Le mot de passe, une question de longueur

Proposé par
Invité
le
dans
37

Sur internet, on vous demande souvent de choisir un mot de passe comprenant un mélange de lettres (minuscules et majuscules), de chiffres et de caractères spéciaux. En réalité, c'est surtout sa longueur qui le rend difficile à trouver par des méthodes classiques. Par exemple, si vous n'utilisez que des lettres, un mot de passe de 10 lettres comporte davantage de combinaisons possibles qu'un mot de passe de 7 lettres avec des majuscules/minuscules et des chiffres.

Tous les commentaires (37)

a écrit : Salut,

Augmenter le nombre de mots de passe possibles n'est efficient que si la force brute basique est employée.
Qui emploi cette méthode pour craquer un mot de passe aujourd'hui ?
Permettre de mettre plus de caractères possibles est une méthode effectivement plus efficace comparée à une méthode avec seulement un seul type de caractère.

Mais imposer d'utiliser tel ou tel type de caractère est contre productif.
Je prend un exemple :
On impose un caractère spécial, la plupart des gens ne vont en utiliser qu'un.
Il est possible de diminuer le nombre de combinaisons sur ce critère.
Puisque l'on sait que forcément au moins un caractère spécial va être utilisé.

Alors dit comme ça, ça peut paraître pas très concluant, mais avec des algo qui se basent sur des études comportementales, ça réduit les possibilités de... possibilités.

Exemple : le mot de passe doit être de 12 caractères. La plupart des gens vont aller jusqu'à ces 12 caractères en cherchant à les avoir. Ils vont souvent mettre la majuscule (ou les majuscules) au début, ils vont souvent mettre les chiffres à la fin en prenant leur année de naissance ou leur département. Pour le caractère spécial, ils vont en mettre qu'un mais inséré entre 2 mots ou comme initiale d'un mot (@ pour a, 3 pour e, 0 pour o, etc.)...
Donc obliger de mettre tel ou tel type de caractère est contre productif. Le permettre est par contre très bien.
Les sociétés ont mis ces obligations en place pour faire croire qu'elles sont plus sécuritaires et qu'un non respect est le problème de l’utilisateur.

Un mot de passe SeCoucherM0insB3te avec des obligations (au moins un caractère spécial, au moins 1 chiffre, au moins une majuscule,...) sera moins protégé qu'un mot de passe avec secouchermoinsbete avec une possibilité de mettre tous les caractères mais sans obligation.

Mes sources ? Informaticien depuis près de 40 ans et ayant eu des fonctions de responsable de la sécurité dans des endroits très sensibles.

Je suis désolé de le dire mais rien ne peut être sécurisé à 100% (pas que dans l'informatique).

Pour finir je vais prendre l'exemple flagrant :
On m'impose ou me donne un mot de passe si compliqué que je le note quelque part.

CQFD
JP Afficher tout Mes respects, cher confrère de la profession : les normies doivent sans doute employer la loi du moindre effort pour se logger facilement et je peux comprendre pourquoi : c'est plus simple pour tout le monde. VRAIMENT pour tout le monde!...

À la lecture des commentaires précédents et en toute logique, nous auront tous compris que l'anecdote n'est que partiellement vraie. Car si la longueur du mot de passe est importante, le nombre de caractères possible en a aussi beaucoup.

Je ne suis pas informaticien mais ce que je trouve le pire du pire c'est l'obligation de changer de mdp tous les 3 mois.

Cela fait que non seulement le mdp est pourri mais en plus il est écrit quelque part sinon on oublie vite quand on part en vacances.. . (Bien sûr je ne suis malheureusement pas le seul à le noter, tous mes collègues ou presque le font(

C'est donc, a mes yeux, inutile (je me trompe peut-être).

a écrit : Salut,

Augmenter le nombre de mots de passe possibles n'est efficient que si la force brute basique est employée.
Qui emploi cette méthode pour craquer un mot de passe aujourd'hui ?
Permettre de mettre plus de caractères possibles est une méthode effectivement plus efficace comparée à une méthode avec seulement un seul type de caractère.

Mais imposer d'utiliser tel ou tel type de caractère est contre productif.
Je prend un exemple :
On impose un caractère spécial, la plupart des gens ne vont en utiliser qu'un.
Il est possible de diminuer le nombre de combinaisons sur ce critère.
Puisque l'on sait que forcément au moins un caractère spécial va être utilisé.

Alors dit comme ça, ça peut paraître pas très concluant, mais avec des algo qui se basent sur des études comportementales, ça réduit les possibilités de... possibilités.

Exemple : le mot de passe doit être de 12 caractères. La plupart des gens vont aller jusqu'à ces 12 caractères en cherchant à les avoir. Ils vont souvent mettre la majuscule (ou les majuscules) au début, ils vont souvent mettre les chiffres à la fin en prenant leur année de naissance ou leur département. Pour le caractère spécial, ils vont en mettre qu'un mais inséré entre 2 mots ou comme initiale d'un mot (@ pour a, 3 pour e, 0 pour o, etc.)...
Donc obliger de mettre tel ou tel type de caractère est contre productif. Le permettre est par contre très bien.
Les sociétés ont mis ces obligations en place pour faire croire qu'elles sont plus sécuritaires et qu'un non respect est le problème de l’utilisateur.

Un mot de passe SeCoucherM0insB3te avec des obligations (au moins un caractère spécial, au moins 1 chiffre, au moins une majuscule,...) sera moins protégé qu'un mot de passe avec secouchermoinsbete avec une possibilité de mettre tous les caractères mais sans obligation.

Mes sources ? Informaticien depuis près de 40 ans et ayant eu des fonctions de responsable de la sécurité dans des endroits très sensibles.

Je suis désolé de le dire mais rien ne peut être sécurisé à 100% (pas que dans l'informatique).

Pour finir je vais prendre l'exemple flagrant :
On m'impose ou me donne un mot de passe si compliqué que je le note quelque part.

CQFD
JP Afficher tout J’ai perdu lin accès à gmail à cause de ces mots de passe “complexe”. Pout bien faire il faut avoir des mots de passe différent partout. Et bien voilà: moi i même je n’ai plus accès.

Voici un tableau que j'utilise dans mes présentations et qui est mis a jour tous les ans, ce qui permet de suivre l'évolution. Cette évolution est intéressante à suivre par rapport aux puissances des matériels qui évoluent également !
Force brute.
images.app.goo.gl/iaWBZ
10 caractères est dangereux par rapport à 10 caractères alphanumériques avec majuscules et caractères spéciaux...

Et j'insiste aussi sur l'utilisation des mots de passe uniques générés par des coffres forts numériques, type Keepass.

Source, je suis responsable support et relai rssi

Moi, je me sert des poésies les moins connues apprises enfant, le genre de celles dont je me souviendrai meme gâteuse. Et j'y ajoute les erreurs orthographiques les plus mémorables de mes anciens élèves. Si j'ai besoin de noter, ça donne poésie Mme Saltet, ou poème première après Germinal.
Lavoaduerosiniolselaivesourène
Après, comme tout le monde, je mets des caractères spéciaux et des chiffres.

a écrit : Ce n’est pas du côté du RGPD que j’irai chercher mais plutôt de la DGCCRF. J’y vois somme tout une atteinte à la liberté et à l’égalité entre les consommateurs pour acheter le même produit.

Mais après quand on voit les appels téléphoniques avec robot vocal (illégal en France sauf si on a un abonnement dans la boite qui appelle) et le fonctionnement de bloc tel (et l’inefficacité). C’est une vaine bataille Afficher tout Alors, j'ai un robot, ou une voix enregistrée, je ne sais pas, qui m'appelle régulièrement. Ou alors, c'est exactement la même nana, et ses soeurs, avec les même inflexions et le même discours. Cette semaine, elle m'a appelée au moins trois fois. Ça fait une paire de mois que ça a commencé. J'avoue que je ne la laisse pas développer après, donc je ne sais pas si elle "parle" ou si qqun prend le relais.

a écrit : Je ne suis pas informaticien mais ce que je trouve le pire du pire c'est l'obligation de changer de mdp tous les 3 mois.

Cela fait que non seulement le mdp est pourri mais en plus il est écrit quelque part sinon on oublie vite quand on part en vacances.. . (Bien sûr je ne suis malheureusement pas le seul à le noter, tous mes collègues ou presque le font(

C'est donc, a mes yeux, inutile (je me trompe peut-être). Afficher tout Il est reconnu que c'est effectivement une mauvaise pratique et les recommendations sont de ne plus faire cela.
L'utilisation d'un gestionnaire de mot de passe permet de minimiser la pénibilité d'une telle pratique (sauf si c'est pour se connecter à son ordinateur effectivement :( )

a écrit : Je ne suis pas informaticien mais ce que je trouve le pire du pire c'est l'obligation de changer de mdp tous les 3 mois.

Cela fait que non seulement le mdp est pourri mais en plus il est écrit quelque part sinon on oublie vite quand on part en vacances.. . (Bien sûr je ne suis malheureusement pas le seul à le noter, tous mes collègues ou presque le font(

C'est donc, a mes yeux, inutile (je me trompe peut-être). Afficher tout Le meilleur, c'est que, pour ne pas l'oublier, tu le copies sur un post-it, et que pour ne pas paumer celui-ci, tu le colles à ton écran : combo parfait

a écrit : Le meilleur, c'est que, pour ne pas l'oublier, tu le copies sur un post-it, et que pour ne pas paumer celui-ci, tu le colles à ton écran : combo parfait J'adore merci ;-)

a écrit : Ah purée, au risque de passer pour un vieux crouton, je me le dis TOUS LES JOURS.

Pour se constituer des bases clients, on use et on abuse de cette obligation. Et j'élargis même plus largement aux obligations IRL. Je me suis presque engueulé avec la vendeuse de BUT la semaine dernière car je refusais de laisser mon mail. Avec un air clairement supérieur, elle m'a dit que sans ça, je ne pourrai pas recevoir la facture. Il a fallu que j'insiste lourdement pour qu'ils me l'impriment sur place, c'est insupportable. Afficher tout J’ai une adresse mél que je n’utilise que pour la donner à tout ceux qui m’en demande une et à qui je ne veux pas donner ma vraie adresse mél. Je ne la consulte que quand j’attends qqch de particulier (un mél d’activation de compte, une facture…)

a écrit : J’ai une adresse mél que je n’utilise que pour la donner à tout ceux qui m’en demande une et à qui je ne veux pas donner ma vraie adresse mél. Je ne la consulte que quand j’attends qqch de particulier (un mél d’activation de compte, une facture…) Adresse Mélanie

a écrit : Voici un tableau que j'utilise dans mes présentations et qui est mis a jour tous les ans, ce qui permet de suivre l'évolution. Cette évolution est intéressante à suivre par rapport aux puissances des matériels qui évoluent également !
Force brute.
images.app.goo.gl/iaWBZ
10 caractères est dangereux par rapport à 10 caractères alphanumériques avec majuscules et caractères spéciaux...

Et j'insiste aussi sur l'utilisation des mots de passe uniques générés par des coffres forts numériques, type Keepass.

Source, je suis responsable support et relai rssi Afficher tout Quel service permet de bruteforce des mots de passe de nos jours ?

a écrit : C'est franchement l'une des plus mauvaises idées à avoir été implémenté dans je ne sais combien de services informatiques.

Un moyen de s'en prémunir est l'utilisation d'un gestionnaire de mot de passe solide (pas ceux natifs dans les moteurs de recherche ou les téléphones) et indépendants. Et même comme ça, parfois, certains services refusent tels ou tels caractères et il faut bidouiller pour créer un compte.

Mais cela ramène à un autre problème encore plus "emmerdant". Pourquoi DOIS-je créer un compte utilisateur avec mot de passe pour faire fonctionner mon imprimante, ma trotinette électrique, mon four ou même mon taille-haie ou acheter un micro-onde ? Je regrette le temps où les objets fonctionnaient simplement avec un bouton on/off et non je n'ai vraiment pas besoin d'un four et d'un frigo connecté au wifi ^^ Afficher tout Tout à fait ! : utilisez KeyPass XC, outil open source et tellement pratique !

Petite pensée au site internet flying blue de Air France qui, à l'époque ( je ne sais pas aujourd'hui si c'est toujours le cas) te limitait à 12 caractères, mais t'imposait des caractères spécifiques.

Ça me fesait bien ch....

a écrit : Petite pensée au site internet flying blue de Air France qui, à l'époque ( je ne sais pas aujourd'hui si c'est toujours le cas) te limitait à 12 caractères, mais t'imposait des caractères spécifiques.

Ça me fesait bien ch.... Air France qui a été hacké quelques semaines après votre message.

Le pire que j’ai eu, c’est un site qui réclamait un nombre de caractères précis (ni plus, ni moins), au moins un chiffre, et un caractère spécial, mais uniquement dans une liste de 3-4 caractères uniquement. Une horreur!