GarlicHead a écrit : Le gros problème avec ton approche, c’est que quelqu’un ayant réussi à récupérer un seul de tes mots de passe peut facilement deviner tous les autres.
Il y a en gros 2 façons de voler des mots de passe :
- Par fishing, en dirigeant la victime sur un faux site ou en installant un malware.
- En volant les bases de comptes d’un site web
Le premier est le plus courant, et fournit les mots de passe en clair.
Avoir un mot de passe long et/ou complexe ne sert à rien.
Il est par contre important qu’il ne donne pas d’indication sur tes autres mots de passe.
Lorsque c’est la base de comptes du fournisseur qui a été dérobée, oui le plus important est la longueur du mot de passe et son unicité.
La complexité ne sert à presque rien.
Par contre, les hackers utilisent des attaques par dictionnaire , en combinant plusieurs mots/chiffres.
Un mot de passe complètement aléatoire est préférable.
Je travaille dans la cyber sécurité depuis des années. Des login/mots de passe volés, j’en ai vu plus d’un million.
Par contre, jusqu’à présent, je n’ai vu aucun cas de mot de passe principal de dashlane, keepass ou autre dérobé.
Le NIST, que tu cites dans ton article, a enfin compris que la complexité est une connerie. On était quelques uns à le dire depuis des années, pour les raisons exposées: La majuscule, tout le monde la met en premier caractère etc.
Mais jusqu’à peu, on restait inaudibles.
De même que forcer un changement de mot de passe trop souvent est contre productif.
Gardons à l’esprit: La sécurité des cartes bancaires repose sur un code pin de 4 chiffres qui ne change jamais. Afficher tout Aléatoire et long.

Dans ce cas là, il est préférable de recourir à keepass effectivement. Ma méthode s’applique à des comptes simples type compte Fnac ou scmb et permet de complexifier (un minimum) tout en retenant facilement les mdp. Je connais beaucoup de gens ou le mot de passe est par exemple « 123martin » et ce mot de passe est identique pour tous leur compte.
Bref je ne détiens pas de code nucléaire ni de chose secrète et mon mot de passe de messagerie de référence pour ces comptes est différent de tous les autres mais je te l’accorde ce n’est certainement pas infaillible.

roweb a écrit : C'est assez fascinant car on associe souvent l'informatique a quelque chose de très ordonné, et on se pose rarement la question du désordre justement. Et du coup le contraste est marrant entre des lampes-jouet et la cyber-securité mondiale. Ça donne envie de trouver d'autres moyens originaux fondés sur des choses erratiques! --- A quand une clé de chiffrement basée sur les tweets de Trump ? Sur l'humeur de Mélenchon ? Sur la différence entre les prédictions météo et la réalité ? Sur le succès de Gad Elmaleh ? Sur le cours du Bitcoin ? Sur l'envie périodique des citoyens des UK de rentrer ou sortir de l'Europe ? Sur le degré de respectabilité de TPMP? Sur le nombre d'évanouissement de jeunes filles à un concert de Gaga? Sur les avis au documentaire sur Mickaël Jackson?... On peut continuer longtemps arf ^^ Afficher tout T'étais inspiré! Tu bosserais pas dans l'informatique? ^^

TybsXckZ a écrit : Aléatoire et long.

Dans ce cas là, il est préférable de recourir à keepass effectivement. Ma méthode s’applique à des comptes simples type compte Fnac ou scmb et permet de complexifier (un minimum) tout en retenant facilement les mdp. Je connais beaucoup de gens ou le mot de passe est par exemple « 123martin » et ce mot de passe est identique pour tous leur compte.
Bref je ne détiens pas de code nucléaire ni de chose secrète et mon mot de passe de messagerie de référence pour ces comptes est différent de tous les autres mais je te l’accorde ce n’est certainement pas infaillible. Afficher tout C’est pas faux.
J’utilise moi-même des règles similaires pour certains mots de passe.
Tu as malheureusement fait une erreur classique en sécurité, qui consiste à vouloir en faire trop.
Prenons ton exemple de mot de passe Facebook.
La structure est très claire. On voit tout de suite qu’il est composé d’un préfixe suivi d’une couleur suivi de 4 lettres aléatoires.
Trouver que book représente les 4 derniers lettres de Facebook prend une minute.
Le nombre de couleurs probables est de 5 ou 6, et si on voit rouge on peut s’attendre à ce que vert soit également utilisé.
Avec cette structure, on va essayer d’attaquer ton compte mail et à partir de là, on a accès à toutes tes données.
Il est préférable d’utiliser une structure non devinable.
Ex c1tdvoc1R en préfixe (Baudelaire, le dormeur du val) avec la dernière lettre en majuscule), pas de couleur, avant dernière et seconde lettre du site.
c1tdvoc1Roa pour facebook.
Je sais bien que la règle que tu utilises n’est pas celle que tu as décrite ici, mais bon, faut faire très gaffe à ces travers.
Changer le préfixe tous les mois me semble ingérable.
Ou bien tu mets a jour tes mois, faut être parano ou n’avoir rien d’autre à faire, ou bien tu ne le fais pas et la, se souvenir de tous les préfixes utilisés avec le mois associé est impossible.

GarlicHead a écrit : C’est pas faux.
J’utilise moi-même des règles similaires pour certains mots de passe.
Tu as malheureusement fait une erreur classique en sécurité, qui consiste à vouloir en faire trop.
Prenons ton exemple de mot de passe Facebook.
La structure est très claire. On voit tout de suite qu’il est composé d’un préfixe suivi d’une couleur suivi de 4 lettres aléatoires.
Trouver que book représente les 4 derniers lettres de Facebook prend une minute.
Le nombre de couleurs probables est de 5 ou 6, et si on voit rouge on peut s’attendre à ce que vert soit également utilisé.
Avec cette structure, on va essayer d’attaquer ton compte mail et à partir de là, on a accès à toutes tes données.
Il est préférable d’utiliser une structure non devinable.
Ex c1tdvoc1R en préfixe (Baudelaire, le dormeur du val) avec la dernière lettre en majuscule), pas de couleur, avant dernière et seconde lettre du site.
c1tdvoc1Roa pour facebook.
Je sais bien que la règle que tu utilises n’est pas celle que tu as décrite ici, mais bon, faut faire très gaffe à ces travers.
Changer le préfixe tous les mois me semble ingérable.
Ou bien tu mets a jour tes mois, faut être parano ou n’avoir rien d’autre à faire, ou bien tu ne le fais pas et la, se souvenir de tous les préfixes utilisés avec le mois associé est impossible. Afficher tout J’entends bien et merci des conseils. La phonétique c’est une bonne idée et ça empêche la casse au dico. Ensuite le mot de passe email doit vraiment être différent de tout les autres a mon avis.
Pour le reste je n’ai pas facebook et mes comptes bancaires sont protégés par Token. On peut toujours me pirater le compte scmb.

Songeef a écrit : Ce n'est pas difficile ; c'est impossible. En informatique, l'aléatoire n'existe pas. Je suis entièrement d'accord et aurait dû endre l'euphémisme + obvious.
(Nos machines sont actuellement trop déterministes pour cela. Pas sûr pour les pcs quantiques, je ne les connais pas assez pour affirmer que le random total soit possible ou non)

Alors la je me rend compte que je ne suis pas intelligente car je n’ai pas compris

TybsXckZ a écrit : J’entends bien et merci des conseils. La phonétique c’est une bonne idée et ça empêche la casse au dico. Ensuite le mot de passe email doit vraiment être différent de tout les autres a mon avis.
Pour le reste je n’ai pas facebook et mes comptes bancaires sont protégés par Token. On peut toujours me pirater le compte scmb. Afficher tout Oui, il est primordial que le mot de passe du mail qui sert à récupérer les mots de passe perdus soit unique, et personne n’insiste suffisamment la dessus.
Parce que si celui là est corrompu, potentiellement tous les autres le sont .

Un bon mot de passe se change régulièrement.
Il doit être du style suivant :
Des lettres des chiffres des caractères spéciaux
Le mieux étant de différencier pour chaque interface.
Gmail : tartenpion04//gm
Fb : tartenpion05//fb

Ce mot de passe et bien plus difficile a trouver qu'une simple suite de lettre.

A savoir que les pirates ont différentes manière de vous les subtiliser, celà peut être a distance : par le biai de mail, de logiciel piraté téléchargé (en se disant je fais une affaire), d'appel téléphonique etc
Celà peut être aussi à proximité, une caméra discrète au dessus de votre clavier, une clés USB avec un virus programmé etc

La première chose sur internet, c'est d'eviter d'étaler sa vie personnel.

Éviter des mots de passe avec le prénom de son amoureuse sa date de naissance etc

Ne pas ouvrir tous ses pourriels (spam)

Prendre garde aux conseils de votre navigateur internet.

Toujours vérifier l'exactitude de l'adresse a la quelle on cherche a accéder.

NE PAS ECRIRE SES MDP POUR S'EN SOUVENIR !!! ET NE LE DIVULGUER A PERSONNE MEME PAS VOTRE FEMME EN SUPER GUERRIÈRE DE NIVEAU 3 QUI FAIT SA CRISE DE JALOUSIE =p

Voilà pour mes conseils peace