Assiste.Forums

[pierre]

Mot de passe

En traitement de l'information, le "mot de passe" est la première protection des données qui doivent rester cachées aux yeux de tous les autres. Le "mot de passe" protège contre les usurpations d'identité.

Si le demandeur identifié présente le bon mot de passe, il est habilité à accéder à la ressource. L'utilisation se fait avec un couple de données formant une clé :
Identifiant du demandeur (Login - UserName) - Qui est le demandeur ?
Mot de passe - Le demandeur prouve qu'il est qui il prétend être.

Malheureusement, dès qu'une chose est cachée, elle excite et attise la convoitise de tous ! Le "mot de passe" va donc être victime d'attaques en tous genres.

Comment construire des "mots de passe" résistants ?

Mots de passe

[shl]

Bonjour

A propos de cette page : http://assiste.free.fr/Assiste/Identifiant.html
Un certain nombre de sites utilisent un login secret (par exemple l'adresse mail), différent du pseudo public. Le pirate devra deviner le login en plus du mot de passe, ce qui fait grimper en flèche le nombre de combinaisons possibles.

[Vazkor]

Salut Pierre,

Wow !
Dans le premier message, deux viols de Laure Tograff séparés par un seul mot dans la même phrase, faut l'faire !

"Malheureusement, dès qu'une chose est cachée, elle exite et atise la convoitise de tous !"
À corriger en existe et attise, œuf corse !

Je viens de retourner presque par hasard sur le site de Steve Gibson et j'y ai découvert un Calculateur de résistance des mots de passe à une attaque "force brute", qui m'étais inconnu :
GRC's Interactive Brute Force Password “Search Space” Calculator
Pour Steve Gibson, il n'est nul besoin de s'embêter avec des mots de passe aléatoires impossibles à retenir. C'est la longueur du mot de passe qui importe à condition d'utiliser au moins un caractère des quatre jeux disponibles : minuscules, majuscules, chiffres et symboles (caractères spéciaux).

Il donne cet exemple :
D0g.....................
et
PrXyc.N(n4k77#L!eVdAfp9

Simplement parce qu'il contient un caractère de plus, le premier demandera 95 fois plus de temps à être découvert que le second.

Amitiés,

Jean-Claude

[shl]

Excite plutôt que existe, non ?

[pierre]

Corrigé, merci

Gibson
Oui et non.
La quasi totalité des tests de solidité d'un mot de passe, des attaques par dictionnaires exhaustifs (et le problème de taille mémoire) ou en force Brute (et le problème du temps) et par tables arc en ciel (Rainbow Tables et le compromis temps / mémoire) sont anglo-saxons et se base sur un jeu de caractères ne tenant pas compte des accentuations.

[Silure]

Bonsoir à tous.


Personnellement j'utilise ce que j'appelle une "porteuse", une sorte de système mnémotechnique; à savoir une phrase très aisément mémorisable dont je ne conserve que les initiales.

J'alterne bien évidemment la casse, place des symboles et chiffres lorsque ça n'altère pas le sens de la phrase.

Ça me permet un mot de passe complexe sans tempête cérébrale pour le retenir. Ça donne, bien entendu, 100% sur le lien du test de solidité de Pierre.

A+

[pierre]

Un mnémotechnique célèbre :

Que j'aime à faire apprendre ce nombre utile aux sages !
Immortel Archimède, artiste ingénieur,
Qui de ton jugement peut priser la valeur ?
Pour moi, ton problème eut de pareils avantages.
Jadis, mystérieux, un problème bloquait
Tout l'admirable procédé, l'œuvre grandiose
Que Pythagore découvrit aux anciens Grecs.
0 quadrature ! Vieux tourment du philosophe
Insoluble rondeur, trop longtemps vous avez
Défié Pythagore et ses imitateurs.
Comment intégrer l'espace plan circulaire ?
Former un triangle auquel il équivaudra ?
Nouvelle invention : Archimède inscrira
Dedans un hexagone ; appréciera son aire
Fonction du rayon. Pas trop ne s'y tiendra :
Dédoublera chaque élément antérieur ;
Toujours de l'orbe calculée approchera ;
Définira limite ; enfin, l'arc, le limiteur
De cet inquiétant cercle, ennemi trop rebelle
Professeur, enseignez son problème avec zèle

[Silure]

Tempête cérébrale, disais-je ??

[pierre]

[shl]

A propos des phrases dans les mots de passe, on conseille toujours de ne pas utiliser de mots qui ont du sens. Alors certes, pour des mots isolés comme "voiture" ou "chaton", ça se comprend, une attaque par dictionnaire aura tôt fait de le trouver. Mais si c'est une combinaison de mots du style "GeorgesClooneyEstTropBeau", est-ce que les dictionnaires sont toujours efficaces ?

Dans les films, quand ils déchiffrent un mot de passe, l'écran affiche le premier caractère, puis le second, et ainsi de suite. Si ça se passait comme ça dans la réalité, oui, on pourrait facilement deviner les mots qui suivent. Mais la réalité est "binaire" : soit on trouve la bonne combinaison, soit on ne la trouve pas. Pas d'indices.

Du coup, un mot de passe de 25 caractères comme celui que je viens de donner peut être très simple à retenir et rapide à taper, contrairement à un mot de passe style "e$Fsp%&Hi". J'ai lu quelque part (sur Assiste ?) que la plupart des bots crackeurs ne cherchaient pas au-delà d'environ 10 caractères...