On ne remercie pas Bill Burr

Proposé par
le

Bill Burr est un informaticien qui vous a probablement rendu fou sans que vous le sachiez. Il est en effet à l'origine du fait que des sites internet vous demandent des mots de passe dits complexe (lettre, chiffres, caractères spéciaux), suite à un rapport qu'il rendit dans les années 2000 sur les bonnes pratiques à destination de l’administration américaine. Ses recommandations, devenues populaires, ne se basaient sur aucune étude. Il s'est depuis excusé.


Commentaires préférés (3)

Des études internationalement reconnues qui ne reposent sur rien, il y en a à la pelle

Pour le sujet des mots de passe, c’est bien la longueur qui compte et pas la complexité ...
C’est celui qui a le plus grand qui gagne !

Ça va, lui on ne lui en veut pas trop. Par contre si on choppe celui qui a inventé le captcha, il va passer un sale quart d'heure.


Tous les commentaires (45)

Des études internationalement reconnues qui ne reposent sur rien, il y en a à la pelle

oui et alors il est vrai qu'entre jean et Jean124R5TYU7 le 2eme prend 234567YUU fois plus de temps a craquer donc une bonne chose merci à ce gars!

a écrit : oui et alors il est vrai qu'entre jean et Jean124R5TYU7 le 2eme prend 234567YUU fois plus de temps a craquer donc une bonne chose merci à ce gars! c'est en seconde pour chaque mot existant dans les data, si vous faites une combinaison déjà c'est comme avoir une porte qui est facile à ouvrir, contre une porte ouverte, de toute façon, on a rien à cacher à l'Etat et aux GAFA si? Tiens je me sens en sécurité à cette idée...

a écrit : Des études internationalement reconnues qui ne reposent sur rien, il y en a à la pelle Non. Le problème c’est que les médias vulgarisent en reprenant le titre de manière grossière et tapageuse des articles scientifiques. Il faut savoir que pour publier un article, on doit le soumettre à un comité composé d’autres scientifiques et que la pertinence de l’analyse et des démonstrations est étudiée.

Bien sûr suivant le journal scientifique dans lequel vous publiez, l’analyse pré-publication est plus ou moins poussée, mais il faut arrêter avec le bashing des études scientifiques. Ça serait réduire le travail des universitaires et chercheurs, qui dure parfois plusieurs années.

a écrit : Des études internationalement reconnues qui ne reposent sur rien, il y en a à la pelle Avez vous des exemples ? J’en serais bien curieux (avec liens si possible)

Pour le sujet des mots de passe, c’est bien la longueur qui compte et pas la complexité ...
C’est celui qui a le plus grand qui gagne !

Ça va, lui on ne lui en veut pas trop. Par contre si on choppe celui qui a inventé le captcha, il va passer un sale quart d'heure.

a écrit : Avez vous des exemples ? J’en serais bien curieux (avec liens si possible) www.lefigaro.fr/international/2018/10/04/01003-20181004ARTFIG00359-etats-unis-trois-auteurs-piegent-des-revues-intersectionnelles-avec-des-articles-bidons.php
On peut parler de l'homéopathie (fr.wikipedia.org/wiki/M%C3%A9moire_de_l%27eau) , avec aussi des études sur plusieurs milliers d'individus, qui ne prouve que l'existence de l'effet placebo
On a trouvé des poils du Yéti (qui serait un ours) et on a même filmé des extra-terrestres, big foot et le monstre du Loch Ness, qui, lui, bénéficie d'études qui remplissent les étagères de bibliothèques universitaires
Je veux juste dire que sur les milliers d'études scientifiques qui sont publiées chaque année, il y en a quelques dizaines qui sont... farfelues(?)
Depuis 1900, ça fait plusieurs (dizaines de?) millers, et que, malheureusement, ce ne sont pas toujours les plus sérieuses qui deviennent grand public

a écrit : Pour le sujet des mots de passe, c’est bien la longueur qui compte et pas la complexité ...
C’est celui qui a le plus grand qui gagne !
Il y a quand même aussi la manière de s'en servir :D

a écrit : Pour le sujet des mots de passe, c’est bien la longueur qui compte et pas la complexité ...
C’est celui qui a le plus grand qui gagne !
Je ne suis pas très compétent en informatique mais je pensais que plus il y avait de possibilité de caractère plus le mot de passe était compliqué à trouver.
Je veux dire qu’il y a beaucoup plus de mots de passe possibles à tester si on inclut les caractères spéciaux que si on ne prend que les 26 lettres de l’alphabet ?

Ce que je veux dire c’est « celui qui gagne c’est celui qui a un mot de passe long et complexe », est ce bien cela ?

a écrit : Non. Le problème c’est que les médias vulgarisent en reprenant le titre de manière grossière et tapageuse des articles scientifiques. Il faut savoir que pour publier un article, on doit le soumettre à un comité composé d’autres scientifiques et que la pertinence de l’analyse et des démonstrations est étudiée.
/> Bien sûr suivant le journal scientifique dans lequel vous publiez, l’analyse pré-publication est plus ou moins poussée, mais il faut arrêter avec le bashing des études scientifiques. Ça serait réduire le travail des universitaires et chercheurs, qui dure parfois plusieurs années. Afficher tout
Déjà il ne parlait pas que des études publiées dans des revues scientifiques mais des études en général (en l'occurrence, celle dont parle l'anecdote est un rapport remis au gouvernement) et ensuite tu as l'air de croire que toutes les revues scientifiques ont un comité de lecture mais c'est faux et c'est bien pourquoi on distingue les revues à comité de lecture et celles qui n'en ont pas et on accorde plus d'importance aux premières. Parce que des chercheurs qui consacrent plusieurs années à étudier des sujets fantaisistes ou qui publient des résultats bidonnés dans des petites revues, ça existe aussi. Et même les revues les plus prestigieuses se sont déjà fait avoir avec des articles bidonnés qui ont réussi à passer l'étape de validation du comité de lecture et à être publiés.

a écrit : Non. Le problème c’est que les médias vulgarisent en reprenant le titre de manière grossière et tapageuse des articles scientifiques. Il faut savoir que pour publier un article, on doit le soumettre à un comité composé d’autres scientifiques et que la pertinence de l’analyse et des démonstrations est étudiée.
/> Bien sûr suivant le journal scientifique dans lequel vous publiez, l’analyse pré-publication est plus ou moins poussée, mais il faut arrêter avec le bashing des études scientifiques. Ça serait réduire le travail des universitaires et chercheurs, qui dure parfois plusieurs années. Afficher tout
Malheureusement, la recherche du sensationnel l'emportera systématiquement sur la rigueur. On est des gens, pas des machines

a écrit : Pour le sujet des mots de passe, c’est bien la longueur qui compte et pas la complexité ...
C’est celui qui a le plus grand qui gagne !
D'autant plus si l'algorithme qui essaie de casser le mot de passe suppose qu'il y a des caractères spéciaux, il va essayer des combinaisons avec des caractères spéciaux et ça va le ralentir pour tous les mots de passe, même ceux qui n'ont pas de caractères spéciaux. Puisque désormais la plupart des mots de passe ont des caractères spéciaux, on ne peut pas supposer que le hacker qui essaie de casser un mot de passe va commencer par essayer des mots simples sans aucun caractère spécial. Alors, à mon avis c'était quand même une bonne idée d'imposer que les mots de passe incluent une combinaison de lettres, de chiffres et de caractères spéciaux, mais ce n'est pas indispensable pour chaque mot de passe, ça profite à la communauté dans son ensemble (comme les vaccins) !

a écrit : D'autant plus si l'algorithme qui essaie de casser le mot de passe suppose qu'il y a des caractères spéciaux, il va essayer des combinaisons avec des caractères spéciaux et ça va le ralentir pour tous les mots de passe, même ceux qui n'ont pas de caractères spéciaux. Puisque désormais la plupart des mots de passe ont des caractères spéciaux, on ne peut pas supposer que le hacker qui essaie de casser un mot de passe va commencer par essayer des mots simples sans aucun caractère spécial. Alors, à mon avis c'était quand même une bonne idée d'imposer que les mots de passe incluent une combinaison de lettres, de chiffres et de caractères spéciaux, mais ce n'est pas indispensable pour chaque mot de passe, ça profite à la communauté dans son ensemble (comme les vaccins) ! Afficher tout Je trouve surtout que ça nuit grandement à la mémorisation et du coup on s’empresse d’enregistrer les mots de passe dans le navigateur et il suffit que quelqu’un prenne un ordi allumé pour accéder à tous les comptes de la personne en question ...

Je dis juste que le mot de passe : j’aimelechevrechaud est plus efficace que toto@14359D.
Il est plus long à craquer et plus facile à mémoriser donc on le mémorise dans sa tête et pas dans divers outil informatique qui ne font que déplacer le problème de sécurité.

a écrit : Je trouve surtout que ça nuit grandement à la mémorisation et du coup on s’empresse d’enregistrer les mots de passe dans le navigateur et il suffit que quelqu’un prenne un ordi allumé pour accéder à tous les comptes de la personne en question ...

Je dis juste que le mot de passe : j’aimelechevrechaud est
plus efficace que toto@14359D.
Il est plus long à craquer et plus facile à mémoriser donc on le mémorise dans sa tête et pas dans divers outil informatique qui ne font que déplacer le problème de sécurité.
Afficher tout
En effet c'est sûrement très efficace comme mot de passe, d'autant plus qu'il comporte un caractère spécial pour le rendre plus complexe (l'apostrophe !). ^^

a écrit : En effet c'est sûrement très efficace comme mot de passe, d'autant plus qu'il comporte un caractère spécial pour le rendre plus complexe (l'apostrophe !). ^^ Ce qui est encore plus efficace c’est d’écrire en leet speak ;)
Facile à mémoriser et contenant des caractères complexes.

a écrit : En effet c'est sûrement très efficace comme mot de passe, d'autant plus qu'il comporte un caractère spécial pour le rendre plus complexe (l'apostrophe !). ^^ en plus, il aurait pu contenir un accent grave

a écrit : Je trouve surtout que ça nuit grandement à la mémorisation et du coup on s’empresse d’enregistrer les mots de passe dans le navigateur et il suffit que quelqu’un prenne un ordi allumé pour accéder à tous les comptes de la personne en question ...

Je dis juste que le mot de passe : j’aimelechevrechaud est
plus efficace que toto@14359D.
Il est plus long à craquer et plus facile à mémoriser donc on le mémorise dans sa tête et pas dans divers outil informatique qui ne font que déplacer le problème de sécurité.
Afficher tout
Tiens regarde ça, je trouve que ça résume bien ton idée ^^
www.xkcd.com/936/

a écrit : Ça va, lui on ne lui en veut pas trop. Par contre si on choppe celui qui a inventé le captcha, il va passer un sale quart d'heure. Tu oublies celui qui a crée le "vous devez accepter les cookies"

Moi j'ai tous mes mots de passe différents et compliqués sur un répertoire papier, comme ça, quand je perd mon répertoire, je peux plus aller nulle part et celui qui le trouve peut aller partout! C'est plus pratique, quoi! ^^