Freenews

Je connais ton mot de passe !
« le: 23 janvier 2010 13:15:25 »
Nous possédons tous de très nombreux mots de passe. En ces temps d'Hadopi et autres flicages,nous mettons de plus en plus de données en ligne, sans être alarmiste, il semble encore plus urgent d'adopter les bonnes pratiques en matière de mots de passe.

Un institut de sécurité a récemment analysé la liste des 32 millions de mots de passe qui a été dérobée lors d'un piratage d'un grand site américain (rockyou.com). Le constat fait froid dans le dos et laisse un joli avenir aux pirates.

{Êtes-vous certains d'avoir pris le minimum de précaution ? }

Lire l'intégralité de la news

FxBruno

Je connais ton mot de passe !
« Réponse #1 le: 23 janvier 2010 13:50:13 »
Majuscule, minuscule ?

Impossible de mettre une majuscule sur le mot de pass de la console de Free ...

agrou

Je connais ton mot de passe !
« Réponse #2 le: 23 janvier 2010 14:43:23 »
" Pour aider à se souvenir des mots de passe, une astuce simple : écrivez-les et mettez le papier dans votre portefeuille.  "

C'est une blague ???
Comment peut-on oser fournir un "conseil" aussi idiot ???

cedric

Je connais ton mot de passe !
« Réponse #3 le: 23 janvier 2010 15:10:54 »
Citation de: agrou
" Pour aider à se souvenir des mots de passe, une astuce simple : écrivez-les et mettez le papier dans votre portefeuille.  "

C'est une blague ???
Comment peut-on oser fournir un "conseil" aussi idiot ???
Précise ta pensée .....  

A choisir tu prends quoi : -un mot de passe crackable en moins de 15 min? ou un mot de passe SERIEUX mais compliqué sur un papier (impossible pour quelconque pirate de venir lire ton portefeuille) ?

Je suppose que tu me conseillera de l'enregistrer dans l'ordinateur (Firefox ou pourquoi pas un .txt sur le bureau???)

Je doute que tu ai beaucoup de mots de passe complexe à retenir vu ton commentaire "intelligent"


ckikig

Je connais ton mot de passe !
« Réponse #4 le: 23 janvier 2010 15:12:34 »
Ce sont des bons conseils que vous donnez aux utilisateurs.

Mais pour les appliquer il faudrait aussi que les administrateurs des sites dans lesquels un mot de passe est nécessaire puissent les gérer.

Et malheureusement ce n'est vraiment pas le cas.

Par exemple chez vous...

cedric

Je connais ton mot de passe !
« Réponse #5 le: 23 janvier 2010 15:25:31 »
Citation de: ckikig
Ce sont des bons conseils que vous donnez aux utilisateurs.

Mais pour les appliquer il faudrait aussi que les administrateurs des sites dans lesquels un mot de passe est nécessaire puissent les gérer.

Et malheureusement ce n'est vraiment pas le cas.

Par exemple chez vous...
Hummmm Tu as besoin d'un mot de passe pour Freenews... il est crée de façon aléatoire, tu le recois par mail (ok pas HTTPS) mais rien ne t'empêche de le personnaliser dans ton profil et il est de toute manière crypté dans notre base de donnée Fluxbb . On envisage de changer de système a terme et on n'y perdra pas en sécurité. maintenant les données que tu entre dans ton profil sont peu sensibles logiquement. (la plupart étant lisibles pour les tiers LOL)

ckikig

Je connais ton mot de passe !
« Réponse #6 le: 23 janvier 2010 15:47:19 »
Mea culpa, j'ai fait testé un nouveau mot de passe sur votre site et c'est bien ok.


cedric

Je connais ton mot de passe !
« Réponse #7 le: 23 janvier 2010 15:53:48 »
Citation de: ckikig
Mea culpa, j'ai fait testé un nouveau mot de passe sur votre site et c'est bien ok.
:-) ca aura au moins eu ce mérite là ....lol

UNJ

Je connais ton mot de passe !
« Réponse #8 le: 23 janvier 2010 17:24:51 »
Moi j'ai un mot de passe différent pour chaque site

vous allez me dire il est taré il peut pas tous les retenir !! eh bah si avec une méthode toute simple
vous prenez un mot de passe de base exemple : new2news (donc 8 caractères) ensuite vous rajoutez la première ou les 2 premières lettres du site correspondant en majuscule en l'occurrence ici : FR (FReenews) ce qui donnera au final FRnew2news ou new2newsFR. sur le site de google ca donnerais : GOnew2news ou new2newsGO
du coup même si on découvre votre mot de passe on ne pourra pas se connecter a vos autres compte puisque le mot de passe changera a chaque fois. En plus niveau sécurité c'est pas mal car vous avez :
- un mot de passe à 10 caractères
- des minuscules
- des majuscules
- des chiffres
- un mot de passe différent a chaque fois (sauf pour les sites qui commence par les même lettres comme free et freenews :/ ...

Le but de mon explication n'est pas que tout le monde fasse pareil mais que chacun trouve une méthode propre a lui meme pour retenir tous ses mots de passe. on peut prendre juste une lettre du site, la mettre au milieu du mot de passe de base, ne pas la mettre en majuscule, mettre une lettre du mot de passe de base en majuscule. en bref faite ce qui vous convient le mieux soyez imaginatif mais une fois que vous avez votre méthode gardez toujours la même (sinon vous allez être pommé).

PhilMGN

Je connais ton mot de passe !
« Réponse #9 le: 23 janvier 2010 17:43:21 »
Bonjour
Possesseur d'un Asus, je dispose du système Asus Sécurity Protect Manager qui me permet de stocker des noms d'utilisateur et des mots de passe différents pour chaque site sans avoir à me soucier de les mémoriser. Je peux choisir ensuite le mode d'accès aux sites, automatique ou pas. Vos avis sur ce genre de procédé d'identification...

cedric

Je connais ton mot de passe !
« Réponse #10 le: 23 janvier 2010 17:52:43 »
Citation de: UNJ
Moi j'ai un mot de passe différent pour chaque site

vous allez me dire il est taré il peut pas tous les retenir !! eh bah si avec une méthode toute simple
vous prenez un mot de passe de base exemple : new2news (donc 8 caractères) ensuite vous rajoutez la première ou les 2 premières lettres du site correspondant en majuscule en l'occurrence ici : FR (FReenews) ce qui donnera au final FRnew2news ou new2newsFR. sur le site de google ca donnerais : GOnew2news ou new2newsGO
du coup même si on découvre votre mot de passe on ne pourra pas se connecter a vos autres compte puisque le mot de passe changera a chaque fois. En plus niveau sécurité c'est pas mal car vous avez :
- un mot de passe à 10 caractères
- des minuscules
- des majuscules
- des chiffres
- un mot de passe différent a chaque fois (sauf pour les sites qui commence par les même lettres comme free et freenews :/ ...

Le but de mon explication n'est pas que tout le monde fasse pareil mais que chacun trouve une méthode propre a lui meme pour retenir tous ses mots de passe. on peut prendre juste une lettre du site, la mettre au milieu du mot de passe de base, ne pas la mettre en majuscule, mettre une lettre du mot de passe de base en majuscule. en bref faite ce qui vous convient le mieux soyez imaginatif mais une fois que vous avez votre méthode gardez toujours la même (sinon vous allez être pommé).
Très bonne méthode !!!

UNJ

Je connais ton mot de passe !
« Réponse #11 le: 23 janvier 2010 17:55:56 »
Citation de: Cedric
Très bonne méthode !!!
^_^ merci

JoePike

Je connais ton mot de passe !
« Réponse #12 le: 23 janvier 2010 18:01:02 »
effacé

Rach

Je connais ton mot de passe !
« Réponse #13 le: 23 janvier 2010 20:09:34 »
Citation de: JoePike
Ce qui est marrant c'est qu'ils ont analysé des systèmes ou les mots de passe sont stockés  ( 32 millions rien que ça )
La première règle de sécurité est que le mot de passe ne soit jamais stocké ni sur le serveur ni sur le client et que donc le système de sécurité soit un système ou le mot de passe n'est pas stocké du tout
Alors bien sûr il est utile de responsabiliser les utilisateurs, mais c'est un peu trop facile de les culpabiliser alors que le système fait que les mots de passe ont été stockés sur un disque quelque part ( que ce soit serveur ou client)
ba faut bien qu'ils soient stockés quelque part non? sinon comment veut-tu que le site ou tu te connecte sache que t'as rentré le bon mot de passe???


Okaryn

Je connais ton mot de passe !
« Réponse #14 le: 23 janvier 2010 20:35:03 »
Citation de: Rach
ba faut bien qu'ils soient stockés quelque part non? sinon comment veut-tu que le site ou tu te connecte sache que t'as rentré le bon mot de passe???
Sauf qu'on ne stocke jamais le mot de passe en clair, mais sa somme de contrôle. Il est impossible (ou très difficile) de retrouver un mot de passe à partir de sa somme de contrôle. Voir ici

Quand tu t'identifies, on transforme le mot de passe que tu as saisie en sa somme de contrôle et on compare le résultat avec celle qui est stockée dans la base.

Pour le site en question, ils comptabilisent peut être simplement les mots de passe à part, juste pour les stats. Enfin, on voit tellement de cas de vols de fichiers contenant les mots de passe que rien n'est étonnant :p

cedric

Je connais ton mot de passe !
« Réponse #15 le: 23 janvier 2010 20:43:02 »
Citation de: Okaryn
Citation de: Rach
ba faut bien qu'ils soient stockés quelque part non? sinon comment veut-tu que le site ou tu te connecte sache que t'as rentré le bon mot de passe???
Sauf qu'on ne stocke jamais le mot de passe en clair, mon sa somme de contrôle. Il est impossible de retrouver un mot de passe à partir de sa somme de contrôle.

Quand tu t'identifies, on transforme le mot de passe que tu as saisie en sa somme de contrôle et on compare le résultat avec celle qui est stockée dans la base.

Pour le site en question, ils comptabilisent peut être simplement les mots de passe à part, juste pour les stats. Enfin, on voit tellement de cas de vols de fichiers contenant les mots de passe que rien n'est étonnant :p
Pour la petite histoire les mots de passe étaient bien stockés en clair (oui en CLAIR) et non cryptés... ca semble allucinant mais ca existe surement plus qu'on n'ose l'imaginer... Depuis le site a fait son méa culpa (avait il le choix??)

En anglais mais c'est ICI / http://www.rockyou.com/help/securityMessage.php

JoePike

Je connais ton mot de passe !
« Réponse #16 le: 23 janvier 2010 22:47:57 »
effacé

caveman

Je connais ton mot de passe !
« Réponse #17 le: 24 janvier 2010 05:51:05 »
Citation de: agrou
" Pour aider à se souvenir des mots de passe, une astuce simple : écrivez-les et mettez le papier dans votre portefeuille.  "

C'est une blague ???
Comment peut-on oser fournir un "conseil" aussi idiot ???
Ça peut être très dangereux en effet, par exemple sur les cartes bancaires Accord figure votre identifiant pour vous connecter sur leur site web... avec le mot de passe sur un papier à côté c'est du pain béni pour quiconque volerait votre portefeuille.

Skipper06

Je connais ton mot de passe !
« Réponse #18 le: 24 janvier 2010 10:31:27 »
Cet article montre bien que les mots de passe ne sont pas la bonne solution!
 Constater que la solution actuelle ne marche pas est une bonne chose, mais espérer que les utilisateurs vont changer d'habitude est un rêve.....
Puisque ça ne marche pas (et ne marchera pas) il faut commencer à chercher une solution de remplacement.
Personnellement je pense que la solution à terme est biométrique.

En attendant certaines solutions utilisées par les entreprises peuvent être envisagées. Par exemple pour les sites financiers pourquoi les banques ne mettent elles pas à disposition de leurs utilisateurs des "Token" qui permettent l'utilisation de mots de passes volatils qui changent toutes les minutes?
Je suis aussi persuadé que l'utilisation de son téléphone portable pour s'identifier doit aussi être possible.
Il y a des chercheurs qui devraient proposer des solutions car pour le moment compter sur la définition des mots de passes par les utilisateurs n'est pas une solution satisfaisante.

cedric

Je connais ton mot de passe !
« Réponse #19 le: 24 janvier 2010 10:43:32 »
Citation de: skipper06
Cet article montre bien que les mots de passe ne sont pas la bonne solution!
 Constater que la solution actuelle ne marche pas est une bonne chose, mais espérer que les utilisateurs vont changer d'habitude est un rêve.....
Puisque ça ne marche pas (et ne marchera pas) il faut commencer à chercher une solution de remplacement.
Personnellement je pense que la solution à terme est biométrique.

En attendant certaines solutions utilisées par les entreprises peuvent être envisagées. Par exemple pour les sites financiers pourquoi les banques ne mettent elles pas à disposition de leurs utilisateurs des "Token" qui permettent l'utilisation de mots de passes volatils qui changent toutes les minutes?
Je suis aussi persuadé que l'utilisation de son téléphone portable pour s'identifier doit aussi être possible.
Il y a des chercheurs qui devraient proposer des solutions car pour le moment compter sur la définition des mots de passes par les utilisateurs n'est pas une solution satisfaisante.
Oui je suis d'accord, a titre pro je me sert quotidiennement d'une connexion protegée par SecurID avec numero qui change toutes les minutes.... c'est efficace. Cependant il faut aussi voir le rapport efficacite/prix par rapport à l'utilisation. Certes ce système pourrait être généralisé. A suivre...

Skipper06

Je connais ton mot de passe !
« Réponse #20 le: 24 janvier 2010 11:00:52 »
Citation de: Cedric
Oui je suis d'accord, a titre pro je me sert quotidiennement d'une connexion protegée par SecurID avec numero qui change toutes les minutes.... c'est efficace. Cependant il faut aussi voir le rapport efficacite/prix par rapport à l'utilisation. Certes ce système pourrait être généralisé. A suivre...
C'est pour cette raison que je suggérais cela pour les sites financiers comme les banques car il y a des coûts associés (les Token,  les Serveurs, la gestion, ...).

Mais je suis persuadé que des solutions basées sur le téléphone portable devraient pouvoir être développées avec l'objectif d'être disponibles pour le plus grand nombre et peu couteuses.
Par exemple des mots de passe complexes, répondant à tous les critères de sécurité évoqué dans l'article, pourraient être stockés dans le portable et transmis à l'ordi (en WiFi, Bluetooth, ...) lors du logon à une application.


Grumff

Je connais ton mot de passe !
« Réponse #21 le: 24 janvier 2010 21:20:39 »
C'est ça, il faut sur chaque site un mot de passe différent de 8 caractères avec des majuscules, des minuscules, des chiffres et des caractères accentués. Il ne faut pas les écrire parce que si on se fait voler la feuille on se les fait tous piquer. Pas les stocker en clair sur un ordinateur parce qu'on peut également se le faire voler/pirater.
Il ne nous reste donc plus qu'à apprendre par coeur 425 mots de passes bourrés de caractères à la con, qu'on change tous les mois. Ben voyons.








Et sinon on peut en mettre un compliqué pour la banque, pas enregistrer les numéros de carte sur les sites de vente, et considérer que si on se fait pirater son compte freenews ou facebook, on n'en crèvera pas.

(Bon sinon, le trousseau de mac os x est une perle qui fait office de kit de survie minimum. ;))

eudilien

Je connais ton mot de passe !
« Réponse #22 le: 25 janvier 2010 09:09:08 »
Citation de: Grumff
sinon on peut en mettre un compliqué pour la banque, pas enregistrer les numéros de carte sur les sites de vente, et considérer que si on se fait pirater son compte freenews ou facebook, on n'en crèvera pas.
En Fait, il faut des mots de passe différents pour les sites où l'on fait des achats, l'explication en haut est assez pertinente, le mot de passe de base fluctué en fonction du site. Quand à ma banque en ligne, il s'agit d'un mot de ppasse qui change régulièrement et qui ne peut-être activé que par des clics de souris sur les icônes représentant les cchiffres. L'obligation de le renouveler par un différent des précédents empêche probablement les personnes à utiliser le "1234" comme code de base, puisqu'il ne dure qu'un temps.

Sovitec

Je connais ton mot de passe !
« Réponse #23 le: 25 janvier 2010 12:12:45 »
Il y a un problème avec les caractères spéciaux dans les mots de passe : tous les sites ne les acceptent pas, et tous les sites n'acceptent pas tous les caractère, du coup c'est un peu pénible, mieux vaux un mot de passe un peu plus long et vraiment aléatoire. J'ai même eu le problème d'un mot de passe avec des caractères spéciaux qui avait été accepté à la création du compte, mais refusé lors du login.

@Cedric:
Je suis d'accord avec les autres intervenants, écrire son mot de passe sur un papier dans son portefeuille est une mauvaise idée, n'importe quel pickpocket pourra se servir de tes comptes.

Je suis aussi contre le chiffrement des mots de passe dans la base de données. Il faut utiliser un hash (une somme de contrôle) car si un pirate accède à la base de données, il y a des chances qu'il puisse aussi accéder au mot de passe pour déchiffrer les mots de passe.

@skipper06:
La biométrie n'est surement pas un bon moyen pour les mots de passe, car le jour où un pirate récupère ton empreinte (de doigt, d'iris...) tu fais comment ? Une greffe d'œil comme dans Minority Report ?

@Grumff:
Personnellement j'utilise un logiciel (Keepass Password Safe, libre, gratuit et multiplateforme) qui permet de conserver tous les mots de passe dans un "coffre fort numérique", il n'y a donc qu'un seul mot de passe (fort) à retenir. Une version portable du logiciel et des bases de mots de passes sont sur la clef USB qui est toujours avec moi. En plus il permet de générer facilement des mots de passe vraiment aléatoires.

JoePike

Je connais ton mot de passe !
« Réponse #24 le: 25 janvier 2010 14:37:48 »
effacé

Sovitec

Je connais ton mot de passe !
« Réponse #25 le: 25 janvier 2010 16:30:26 »
Citation de: JoePike
Euh ...
si "un pirate" accède à "la base de données " ( sous entendu des mots  de passe chiffrés)
Cela veut en principe dire qu'il n'est pas idiot du tout et donc il piratera ce qu'il veut sur le site en question et n'aura  pas besoin de mots de passe du tout car il est sur un site compromis dont les administrateurs ne gèrent pas proprement leur informatique.
Comme je l'ai dit plus tôt, il ne faut pas garder les mots de passe sous toute forme que ce soit dans un système.
Il faut en obtenir un autre quand celui çi est perdu . Tout site qui peut rendre à un utilisateur son mot de passe oublié ne maitrise pas sa sécurité( puisque pour commencer c'est l'administrateur qui est le premier danger).
Mais comme l'on dit plusieurs personnes ici, si c'est pour le mot de passe de Freenews ( c'est simplement un exemple) ce n'est pas grave ... par contre si c'est celui de votre compte en banque ou une carte de crédit la c'est important.
Comme dit dans l'article beaucoup d'utilisateurs utilisent le même mot de passe sur tous les sites. Si un pirate récupère l'ensemble des mots de passe de Freenews (par exemple) il pourrait les utiliser pour tenter de se connecter aux sites de banque. Pour le reste on est d'accord.

PascalBS

Je connais ton mot de passe !
« Réponse #26 le: 25 janvier 2010 16:38:56 »
Pourquoi on ne bloque pas les acces apres 3 tentatives defectueuses?

JoePike

Je connais ton mot de passe !
« Réponse #27 le: 25 janvier 2010 18:40:26 »
effacé


aem38

Je connais ton mot de passe !
« Réponse #28 le: 22 février 2011 15:22:19 »
il existe un certain nombre de méthodes pour générer des mots de passe assez secure et facilement mémorisable …

il suffit d'utiliser, exploiter les facteurs qui font ce que nous sommes … ce que l'on aime, ce que l'on est …

par exemple : que je trépasse si je fais "BLI" :D

QJTSJFB on prend les premières lettre, on ajout ca date de naissance et un séparateur

QJTSJB$56

et on ajoute le contexte pour personaliser
par exemple sur un forum, on prend les 3ère lettre de l'URL TDL

QJTSJB$56_fre

simple à retenir, je connais avec cette méthode tous mes mots de passe et ceux de mes clients …
je dois en connaître plus de 500 avec cette méthode !

ceci est un exemple pour faire comprendre une méthode, ici la 3ème partie du mdp est trop reconnaissable
donc qqu'un qui le lira peut chercher avec la base sur d'autre forum et faire une escalade de privilège

@ bientôt

sebastien
www.aexm.fr