Mots de passe - Tests de solidité

Termes, expressions, concepts...

Modérateur: Modérateurs et Modératrices


Re: Mots de passe - Tests de solidité

Messagede ilorium » 04 07 2017

Bonjour,

J'ai entendu un bref interview d'un chercheur en "sécurité informatique" (je n'ai pas entendu, à la radio, ni le nom ni le service de cette personne, occupé à ma conduite ...)
Bref, celui ci recommandait d'insérer, dans un mot de passe complexe (lettres, casses, chiffres, ponctuations, caractères spéciaux), des symboles et des caractères cyrilliques, grecs, hébreux ...

Par exemple :

s a A ש + 5 e Њ 6 9 ! א 4 & f } A Q Γ D

(j'ai créé des espaces pour la lisibilité, et colorisé les caractères en questions)

Pensez vous que ce système soit pérenne, et puisse être utilisé partout ou cela est possible.

Connaissez vous un logiciel générateur de mots de passe effectuant cela ?

Merci, et toujours reconnaissant de votre inestimable travail.
ilorium
 
Messages: 15
Inscription: 29 11 2009
Localisation: Bordeaux

Re: Mots de passe - Tests de solidité

Messagede pierre » 04 07 2017

Bonjour ilorium,

Oui, il a raison.

Un générateur de mots de passe (Test de solidité d'un mot de passe) utilisant ces caractères exotiques ? Là, à l'instant, je n'en connais pas.

Ce qu'il faut retenir est que la construction d'un mot de passe dur consiste à inventer un mot de passe qui va résister après que l'information protégée ait perdu tout intérêt. Il n'est pas utile de chercher un mot de passe qui va résister plusieurs millénaires aux tentatives de le casser si l'information à protéger n'a plus aucune valeur dans 5 ans.

L'utilisation d'un mot de passe d'un minimum de 16 caractères contenant des caractères spéciaux français (ceux que nous avons à notre clavier), des majuscules et minuscules, des chiffres et des lettres, va résister de nombreuses années à des attaques :

Comme les cybercriminels n'ont pas 10 ou 20 ans de calculs devant eux, avec des machines ultra-puissantes, pour casser ces mots de passe, ils les laissent tomber pour s'attaquer à des choses plus simples.

Normalement, les choses simples devraient être interdites et pourtant, combien de fois, en s'inscrivant sur un site, un forum, etc. on se fait jeter si le mot de passe que l'on veut utiliser contient autre chose que des chiffres et des lettres (interdiction d'espace, du caractère "souligné", de minuscules, du moindre caractère "spécial" comme les caractères accentués, les signes de ponctuation, les trucs "normalement normaux" comme les ²&é"#4{5[6|7`8\9^0@°]+}¨¨^$£¤ù%*µ,?;.:/!§<> etc.

Pour ajouter des caractères cyrilliques, grecs, hébreux, arabes, etc. :

Prenons un mot de passe relativement sérieux : vB4£!aQ(&5dfgKLM$!
Allez dans la table des caractères de Windows
Sélectionnez puis copiez, par exemple : سꙌꜩﷺꝘꚆ₫
Parsemez ça dans le mot de passe pour faire un mot de passe à la v₫B4£Ꚇ!aQꝘ(ﷺ&5dfꜩgKꙌLسM$!
Espérons que le site sur lequel on s'inscrit utilise, au moins, SHA-256 pour calculer le hashcode de ce mot de passe

Ça va être amusant de tenter de le casser durant les 50 ans à venir, en utilisant des centaines de processeurs graphiques ultrarapides.

L'autre chose à laquelle nous devrions tenir (et je vous mets au défi d'obtenir cette information sur 99,999% des sites sur lesquels il faut s'inscrire) est l'algorithme de chiffrement de nos mots de passe.

Nos mots de passe ne sont jamais (enfin... normalement) stockés en clair, mais uniquement sous une forme chiffrée (un "condensat" ou "Hashcode (Fonction de hachage)") qui est, normalement, un calcul à sens unique (on peut calculer un Hashcode à partir d'un mot de passe, mais il est impossible de recalculer un mot de passe à partir de son Hashcode - enfin, en théorie, car il y a des attaques de plus en plus puissantes contre les Hashcodes, dont les tables arc-en-ciel).

Comme cela prend du temps à calculer/recalculer chaque fois, les webmasters ont tendance à soulager leurs serveurs et leurs bases de données et donc à choisir l'algorithme de Hashcode le plus rapide (donc le plus simple et générant des condensats courts) : MD5 (devenu assez faible depuis quelques années). Mais MD5 est aussi le plus rapide à casser (bien qu'avec des caractères venant de 4 ou 5 alphabets, plus des caractères spéciaux, cela va monstrueusement ralentir le calcul inverse : remonter du Hashcode au mot de passe d'origine).

Cordialement,
Avatar de l’utilisateur
pierre
 
Messages: 22386
Inscription: 20 05 2002
Localisation: Ici et maintenant

Re: Mots de passe - Tests de solidité

Messagede Silure » 04 07 2017

Bonsoir Pierre et tous.


J'utilise, quant à moi, ce que j'appelle une porteuse, c'est-à-dire une phrase ou une devise dont vous vous souvenez naturellement, forcément et systématiquement.

Vous n'en conservez que les initiales dont vous alternez la casse, vous remplacez les O par les 0, les A par les @, les de par les 2, les E par les 3, etc...

J'ai un mot de passe de 26 caractères dont je me souviens sans problèmes, c'est devenu, entre autres, ma clef WPA. Le test de solidité de Pierre me donne 100% avant même que je n'aie complété celui-ci


@+
ImageLinux user #546171 Config <=
Avatar de l’utilisateur
Silure
 
Messages: 617
Inscription: 15 07 2005
Localisation: Aquitaine

Re: Mots de passe - Tests de solidité

Messagede pierre » 04 07 2017

Bonsoir Silure,
Autre porteuse (ou moyen mnémotechnique) qui me vient immédiatement à l'esprit :

Que j'aime à faire connaître ce nombre utile aux sages !
Immortel Archimède, artiste ingénieur,
Qui de ton jugement peut priser la valeur ?
Pour moi, ton problème eut de pareils avantages.
Jadis, mystérieux, un problème bloquait
Tout l'admirable procédé, l'œuvre grandiose
Que Pythagore découvrit aux anciens Grecs.

etc.
Etc.
Etc.

Chuuut... On ne révèle pas.
Avatar de l’utilisateur
pierre
 
Messages: 22386
Inscription: 20 05 2002
Localisation: Ici et maintenant

Re: Mots de passe - Tests de solidité

Messagede shl » 06 07 2017

ilorium a écrit:Connaissez vous un logiciel générateur de mots de passe effectuant cela ?

Keepass le fait, mais c'est un gestionnaire de mots de passe et pas seulement un générateur.
http://keepass.info/

Je suis un grand fan de Keepass, après avoir passé des années à me dire « jamais je ne stockerai mes mots de passe au même endroit ». Vu qu'il s'occupe de saisir le mot de passe pour se connecter, on peut se permettre d'avoir des mots de passe beaucoup plus longs et avec des caractères spéciaux hors du clavier. La limite vient plutôt des sites eux-mêmes, qui interdisent souvent les caractères "trop spéciaux" pour une raison que je n'ai jamais comprise.
Il faut aussi prendre en compte que si un jour tu dois te connecter sans ton gestionnaire, tu vas galérer à saisir ton mot de passe. :p

PS : Keepass stocke les mots de passe dans un fichier. A ne pas confondre avec LastPass ou d'autres gestionnaires, qui stockent les mots de passe en ligne (hors de question pour moi).
La vie privée n'est pas réservée à ceux qui ont des choses à se reprocher.
Ma config détaillée
Assiste.com
Avatar de l’utilisateur
shl
Développeur
 
Messages: 3443
Inscription: 30 10 2004
Localisation: Suivez mon regard...

Re: Mots de passe - Tests de solidité

Messagede bellafago » 22 07 2017

Bonjour,


Les tables des temps de " craquage" approximatifs des mots de passe sur Lockdown.co.uket Lockdown


@+ bellafago.
Avatar de l’utilisateur
bellafago
 
Messages: 5389
Inscription: 14 04 2005

Re: Mots de passe - Tests de solidité

Messagede pierre » 22 07 2017

Bonjour, Bellafago

Merci. Dommage que l'article (http://www.lockdown.co.uk/?pg=combi&s=articles) ne soit pas daté.

J'avais fais ça :

Force Brute - Casser les mots de passe : Attaque en Force brute et le problème du temps

Des processeurs ou clusters de processeurs spécialisés dans les attaques en force brute :

Image


Image


Cordialement
Avatar de l’utilisateur
pierre
 
Messages: 22386
Inscription: 20 05 2002
Localisation: Ici et maintenant

Re: Mots de passe - Tests de solidité

Messagede Vazkor » 22 07 2017

Bonsoir Pierre,

Dommage que l'article (http://www.lockdown.co.uk/?pg=combi&s=articles) ne soit pas daté.


L'article est bien daté du "Friday 10th July 2009 03:01" (tout en bas de la page).
Huit ans en informatique, c'est une éternité.

Cordialement,

Jean-Claude
Avatar de l’utilisateur
Vazkor
 
Messages: 9737
Inscription: 05 11 2002
Localisation: Ans, BE

Re: Mots de passe - Tests de solidité

Messagede pierre » 22 07 2017

Une excuse, vite... il faut que je trouve une bonne excuse...
Ah oui, je venais d'éplucher un oignon rouge pour faire un curry. Je ne voyais rien !
:cry:
Merci Jean-Claude.
Amitiés,
Pierre
Avatar de l’utilisateur
pierre
 
Messages: 22386
Inscription: 20 05 2002
Localisation: Ici et maintenant


Retourner vers Encyclopédie

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 3 invités