Proposé par le site xkcd, voici un nouveau strip faisant cette fois le focus sur les mots de passe, et sur la manière de s’en forger un difficile à percer, mais en même temps assez simple à mémoriser. Utile. Non parce que les mots de passe à base de chiffres prenant la forme de lettres, et inversement ont beau être sécurisés, ils n’en demeurent pas moins un poison lorsqu’il s’agit de les retenir…
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Je n’ai pas très bien compris, ils proposent de faire des mots de passe à base de plusieurs mots ? Pour augmenter le nombre de lettre, et donc le temps pour qu’un hacker le trouve ?
Je me trompe ?
Oula je n’irai pas jusqu’à dire qu’il s’agit d’un poison. J’imagine que cela dépend du type de mémoire de chacun. J’utilise des mots de passe de plus de 20 caractères de longs, générés au hasard par http://www.passwordcard.org/fr (que je recommande chaudement, et qui ironiquement est down au moment ou j’écris ces lignes) et je les connais par coeur à force de les rentrer à la main.
Malheureusement les sites qui ne proposent aux utilisateurs qu’un mot de passe de 6-8 caractères, sans caractères spéciaux, ils sont nombreux.
On peut protéger l’essentiel comme ça (sa messagerie et son PC), mais pas tout.
En tout cas c’est bien vrai tiens, on nous demande du caps, du symbole, du chiffre, au final ça ressemble plus à grand chose…
moi perso mes mot de passe je les crée avec une succession de lettre et de chiffres qui n’ont rien a voir entre eux mais qui sont rapide a taper au clavier ce qui fait qu’il sont simple a retenir car très simple a taper sur un clavier
Il manque juste un “s” à ” il n’en demeurent….”
Sinon c’est une belle présentation de ce qui nous est conseillé et qu’il ne faut pas faire! 😛
Moi je vais m’en tenir à la mémorisation d’une expression avec minimum 8 mots, de la réduire en MdP avec les 1ere lettre de chaque mot en utilisant Majuscule,minuscule, chiffre et caractère spéciaux(conjonction de coordination). Ainsi, aucun lien avec un mot existant.
Exemple: “Blanche-Neige et les sept nains de Walt Disney” peut donner: B-N&l7n2WD
Bon évidement c’est un peu plus long à mémoriser que 4 mots et une charade.
PS: n’utilisez pas l’exemple. Trop connu!
J’utilise ce principe pour ma clé wifi, introuvable et très facile à mémoriser ^^
Dans cette mini BD il dit justement le contraire !
Qu’un mot comme Troubador écrit en remplacant les lettres par des chiffres ou symboles est difficile a retenir et facile a craquer, contrairement a une suite de mots qui elle est simple a retenir et plus difficile a hacker.
C’est une satire de la pseudo protection de nos mot de passe et des sites qui nous contraignent de plus en plus a insérer différents caractères ou autre. Il conclu d’ailleurs en disant qu’après 20 ans, on a réussi a faire utiliser par les gens des password difficile a retenir mais facile cracker.
Perso, je suis aussi lassé des contraintes de mot de passe qu’on nous donne sur chaque site, car au final on se retrouve vite a avoir 10 mots de passe différents actif… Perso, j’ai dans mon mdp principal des majuscule minuscule chiffre et symbole, et bah il m’arrive parfois qu’on accepte pas mon symbole, ou qu’on force a n’utiliser que des chiffres, ou que j’ai pas assez de caractères ( et oui 7 caractères ne semble encore pas assez suffisant…)
Un bon conseil certes, mais difficile à appliquer quand pour créer un compte apple (entre autres) il est demandé un mot de passe (de 8 caractères ou plus) contenant au moins une majuscule et une minuscule, au moins un chiffre et ne comporter ni 3 fois de suite le même caractère, ni son identifiant…
Pour moi la meilleure méthode reste celle donnée par Garag.
Je ne suis pas assez calé dans le domaine pour voir comment il calcule son entropie, mais la 2 solution est clairement sujette à une attaque par dictionnaire alors que la première non (même si les attaques dictionnaires montent rarement à 4 mots d’affilée).
+1 pour le danger de l’attaque par dictionnaire; le calcul d’entropie c’est bien, mais il ne me semble pas que ce soit l’unique point représentatif de la “solidité” d’un password.
Et pourquoi pas combiner les deux méthodes? (vive les noeuds au cerveau) xD
Une attaque par dictionnaire à peu de chance d’aboutir, il faut imaginer que tu remplaces les caractères par des mots. Il existe 255 caractères dans la table ASCII étendue, 60 000 mots dans la langue française.
Lequel est le plus efficace ?
L’avantage de ne pas mettre des caractères spéciaux, c’est de ne pas devoir jouer avec les touches “Alt” et “Shift”. Du coup, on peut taper plus vite, surtout sur à un doigt, et surtout sur un smartphone.
Eventuellement, on peut remplacer les caractères spécieux par deux lettres, du style ï -> ie (comme les allemands), ê -> es (éthymologie) , œ -> oe (logique), ç -> cz , etc..
Lorsqu’une majuscule est imposé, on peut les mettre aux débuts des mots, ou du premier.
Et on peut ajouter un numéro à la fin ou au début lorsque un numéro est imposé.
@Pitwee : Ca c’est valable si tu prends autant de mots que de caractères. Hors dans les exemples ci-dessus on a un mot de passe à 11 caractères et un autre à 4 mots.
Donc en prenant tes chiffres :
caractères : 255^11 soit 296443535898840969287109375 combinaisons.
mots : 60000^4 soit 12960000000000000000
Autrement dit dans le premier cas on plus de 22 millions de fois plus de combinaisons…
Dans la réalité les mots de passe “caractère” sont souvent sur 8 caractères et les mots de passe “mot” sur un seul mot. Je te laisse faire le calcul…
Et pour ceux qui n’auraient pas été sur le site regarder la légende de l’image (en laissant la souris au dessus, ou en regardant les propriétés de l’image) je vous la met là :
“To anyone who understands information theory and security and is in an infuriating argument with someone who does not (possibly involving mixed case), I sincerely apologize.”
Je pense qu’on va justement arriver sur ce genre de discussion si jamais un expert passe par là 😉
Voilà l’explication au pourquoi du comment : http://www.baekdal.com/tips/password-security-usability
En gros, il est 10 fois plus dur de craquer “this is fun” comme mot de passe que J4fS<2. Et autant vous dire que l'un est bien plus dur à retenir que l'autre ^^
Un truc que je comprend pas… en mode brut force… on essaye toutes les combinaisons, or 2 mots de 4 caracteres séparé par un espace ce n’ai rien d’autre que 9 caracteres…
donc en brut force qu’est qui est le plus long pour vous ?
ca : vric fruc
ou ca : Vr|@ Fru0
pour moi c’est tout vu… et pourtant y a le meme nombre de caractere, et seul une methode brut force peut en venir a bout…
@T0rv4ld : Excellent article, merci.
Néanmoins comme je le disais plus haut, un mot de passe est généralement demandé (sur les sites sérieux) avec au moins 8 caractères (donc J4fS<2 n'est pas représentatif, beaucoup trop court, si tu passes à 8 caractères la tendance s'inverse, mais bien sûr tu peux aussi passer ta phrase à + de 3 mots et elle restera quand même beaucoup plus simple à reternir).
Après il y a un autre phénomène que je trouve complètement stupide sur les sites aujourd'hui : c'est celui des "questions de sécurité". On nous oblige à faire un mot de passe très compliqué et impossible à retenir (comme indiqué dans l'image) mais à côté de ça, on nous demande en cas d'oubli de donner la réponse à une question du type "Nom de jeune fille de la mère", "Nom du chien" afin d'outrepasser le mot de passe en cas d'oubli… Inutile de dire que ces réponses sont souvent très faciles à trouver (il n'y a qu'à voir le gars qui avait "piraté" le compte d'un dirigeant de twitter simplement parce qu'il avait une adresse mail Yahoo et que la réponse à la question se trouvait sur son blog…).
J’ai une petite question : les mots de passe à 3 ou 4 mots comme ça, faut les écrire avec les espaces ?
Bah c’est toi qui vois… Ca ne change pas grand chose au résultat.
Sauf que au finale cela revient au même car le mot de passe est généralement hasher avec le login et qu’on ne connais le taille de mot du passe.
@Millman : lis bien la parenthèse en gras dans la 2e case. Là on parle d’une attaque sur une page web, pas d’accès au hash sur la machine. Bon d’un autre côté, sur une page web on bloque généralement les tentatives d’accès au bout d’un moment, ou tout au moins on limite le nombre de logins par seconde à une valeur humainement raisonnable…
N’y connaissant rien, le débat est super intéressant !
Il n’existe pas un DUT ou un doctorat de hacking ?? 🙂 lol
A lire : Dossier qui parle du crackage de mot de passe en utilisant le GPU, sur des archives et dont les performances sont hallucinantes, de 4000 combinaisons/s (face à du RAR en AES-128 quand même) jusqu’à plus de 500 millions de combinaisons/s juste avec une GTX 460…
http://www.presence-pc.com/tests/password-recovery-gpu-23381/
Je ne comprend pas la base de calcul pour le premier mot de passe qui devrait être (nombre de caractères)^(taille du mot de passe), et donc égale à 94^11 sachant que le nombre 94 est le nombre de caractère de la table ASCII.
Pour le second, ça serait donc 25^26, oui parce que uniquement des minuscules.
La conclusion de l’article est très intéressante.
Je suis assez étonné et déçu de voir ce genre de donnée complètement fausse mais drole circuler sur le JDG sans une petite explication pour dire que c’est drole mais LOIIIIINNN de la verité…
En effet ici on ne prend en considération que le crack par bruteforce ou on essaie chaque lettre, symbole ou chiffre et chaque combinaison. Mais il sagit en general de la dernière solution pour craquer un mdp. En effet on commencera souvent par une attaue dictionnaire. En esseyant des mots issus d’une liste faite au prealable (ou d’une des milliers de liste du genre trouvable sur le net). Et ainsi les jolies phrases toute bien faites si facile a retenir avec soit disans 550 ans en moyenne pour les craquer sont trouvée en 1/2 heure au lieu de ….. JAMAIS pour un mdp qui n’est pas un mot ecrit convenablement ou sans substitution evidente et classique.
Donc faire rire les gens oui certe, je viens aussi sur le JDG pour cela, leur enseigner des inepsie sur les mot de passe en des temps aussi troublé et dangereux pour la vie privée c’est franchement dommage et tres different du JDG que je pensais connaitre. :/
@Pink Floyd
La difficulté reste la même pour tes deux exemples, mais l’un est beaucoup plus facile à retenir que l’autre.
L’intérêt du dessin c’est juste de montrer que pour un ordinateur il sera plus facile de trouver: T@nd3rB4!l que “jadoreleskiwietlapasteque” et pour l’utilisateur il sera plus facile de retenir le second, sans parler qu’on peut le taper 4 fois plus vite (surtout sur smartphone) !