possibilités sont nombreuses tout en
conservant une facilité de mémorisation et un niveau de sécurité élevé.
Benoit Izac devait dire quelque chose comme ceci :
quelqu'un né le premier janvier 1970 aurait pour mot de passe de son compte mail pro quelque chose comme 0m1a0i1l1p9r7o0, soit "01011970" et "mailpro", ce qui est facile à retenir mais offre une protection forte tant que personne ne connait l'astuce utilisée.
01011970mailpro, mailpro01011970 ou mail01011970pro est équivalent au niveau de l'entropie et plus facile à retenir et à taper.
A taper oui, à retenir je ne pense pas ; du moins tant que l'on garde la même politique quand à la façon dont les deux sont intercalés. Il suffit de se souvenir que c'est un chiffre suivi d'une lettre. Cela dit, ça démontre que les possibilités sont nombreuses tout en conservant une facilité de mémorisation et un niveau de sécurité élevé.
-- 17/06/1969 - 18/01/2011
Repose en paix mon amour :'(
Yannix
Le 28/02/2011 17:11, Baton Rouge a écrit :
On Mon, 28 Feb 2011 16:25:01 +0100, Yannix wrote:
Le 28/02/2011 10:08, Baton Rouge a écrit : [...]
Quand tu vois la politique de securité des mot de passe de certaines entreprise le taux de reussite se situe plutot du coté des 3h30 que des 4 jours.
Voire 2 secondes quand le mot de passe de la secrétaire de direction est inscrit sur un post-it collé en bas de son écran. :-)
X.
Ménonkilékon.
Ménonjesuipakon. Je te parie même que la secrétaire connait le mot de passe de son patron... Du coup, le "taux de réussite" doit être de 5 minutes maxi. ;-)
Mais bon, si vous tenez tellement à le cracker en force brute, c'est votre problème...
A+
X.
Le 28/02/2011 17:11, Baton Rouge a écrit :
On Mon, 28 Feb 2011 16:25:01 +0100, Yannix <faitmoipeur@gmail.com>
wrote:
Le 28/02/2011 10:08, Baton Rouge a écrit :
[...]
Quand tu vois la politique de securité des mot de passe de certaines
entreprise le taux de reussite se situe plutot du coté des 3h30 que
des 4 jours.
Voire 2 secondes quand le mot de passe de la secrétaire de direction est
inscrit sur un post-it collé en bas de son écran. :-)
X.
Ménonkilékon.
Ménonjesuipakon. Je te parie même que la secrétaire connait le mot de
passe de son patron... Du coup, le "taux de réussite" doit être de 5
minutes maxi. ;-)
Mais bon, si vous tenez tellement à le cracker en force brute, c'est
votre problème...
Quand tu vois la politique de securité des mot de passe de certaines entreprise le taux de reussite se situe plutot du coté des 3h30 que des 4 jours.
Voire 2 secondes quand le mot de passe de la secrétaire de direction est inscrit sur un post-it collé en bas de son écran. :-)
X.
Ménonkilékon.
Ménonjesuipakon. Je te parie même que la secrétaire connait le mot de passe de son patron... Du coup, le "taux de réussite" doit être de 5 minutes maxi. ;-)
Mais bon, si vous tenez tellement à le cracker en force brute, c'est votre problème...
A+
X.
Ramus.rayar
Yannix wrote:
Le 28/02/2011 10:08, Baton Rouge a écrit : [...] > Quand tu vois la politique de securité des mot de passe de certaines > entreprise le taux de reussite se situe plutot du coté des 3h30 que > des 4 jours.
Voire 2 secondes quand le mot de passe de la secrétaire de direction est inscrit sur un post-it collé en bas de son écran. :-)
Voire, le nom de passe administrateur du serveur du service. Cas déjà vu.
J'ai aussi vu le mot de passe écrit au crayon gris sur le plastique de l'écran cathodique.
-- Marcus Ramatut
Yannix <faitmoipeur@gmail.com> wrote:
Le 28/02/2011 10:08, Baton Rouge a écrit :
[...]
> Quand tu vois la politique de securité des mot de passe de certaines
> entreprise le taux de reussite se situe plutot du coté des 3h30 que
> des 4 jours.
Voire 2 secondes quand le mot de passe de la secrétaire de direction est
inscrit sur un post-it collé en bas de son écran. :-)
Voire, le nom de passe administrateur du serveur du service. Cas déjà
vu.
J'ai aussi vu le mot de passe écrit au crayon gris sur le plastique de
l'écran cathodique.
Le 28/02/2011 10:08, Baton Rouge a écrit : [...] > Quand tu vois la politique de securité des mot de passe de certaines > entreprise le taux de reussite se situe plutot du coté des 3h30 que > des 4 jours.
Voire 2 secondes quand le mot de passe de la secrétaire de direction est inscrit sur un post-it collé en bas de son écran. :-)
Voire, le nom de passe administrateur du serveur du service. Cas déjà vu.
J'ai aussi vu le mot de passe écrit au crayon gris sur le plastique de l'écran cathodique.
-- Marcus Ramatut
Baton Rouge
On Mon, 28 Feb 2011 18:05:44 +0100, Yannix wrote:
Ménonkilékon.
Ménonjesuipakon. Je te parie même que la secrétaire connait le mot de passe de son patron... Du coup, le "taux de réussite" doit être de 5 minutes maxi. ;-)
Elle doit l'avoir sur le bout de la langue ;o))
-- Travailler plus pour gagner plus pour quoi faire ? Pour finir par divorcer parce qu'on est pas souvent à la maison ou faire un malaise vagal et creuser le trou de la sécu ?
On Mon, 28 Feb 2011 18:05:44 +0100, Yannix <faitmoipeur@gmail.com>
wrote:
Ménonkilékon.
Ménonjesuipakon. Je te parie même que la secrétaire connait le mot de
passe de son patron... Du coup, le "taux de réussite" doit être de 5
minutes maxi. ;-)
Elle doit l'avoir sur le bout de la langue ;o))
--
Travailler plus pour gagner plus pour quoi faire ?
Pour finir par divorcer parce qu'on est pas souvent à la maison ou faire un malaise vagal et creuser le trou de la sécu ?
Ménonjesuipakon. Je te parie même que la secrétaire connait le mot de passe de son patron... Du coup, le "taux de réussite" doit être de 5 minutes maxi. ;-)
Elle doit l'avoir sur le bout de la langue ;o))
-- Travailler plus pour gagner plus pour quoi faire ? Pour finir par divorcer parce qu'on est pas souvent à la maison ou faire un malaise vagal et creuser le trou de la sécu ?
Yannix
Le 28/02/2011 18:34, Marcus Ramatut a écrit : [...]
J'ai aussi vu le mot de passe écrit au crayon gris sur le plastique de l'écran cathodique.
Sur le filtre d'écran tu veux dire ?
X.
Le 28/02/2011 18:34, Marcus Ramatut a écrit :
[...]
J'ai aussi vu le mot de passe écrit au crayon gris sur le plastique de
l'écran cathodique.
Le 28/02/2011 18:34, Marcus Ramatut a écrit : [...]
J'ai aussi vu le mot de passe écrit au crayon gris sur le plastique de l'écran cathodique.
Sur le filtre d'écran tu veux dire ?
X.
Baton Rouge
On Mon, 28 Feb 2011 18:54:02 +0100, Yannix wrote:
Le 28/02/2011 18:34, Marcus Ramatut a écrit : [...]
J'ai aussi vu le mot de passe écrit au crayon gris sur le plastique de l'écran cathodique.
Sur le filtre d'écran tu veux dire ?
X.
Et le blanc c'est pas forcement du typex...
-- Travailler plus pour gagner plus pour quoi faire ? Pour finir par divorcer parce qu'on est pas souvent à la maison ou faire un malaise vagal et creuser le trou de la sécu ?
On Mon, 28 Feb 2011 18:54:02 +0100, Yannix <faitmoipeur@gmail.com>
wrote:
Le 28/02/2011 18:34, Marcus Ramatut a écrit :
[...]
J'ai aussi vu le mot de passe écrit au crayon gris sur le plastique de
l'écran cathodique.
Sur le filtre d'écran tu veux dire ?
X.
Et le blanc c'est pas forcement du typex...
--
Travailler plus pour gagner plus pour quoi faire ?
Pour finir par divorcer parce qu'on est pas souvent à la maison ou faire un malaise vagal et creuser le trou de la sécu ?
Le 28/02/2011 18:34, Marcus Ramatut a écrit : [...]
J'ai aussi vu le mot de passe écrit au crayon gris sur le plastique de l'écran cathodique.
Sur le filtre d'écran tu veux dire ?
X.
Et le blanc c'est pas forcement du typex...
-- Travailler plus pour gagner plus pour quoi faire ? Pour finir par divorcer parce qu'on est pas souvent à la maison ou faire un malaise vagal et creuser le trou de la sécu ?
Ramus.rayar
Yannix wrote:
Le 28/02/2011 18:34, Marcus Ramatut a écrit : [...] > J'ai aussi vu le mot de passe écrit au crayon gris sur le plastique de > l'écran cathodique.
Sur le filtre d'écran tu veux dire ?
Non, sur le plastique beige du moniteur.
-- Marcus Ramatut
Yannix <faitmoipeur@gmail.com> wrote:
Le 28/02/2011 18:34, Marcus Ramatut a écrit :
[...]
> J'ai aussi vu le mot de passe écrit au crayon gris sur le plastique de
> l'écran cathodique.
Le 28/02/2011 18:34, Marcus Ramatut a écrit : [...] > J'ai aussi vu le mot de passe écrit au crayon gris sur le plastique de > l'écran cathodique.
Sur le filtre d'écran tu veux dire ?
Non, sur le plastique beige du moniteur.
-- Marcus Ramatut
Bruno Tréguier
Le 01/03/2011 à 11:47, (Marcus Ramatut) a écrit :
J'ai aussi vu le mot de passe écrit au crayon gris sur le plastique de l'écran cathodique.
Sur le filtre d'écran tu veux dire ?
Non, sur le plastique beige du moniteur.
:-)
Autre endroit de prédilection: le post-it sous le clavier...
A ce propos (ce qui suit n'est *pas* un troll, c'est sérieux): que pensez-vous des politiques de gestion des mots de passe imposant un changement régulier de ce dernier ?
Cette pratique est en vogue depuis pas mal de temps, comme nous le savons tous, mais j'ai l'impression que le vent est en train de tourner à ce niveau, et que de plus en plus, on trouve des gens qui osent dire que ce n'est pas forcément une bonne idée, *si* par ailleurs on incite fortement les utilisateurs à utiliser un mot de passe qui tient la route (et qu'on les "éduque" un peu à ce niveau).
Si on examine les choses froidement (et sauf erreur ou oubli de ma part), je vois 6 manières principales d'obtenir un mot de passe de façon frauduleuse:
1) le demander... :-) Un peu d'ingéniérie sociale, et hop, la plupart du temps, ça marche: "oui, bonjour, c'est tartempion, du service informatique... On a un souci avec votre compte et on a besoin de votre mot de passe...". Ca paraît gros, mais ça fonctionne souvent.
2) utiliser un keylogger.
3) utiliser les rayonnements compromettants émis par le clavier (même filaire). Pas simple à réaliser, mais j'ai vu une démo convaincante au SSTIC 2009: http://www.sstic.org/2009/presentation/Emanations_Compromettantes_Electromagnetiques_des_Claviers_Filaires_et_Sans_fil/
4) regarder par dessus l'épaule de la victime au moment où elle tape son mot de passe (nécessite donc la présence physique de l'attaquant).
5) tenter de se loguer de façon répétitive.
6) récupérer le hash ou le mot de passe crypté et tenter de le cracker "offline".
Dans les cas 1, 2 et 3, il est évident que le fait de changer régulièrement le mot de passe ne servira à rien. Dans le cas 4, si on a un doute sur le fait que quelqu'un ait pu nous espionner, le mot de passe doit être changé *immédiatement*, pas après 3 semaines ou 2 mois. Dans le cas 5, une sécurité de blocage après un certain nombre de tentatives infructueuses peut s'avérer efficace, et dans le cas 6, avec les puissances de calcul disponibles maintenant, en règle générale, un mot de passe est trouvé dans les premières heures de calcul (s'il est faible), ou pas du tout (du moins dans un temps raisonnable).
Au regard de ce qui précède, on peut donc s'interroger sur l'efficacité réelle d'une politique de changement fréquent de mot de passe (avec des raffinements du genre interdiction de réutiliser les x derniers, interdiction de nouveau changement avant un certain temps, distance de hamming minimale avec les x précédents - ce dernier point impliquant d'ailleurs que les mots de passe sont stockés *en clair* quelque part, ce qui n'est pas forcément un bien).
Une telle politique a par ailleurs souvent l'inconvénient d'affaiblir les mots de passe choisis par les utilisateurs (humains, à mémoire forcément limitée et imparfaite), mots de passe qui deviennent donc, de fait, plus vulnérables aux attaques 5 et 6.
Des voix de gens assez connus dans la sécurité commencent d'ailleurs à s'élever pour aller dans ce sens, comme celle de Bruce Schneier (rien que ça): http://www.schneier.com/blog/archives/2010/11/changing_passwo.html
J'ai également trouvé d'autres articles, dont l'un est d'ailleurs cité par Schneier lui-même: http://www.cs.unc.edu/~yinqian/papers/PasswordExpire.pdf
Même Microsoft dit la même chose (bon, ok, ça ce n'est pas un argument ;-) ): http://www.pcmag.com/article2/0,2817,2362692,00.asp
Alors, évidemment, tout ce qui précède doit être modulé en fonction de l'importance des données à protéger dans le compte ou l'application protégée par un mot de passe, mais dans beaucoup de cas, il semble que les inconvénients apportés par une politique de changement fréquent de mot de passe sont de plus en plus considérés comme étant plus importants que les avantages... En d'autres termes: le mieux est l'ennemi du bien.
A titre personnel, je suis tout à fait en phase avec cette analyse des choses, à la condition expresse que, comme je le précisais au départ, l'on incite effectivement les utilisateurs à employer des mots de passe "forts", présentant des garanties minimales d'entropie. L'utilisation, en interne à l'entreprise, d'outils de crackage de mots de passe et de rainbow tables peut d'ailleurs améliorer grandement la situation: mot de passe trouvé = compte bloqué. Hop ! :-)
Des avis ?
Bonne soirée...
Cordialement,
Bruno Tréguier
Le 01/03/2011 à 11:47, Ramus.rayar@club-internet.fr (Marcus Ramatut) a
écrit :
J'ai aussi vu le mot de passe écrit au crayon gris sur le plastique de
l'écran cathodique.
Sur le filtre d'écran tu veux dire ?
Non, sur le plastique beige du moniteur.
:-)
Autre endroit de prédilection: le post-it sous le clavier...
A ce propos (ce qui suit n'est *pas* un troll, c'est sérieux): que
pensez-vous des politiques de gestion des mots de passe imposant un
changement régulier de ce dernier ?
Cette pratique est en vogue depuis pas mal de temps, comme nous le
savons tous, mais j'ai l'impression que le vent est en train de tourner
à ce niveau, et que de plus en plus, on trouve des gens qui osent dire
que ce n'est pas forcément une bonne idée, *si* par ailleurs on incite
fortement les utilisateurs à utiliser un mot de passe qui tient la route
(et qu'on les "éduque" un peu à ce niveau).
Si on examine les choses froidement (et sauf erreur ou oubli de ma
part), je vois 6 manières principales d'obtenir un mot de passe de façon
frauduleuse:
1) le demander... :-) Un peu d'ingéniérie sociale, et hop, la plupart du
temps, ça marche: "oui, bonjour, c'est tartempion, du service
informatique... On a un souci avec votre compte et on a besoin de votre
mot de passe...". Ca paraît gros, mais ça fonctionne souvent.
2) utiliser un keylogger.
3) utiliser les rayonnements compromettants émis par le clavier (même
filaire). Pas simple à réaliser, mais j'ai vu une démo convaincante au
SSTIC 2009:
http://www.sstic.org/2009/presentation/Emanations_Compromettantes_Electromagnetiques_des_Claviers_Filaires_et_Sans_fil/
4) regarder par dessus l'épaule de la victime au moment où elle tape son
mot de passe (nécessite donc la présence physique de l'attaquant).
5) tenter de se loguer de façon répétitive.
6) récupérer le hash ou le mot de passe crypté et tenter de le cracker
"offline".
Dans les cas 1, 2 et 3, il est évident que le fait de changer
régulièrement le mot de passe ne servira à rien. Dans le cas 4, si on a
un doute sur le fait que quelqu'un ait pu nous espionner, le mot de
passe doit être changé *immédiatement*, pas après 3 semaines ou 2 mois.
Dans le cas 5, une sécurité de blocage après un certain nombre de
tentatives infructueuses peut s'avérer efficace, et dans le cas 6, avec
les puissances de calcul disponibles maintenant, en règle générale, un
mot de passe est trouvé dans les premières heures de calcul (s'il est
faible), ou pas du tout (du moins dans un temps raisonnable).
Au regard de ce qui précède, on peut donc s'interroger sur l'efficacité
réelle d'une politique de changement fréquent de mot de passe (avec des
raffinements du genre interdiction de réutiliser les x derniers,
interdiction de nouveau changement avant un certain temps, distance de
hamming minimale avec les x précédents - ce dernier point impliquant
d'ailleurs que les mots de passe sont stockés *en clair* quelque part,
ce qui n'est pas forcément un bien).
Une telle politique a par ailleurs souvent l'inconvénient d'affaiblir
les mots de passe choisis par les utilisateurs (humains, à mémoire
forcément limitée et imparfaite), mots de passe qui deviennent donc, de
fait, plus vulnérables aux attaques 5 et 6.
Des voix de gens assez connus dans la sécurité commencent d'ailleurs à
s'élever pour aller dans ce sens, comme celle de Bruce Schneier (rien
que ça): http://www.schneier.com/blog/archives/2010/11/changing_passwo.html
J'ai également trouvé d'autres articles, dont l'un est d'ailleurs cité
par Schneier lui-même:
http://www.cs.unc.edu/~yinqian/papers/PasswordExpire.pdf
Même Microsoft dit la même chose (bon, ok, ça ce n'est pas un argument
;-) ): http://www.pcmag.com/article2/0,2817,2362692,00.asp
Alors, évidemment, tout ce qui précède doit être modulé en fonction de
l'importance des données à protéger dans le compte ou l'application
protégée par un mot de passe, mais dans beaucoup de cas, il semble que
les inconvénients apportés par une politique de changement fréquent de
mot de passe sont de plus en plus considérés comme étant plus importants
que les avantages... En d'autres termes: le mieux est l'ennemi du bien.
A titre personnel, je suis tout à fait en phase avec cette analyse des
choses, à la condition expresse que, comme je le précisais au départ,
l'on incite effectivement les utilisateurs à employer des mots de passe
"forts", présentant des garanties minimales d'entropie. L'utilisation,
en interne à l'entreprise, d'outils de crackage de mots de passe et de
rainbow tables peut d'ailleurs améliorer grandement la situation: mot de
passe trouvé = compte bloqué. Hop ! :-)
J'ai aussi vu le mot de passe écrit au crayon gris sur le plastique de l'écran cathodique.
Sur le filtre d'écran tu veux dire ?
Non, sur le plastique beige du moniteur.
:-)
Autre endroit de prédilection: le post-it sous le clavier...
A ce propos (ce qui suit n'est *pas* un troll, c'est sérieux): que pensez-vous des politiques de gestion des mots de passe imposant un changement régulier de ce dernier ?
Cette pratique est en vogue depuis pas mal de temps, comme nous le savons tous, mais j'ai l'impression que le vent est en train de tourner à ce niveau, et que de plus en plus, on trouve des gens qui osent dire que ce n'est pas forcément une bonne idée, *si* par ailleurs on incite fortement les utilisateurs à utiliser un mot de passe qui tient la route (et qu'on les "éduque" un peu à ce niveau).
Si on examine les choses froidement (et sauf erreur ou oubli de ma part), je vois 6 manières principales d'obtenir un mot de passe de façon frauduleuse:
1) le demander... :-) Un peu d'ingéniérie sociale, et hop, la plupart du temps, ça marche: "oui, bonjour, c'est tartempion, du service informatique... On a un souci avec votre compte et on a besoin de votre mot de passe...". Ca paraît gros, mais ça fonctionne souvent.
2) utiliser un keylogger.
3) utiliser les rayonnements compromettants émis par le clavier (même filaire). Pas simple à réaliser, mais j'ai vu une démo convaincante au SSTIC 2009: http://www.sstic.org/2009/presentation/Emanations_Compromettantes_Electromagnetiques_des_Claviers_Filaires_et_Sans_fil/
4) regarder par dessus l'épaule de la victime au moment où elle tape son mot de passe (nécessite donc la présence physique de l'attaquant).
5) tenter de se loguer de façon répétitive.
6) récupérer le hash ou le mot de passe crypté et tenter de le cracker "offline".
Dans les cas 1, 2 et 3, il est évident que le fait de changer régulièrement le mot de passe ne servira à rien. Dans le cas 4, si on a un doute sur le fait que quelqu'un ait pu nous espionner, le mot de passe doit être changé *immédiatement*, pas après 3 semaines ou 2 mois. Dans le cas 5, une sécurité de blocage après un certain nombre de tentatives infructueuses peut s'avérer efficace, et dans le cas 6, avec les puissances de calcul disponibles maintenant, en règle générale, un mot de passe est trouvé dans les premières heures de calcul (s'il est faible), ou pas du tout (du moins dans un temps raisonnable).
Au regard de ce qui précède, on peut donc s'interroger sur l'efficacité réelle d'une politique de changement fréquent de mot de passe (avec des raffinements du genre interdiction de réutiliser les x derniers, interdiction de nouveau changement avant un certain temps, distance de hamming minimale avec les x précédents - ce dernier point impliquant d'ailleurs que les mots de passe sont stockés *en clair* quelque part, ce qui n'est pas forcément un bien).
Une telle politique a par ailleurs souvent l'inconvénient d'affaiblir les mots de passe choisis par les utilisateurs (humains, à mémoire forcément limitée et imparfaite), mots de passe qui deviennent donc, de fait, plus vulnérables aux attaques 5 et 6.
Des voix de gens assez connus dans la sécurité commencent d'ailleurs à s'élever pour aller dans ce sens, comme celle de Bruce Schneier (rien que ça): http://www.schneier.com/blog/archives/2010/11/changing_passwo.html
J'ai également trouvé d'autres articles, dont l'un est d'ailleurs cité par Schneier lui-même: http://www.cs.unc.edu/~yinqian/papers/PasswordExpire.pdf
Même Microsoft dit la même chose (bon, ok, ça ce n'est pas un argument ;-) ): http://www.pcmag.com/article2/0,2817,2362692,00.asp
Alors, évidemment, tout ce qui précède doit être modulé en fonction de l'importance des données à protéger dans le compte ou l'application protégée par un mot de passe, mais dans beaucoup de cas, il semble que les inconvénients apportés par une politique de changement fréquent de mot de passe sont de plus en plus considérés comme étant plus importants que les avantages... En d'autres termes: le mieux est l'ennemi du bien.
A titre personnel, je suis tout à fait en phase avec cette analyse des choses, à la condition expresse que, comme je le précisais au départ, l'on incite effectivement les utilisateurs à employer des mots de passe "forts", présentant des garanties minimales d'entropie. L'utilisation, en interne à l'entreprise, d'outils de crackage de mots de passe et de rainbow tables peut d'ailleurs améliorer grandement la situation: mot de passe trouvé = compte bloqué. Hop ! :-)
Des avis ?
Bonne soirée...
Cordialement,
Bruno Tréguier
Aeris
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Bruno Tréguier wrote:
Des avis ?
Je ne peux que +1 à tout ça
Pour moi, une gestion par mot de passe est obsolète aujourd'hui, et toutes les pseudo-politiques de sécurité sont soit très mal appliquées, soit inutiles (voire affaiblissent les mots de passe), et bien souvent un peu de tout ça en même temps.
C'est pour ça que je préconise dorénavant des systèmes plus fiables de sécurisation. Au minimum du 2-factor-auth avec si possible au moins un 2 en strong-auth: Connexion par mot de passe + au choix - - OTP - - Token USB (une Yubikey par exemple, très peu chère et opensource!) - - Clé privée (SSH ou autre) - - Certificat X.509/PKCS12 - - Empreinte digitale (encore difficile et coûteux à mettre en œuvre)
Certes, certains argumenteront qu'on peut toujours refiler le vecteur physique à quelqu'un d'autre, mais à l'inverse d'un mot de passe, le détenteur ne peut alors plus se connecter et donc le prêt n'a que très rarement lieu.
Le seul défaut de la strong-auth est de nécessiter le support physique. Si le token n'est pas accessible, pas d'authentification! Alors qu'avec juste un mot de passe la connexion est possible tout le temps. - -- Aeris -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux)
Pour moi, une gestion par mot de passe est obsolète aujourd'hui, et toutes
les pseudo-politiques de sécurité sont soit très mal appliquées, soit
inutiles (voire affaiblissent les mots de passe), et bien souvent un peu de
tout ça en même temps.
C'est pour ça que je préconise dorénavant des systèmes plus fiables de
sécurisation. Au minimum du 2-factor-auth avec si possible au moins un 2 en
strong-auth:
Connexion par mot de passe + au choix
- - OTP
- - Token USB (une Yubikey par exemple, très peu chère et opensource!)
- - Clé privée (SSH ou autre)
- - Certificat X.509/PKCS12
- - Empreinte digitale (encore difficile et coûteux à mettre en œuvre)
Certes, certains argumenteront qu'on peut toujours refiler le vecteur
physique à quelqu'un d'autre, mais à l'inverse d'un mot de passe, le
détenteur ne peut alors plus se connecter et donc le prêt n'a que très
rarement lieu.
Le seul défaut de la strong-auth est de nécessiter le support physique. Si
le token n'est pas accessible, pas d'authentification! Alors qu'avec juste
un mot de passe la connexion est possible tout le temps.
- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Pour moi, une gestion par mot de passe est obsolète aujourd'hui, et toutes les pseudo-politiques de sécurité sont soit très mal appliquées, soit inutiles (voire affaiblissent les mots de passe), et bien souvent un peu de tout ça en même temps.
C'est pour ça que je préconise dorénavant des systèmes plus fiables de sécurisation. Au minimum du 2-factor-auth avec si possible au moins un 2 en strong-auth: Connexion par mot de passe + au choix - - OTP - - Token USB (une Yubikey par exemple, très peu chère et opensource!) - - Clé privée (SSH ou autre) - - Certificat X.509/PKCS12 - - Empreinte digitale (encore difficile et coûteux à mettre en œuvre)
Certes, certains argumenteront qu'on peut toujours refiler le vecteur physique à quelqu'un d'autre, mais à l'inverse d'un mot de passe, le détenteur ne peut alors plus se connecter et donc le prêt n'a que très rarement lieu.
Le seul défaut de la strong-auth est de nécessiter le support physique. Si le token n'est pas accessible, pas d'authentification! Alors qu'avec juste un mot de passe la connexion est possible tout le temps. - -- Aeris -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux)
