mercredi 01 juillet
Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Derniers journaux de ploum :

Journal : Le changement de password pue du rond

Posté par ploum (page perso, ) le 07 décembre 2007
-1
Bonjour,

Au boulot, nous devons changer nos passwords tous les 30jours. Pire, il ne peut pas être pareil que les 6 passwords précédents ni contenir un des 6 passwords précédents !

Or, je me souviens avoir lu une étude qui démontrait que ce genre de pratique faisait pire que bien : les passwords avaient tendance à se simplifier au cours du temps, la propension à écrire son mot de passe sur un post-it devenait de plus en plus grande, le nombre d'erreur augmentait.

Or le service informatique est près à changer cela si je leur fournis le papier en question. Que je ne retrouve plus évidemment.

J'ai également le souvenir d'avoir vu passé un article similaire (mais plus léger) sur planet.gnome il y a quelques semaines mais je ne retombe plus dessus non plus.

Quelqu'un a un lien ?

PS : si jamais qqn du service en question se reconnait, bravo, +1 pour lire Linuxfr, ça vous fait un bon point dans mon estime ;-)

> Lire le journal (64 commentaires, moyenne: 3,9).  

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

Papier

Posté par patrick_g (page perso, ) le 07/12/2007 à 14:05. (lien). Évalué à 2.

Désolé je n'ai pas le lien et je ne peux pas t'aider.
Néanmoins si j'en crois le méga-spécialiste de la sécurité et de la cryptographie Bruce Schneier : il est rationnel et conseillé d'écrire ses password sur un bout de papier => http://www.schneier.com/blog/archives/2005/06/write_down_you(...)

  • [^]Re: Papier

    Posté par patrick_g (page perso, ) le 07/12/2007 à 14:10. (lien). Évalué à 3.

    Pour continuer avec Schneier voici une méga session de questions/réponses qui est très intéressante : http://freakonomics.blogs.nytimes.com/2007/12/04/bruce-schne(...)

    Voici ce qu'il dit au sujet des passwords :

    "There’s this rampant myth that you shouldn’t write your passwords down. My advice is exactly the opposite. We already know how to secure small bits of paper. Write your passwords down on a small bit of paper, and put it with all of your other valuable small bits of paper: in your wallet."

    PS : Il pointe aussi vers des articles sur les mot de passe ou tu trouvera peut être ton bonheur :

    http://www.schneier.com/blog/archives/2006/12/realworld_pass(...)

    http://www.schneier.com/blog/archives/2007/01/choosing_secur(...)

    • [^]Re: Papier

      Posté par Ernest H (Jabber id, ) le 07/12/2007 à 14:28. (lien). Évalué à 10.

      > Write your passwords down on a small bit of paper, and put it with all of your other valuable small bits of paper: in your wallet.

      Hé oui, c'est là que je range mon code de carte bancaire, mon mot de passe linuxfr, mon mot de passe pour les formulaires de recrutement, le code de mon immeuble, les clefs de chez moi et un extrait d'acte de naissance. Comme ça, je suis tranquille, si je « perds » mon portefeuille, c'est à un vol d'identité pur et simple que je m'expose.

      • [^]Re: Papier

        Posté par Rémi Pannequin (Jabber id, ) le 07/12/2007 à 14:47. (lien). Évalué à 9.

        « mon code de carte bancaire, mon mot de passe linuxfr, mon mot de passe pour les formulaires de recrutement, le code de mon immeuble, les clefs de chez moi et un extrait d'acte de naissance »

        Un intrus s'est glissé dans cette liste, sauras-tu le retrouver ?

        --
        Qui invente, qui réinvente, quelle importance ? (Yakari, tome 16)

        • [^]Re: Papier

          Posté par sebastienb () le 07/12/2007 à 16:55. (lien). Évalué à 10.

          Facile, le code bancaire, parce que tu peux t'en passer sans problèmes.

      • [^]Re: Papier

        Posté par NickNolte () le 07/12/2007 à 23:26. (lien). Évalué à 6.

        Joue la toi "prison break" et tatoo tout le bouzin sur ton corps, ou une partie du moins. :)

        • [^]Re: Papier

          Posté par imr () le 08/12/2007 à 03:40. (lien). Évalué à 8.

          Joue la toi memento et
          0/ tatoue toi sur le bras le fait que tu dois te tatouer tes mots de passe sur le corps
          1/ tatoue toi un mot de passe quelque part de libre
          2/ oublie lequel c'était le lendemain
          3/ retour au 1/

          • [^]Re: Papier

            Posté par NickNolte () le 08/12/2007 à 10:22. (lien). Évalué à 3.

            héhé, j'avais pensé à Memento, mais le problème c'est que tout est en clair sur son corps :)

            • [^]Re: Papier

              Posté par Axel R. (page perso, ) le 12/12/2007 à 11:15. (lien). Évalué à 2.

              y'a plus qu'à mettre une petite laine...

              Parce que déjà, si tu te ballades à poil, tu vas attraper froid et en plus, tout le monde verra ton mot de passe.

              Axel

Autre expérience

Posté par GnunuX (Jabber id, page perso, ) le 07/12/2007 à 14:09. (lien). Évalué à 6.

Je me souviens d'une discussion avec l'admin d'une boite assez grande. Quelques utilisateurs prenaient parfois la session des autres (durant les vacances, maladie, we, ...) histoire de pouvoir repondre aux clients. Pour ne pas être coincé par un mot de passe, dans certaine succursale les employés se mettaient d'accord sur un mot de passe unique pour tous le monde.

Au lieu de partagé le mot de passe avec les personnes de confiance, ils étaient partagés avec tout le monde.

  • [^]Re: Autre expérience

    Posté par Bastien Leblanc (Jabber id, page perso, ) le 07/12/2007 à 15:23. (lien). Évalué à 4.

    +1 je pense que c'est une pratique très répandue malheureusement..

    --
    Bastien - http://blog.tribuleblanc.com/

    • [^]Re: Autre expérience

      Posté par Nicolas Boulay () le 07/12/2007 à 17:07. (lien). Évalué à 10.

      oui mais c'est 100% la faute du management/de l'IT, si l'infrastructure ne tient pas compte des besoins de ses utilisateurs !

      --
      "Tout ce que les être humains font pour contrôler les réseaux informatiques facilite, dans le même temps, le contrôle des êtres humains par les réseaux informatiques."

Bruce Schneier (facts) et ses amis

Posté par √λιi () le 07/12/2007 à 14:19. (lien). Évalué à 7.

Bon, d'une :
http://www.schneier.com/blog/archives/2005/06/write_down_you(...)

Le post it n'est pas forcément un problème.

De deux, un article complet sur les politique de gestion de mots de passe (retrouvé via le blog de shneier) :
http://www.cerias.purdue.edu/weblogs/spaf/general/post-30/

Extraits :
If any of the other attack methods succeed, the password needs to be changed immediately to be protected — a periodic change is likely to be too late to effectively protect the target system.
Si une des autres attaques [citées plus haut dans l'article] a fonctionné, le mot de passe doit être changé immédiatement pour être protégé - un changement périodique a des chances d'arriver trop tard pour protéger la cible efficacement.

In summary, forcing periodic password changes given today’s resources is unlikely to significantly reduce the overall threat
Pour résumer, forcer un changement périodique de mots de passe dans les environnements actuels n'a que peu de chances de réduire la menace.

This is DESPITE the fact that any reasonable analysis shows that a monthly password change has little or no end impact on improving security! It is a “best practice” based on experience 30 years ago with non-networked mainframes in a DoD environment — hardly a match for today’s systems, especially in academia!
Ceci malgré le fait que n'importe quelle analyse raisonnable montre qu'un changement de mots de passe mensualisé a très peu voir aucun impact final sur l'amélioration de la sécurité ! C'est une "pratique recommandée" basée sur une expérience vieille de 30 ans avec des mainframes sans réseau, dans un environnement du DoD (departement of defense) - cela correspond peu aux systèmes actuels [...].

Il y plein d'autre informations en plus des politiques de changement périodique.

technique à moi que j'ai

Posté par Putifuto () le 07/12/2007 à 14:26. (lien). Évalué à 10.

<my life>
Dans ma boîte aussi, il y a ce genre de politique. D'ailleurs, ca vient d'arriver aujourd'hui.

Ce que je vais, c'est que le jour du changement, je fais 6 changements de MDP et je remets toujours le même. (un costaud avec des Majuscules/minuscule/chiffre/caractère à la con (que j'ai appris à retrouver facilement sur un qwerty on ne sait jamais.)

Ma société est trop grosse pour tenter de faire changer cette pratique. A coté de ça, on est resté des années avec comme mot de passe pop le prénom. Ca a changé le jour ou l'un des managers ne comprenait pas pourquoi certains mails n'arrivaient jamais.

Mais le pop3 n'est toujours pas sécurisé.
</my life>

--
http://linuxfr.org/board <-- des moules, du sang, de la violence

  • [^]Re: technique à moi que j'ai

    Posté par fabien () le 07/12/2007 à 15:05. (lien). Évalué à 10.

    moi la grosse boite ou je suis c'est les 10 derniers mots de passe qu'ils memorisent (mon mot de passe est toujours le même, je ne change que le dernier chiffre).

    mais le pire c'est que je dois repondre anuellement a un questionnaire securité, et ces cons dans le mails de lancement de la campagne ils me mettent à chaque fois mon mot de passe pour acceder à leur intranet... ha bon?!... ils l'ont stocké en clair ? .. un questionnaire sur la quoi déjà ? ;)...

  • [^]Re: technique à moi que j'ai

    Posté par ham () le 07/12/2007 à 15:38. (lien). Évalué à 2.

    Moi aussi j'ai la politique de changement mais :
    on en peut pas changer trop vite de password ( une fois toute les heures) et ils garde de l'ordre de 10 anciens MdP
    -> pas possible d'utiliser la meme technique.

    donc, comme ailleurs j'ai la technique :
    mdP de base + index

  • [^]Re: technique à moi que j'ai

    Posté par Fabimaru! (Jabber id, page perso, ) le 08/12/2007 à 18:56. (lien). Évalué à 3.

    Pour l'intranet de ma boîte (pas les mails, pas les comptes Windows), on a le droit à un mot de passe de son choix, et à une phrase additionnelle. Là où ça commence à être rigolo, c'est qu'on peut nous demander deux lettres parmi celle de la phrase (genre 3ième et 8ième). Très facile de retrouver les lettres de la phrase sans l'écrire.

    Heureusement, je n'ai pas encore été confronté au problème car mes collègues et moi n'avons pas encore réussi à nous connecter sur ce fameux intranet concocté par nos confrères d'outre-manche, muahahaha (superbe gain de productivité quand tous les employés s'acharnent à faire marcher ce truc).

    --
    Pas de bureau 3d libre sans drivers libres!

  • [^]Re: technique à moi que j'ai

    Posté par calandoa () le 09/12/2007 à 21:14. (lien). Évalué à 3.

    Ben moi dans ma boîte t'as pas le droit de changer ton mot de passe plus d'une fois par jour car y a des petits malins qui faisaient ce que tu décris... mais d'experience je peux confirmer que le remède est pire que le mal (comme a peu près toutes ces policies débiles sur les password dans les grosses boîtes).

    Ma technique c'est d'avoir un pw abc0, abc1, abc2... qui tourne en boucle, apparement le soft n'est pas encore capable de détecter la technique, mais je sens qu'un jour va falloir que je trouve un truc plus tordu.

    L'autre truc super efficace, c'est que si tu dois le réinitialiser, il faut appeler la hotline à Bangalore. J'ai du le faire une fois. Au bout de la xième tentative pour comprendre ce que le type m'épellait, j'ai racroché et j'ai essayé tous les passwords par défaut possible jusqu'à trouver le bon. Ça n'a pas l'air très crédible, cette histoire, comme quoi deux individus parlant anglais sont totallement incapable de se communiquer un mot, mais malheureusement, il suffit d'avoir bosser avec des indiens pour s'apercevoir que des problèmes (et leur résolutions) considéré comme simples en occident ne le sont pas du tout là bas.

    En tout cas depuis je n'ai jamais plus oublié mon password.

plutôt que le post-it...

Posté par PsychoFox () le 07/12/2007 à 14:26. (lien). Évalué à 3.

...il vaut mieux utiliser une carte de type "pathword" qui permet à la fois de retrouver son mot de passe facilement (à partir d'un chemin et de quelques lettres) :

http://www.zataz.com/communique-presse/7715/CryptMe-PaTHword(...)

ça permet de garder des mots de passes forts tout en gardant un moyen mémotechnique très simple à retenir.

  • [^]Re: plutôt que le post-it...

    Posté par zero heure (Jabber id, page perso, ) le 07/12/2007 à 16:11. (lien). Évalué à 2.

    le bidule n'est pas con en effet
    mais ça semble ne plus exister
    (les sites de la boite ne répondent plus)

    --
    J'ai vu bien des choses dans ma petite vie, et je mesure amèrement l'impuissance à les dire. (JP Rosnay, Le 13ème apôtre) http://www.poesie.net/apotre2.htm

    • [^]Re: plutôt que le post-it...

      Posté par PsychoFox () le 07/12/2007 à 16:19. (lien). Évalué à 3.

      une fois que tu as saisis le principe tu peux te recréer une carte cela-dit :)

    • [^]Re: plutôt que le post-it...

      Posté par solsTiCe (page perso, ) le 07/12/2007 à 23:20. (lien). Évalué à 1.

      c'est pas pour leur faire de la pub mais c'est sur http://athena-gs.com/joomla/index.php?option=com_content&(...)

      enfin le truc complet (pour netword ID)
      c'est le serveur qui t'envoie un couple lettre-nombre comme à la bataille navale. position à partir de laquelle il faut tracer le chemin pour récupérer un nouveau mot de passe à chaque fois
      et donc en fin de compte le mot de passe c'est le chemin

Je pense que c'est celui là

Posté par WaVeR () le 07/12/2007 à 14:31. (lien). Évalué à 8.

Changing your password every 3 months sounds good in theory -- if you have only one account in world. But what if you live in the real world? In that case, you probably have 50-100 accounts, each with its own password and user name. You can make this plenitude of accounts less onerous by using the same name and password for multiple accounts. But if your IT department insists that you change passwords every 3 months, how do you keep track of them? Most people write them down -- in a file on the computer or PDA, on a white board, or on post-it notes displayed prominently on the monitor for any and all too see.

With so many passwords to remember, this is a perfectly rationale way of coping with the changing-password demand. Of course, it must also be admitted that it has the opposite effect of the intended purpose. Rather than improving security, forcing users to change passwords makes security weaker, since everyone has to find some coping mechanism for dealing with the short expiration. Under the flag of strengthening security, this practice actually weakens it.

Source:
http://dontgogentle.blogspot.com/2007/12/magazine-passwords-(...)

tu travailles dans une banque ?

Posté par manatlan (Jabber id, page perso, ) le 07/12/2007 à 15:03. (lien). Évalué à 6.

Serait on dans la même boite ? chez nous c'est pareil ...

--
manatlan.com

  • [^]Re: tu travailles dans une banque ?

    Posté par Yannick P. () le 11/12/2007 à 14:28. (lien). Évalué à 2.

    C'est dans énormément de boites pareil ;-)

    --
    Noun es pas riche qu'a de bèn, mai aquéu que se contènto

Re:

Posté par Tonton Benoit (Jabber id, ) le 07/12/2007 à 15:17. (lien). Évalué à 10.


Au boulot, nous devons changer nos passwords tous les 30jours. Pire, il ne peut pas être pareil que les 6 passwords précédents ni contenir un des 6 passwords précédents !


Tapettes, chez Microsoft ils font beaucoup mieux http://support.microsoft.com/kb/276304

Sinon perso je préfère utiliser une séries de mots de passes aléatoires (avec des caractères minuscules, majuscules des chiffres... voir des caractères spéciaux) que je garderai 2 ou 3 ans plutôt qu'un matine qui je changerai en panthere au bout de 30 jours.

  • [^]Re: Re:

    Posté par kowalsky () le 07/12/2007 à 16:22. (lien). Évalué à 3.

    Il vaut mieux un mot de passe fort, et qui change souvent !

    Il faut voir que si ton mot de passe est corrompu, fort ou pas, il
    est compromis pendant toute sa durée de vie !

    Plus elle est courte cette durée de vie, plus mieux c'est meilleur :)

    --
    You got the money, I got the soul.

    • [^]Re: Re:

      Posté par Tonton Benoit (Jabber id, ) le 07/12/2007 à 19:19. (lien). Évalué à 5.

      Je me voit mal me souvenir d'une quinzaine (ben oui y'a pas que ma session sur mon PC, y'a aussi le compte root, les passes des boites mails...) de mots de passes totalement aléatoires qui changent tous les 30 jours.

      • [^]Re:

        Posté par PsychoFox () le 07/12/2007 à 20:39. (lien). Évalué à 6.

        tu ne te rends surement pas compte à quel point c'est facile. C'est sur au départ ça parait super difficile, mais après quelques temps, ça l'est moins (on entraine sa mémoire ?).

        • [^]Re: Re:

          Posté par cosmocat () le 09/12/2007 à 16:02. (lien). Évalué à 3.

          le problème c'est pas de changer de mot de passe en soit mais de se rappeler lequel on utilise pour telle ou telle utilisation. Car ça m'etonnerais que quand tu chage de mot de passe, tu changes tous les endroits où il est utilisé en même temps.

          Et sur certainds sites, il faut aussi se rappeler le login.

éduquer les utilisateurs d'abord

Posté par palm123 (page perso, ) le 07/12/2007 à 16:16. (lien). Évalué à 4.

Je me souviens d'une boite dans laquelle la longueur mini du mot de passe est passé de 4 à 6 caractères: le mot de passe de certaines personnes est passé de aaaa à aaaaaa :-)

J'avais lu un truc simple pour se créer un mot de passe: prendre une phrase que l'on aime bien (dans mon cas, la phrase de Raffarin: "les veuves vivent plus longtemps que leurs maris"), et garder la première lettre de chaque mot (ou la dernière, ou la deuxième). On peut ajouter quelques chiffres qu'on aime bien au début, au milieu ou à la fin, ou un carcatère spécial. Ca fait un mot de passe qui n'est pas significatif (en général), qui se retient facilement, et qui n'est pas facile à trouver.

Il y a plein d'autres techniques, comme générer des mots de passe de manière aléatoires, et quand on en voit un qui nous plait/parle, on le garde.

--
"Je suis un geek !" François Fillon dans SVM

Bing-> Bing Is Not Google.

  • [^]Re: éduquer les utilisateurs d'abord

    Posté par Thomas Douillard () le 07/12/2007 à 16:22. (lien). Évalué à 0.

    Mouais, j'ai le souvenir d'avoir vu circuler le mot de passe d'un prof qui avait cette technique, en DUT.

    C'était un proverbe qui contenait son prénom et dont il avait gardé la premières lettres des mots.

    • [^]Re: éduquer les utilisateurs d'abord

      Posté par palm123 (page perso, ) le 07/12/2007 à 16:35. (lien). Évalué à 2.

      oui mais comment ce mot de passe avait été trouvé ?
      en regardant par-dessus son épaule ?

      --
      "Je suis un geek !" François Fillon dans SVM

      Bing-> Bing Is Not Google.

      • [^]Re: éduquer les utilisateurs d'abord

        Posté par Thomas Douillard () le 07/12/2007 à 16:51. (lien). Évalué à 5.

        J'avoue que je sais pas, mais en tout cas le moyen mnémotechnique à été deviné, peut être même qu'il a aidé à trouver le mot de passe.

  • [^]Re: éduquer les utilisateurs d'abord

    Posté par sebastienb () le 07/12/2007 à 17:27. (lien). Évalué à 7.

    Et si on a choisit un phrase justement parce que si on prend toutes les premières lettres de chaque mot (ou dernières) forment notre prénom, ça marche aussi ?

    • [^]Re: éduquer les utilisateurs d'abord

      Posté par dawar (page perso, ) le 07/12/2007 à 18:04. (lien). Évalué à 9.

      Ben oui, ça te permets de retrouver la phrase facilement \o/

  • [^]Re: éduquer les utilisateurs d'abord

    Posté par blobmaster () le 10/12/2007 à 09:52. (lien). Évalué à 4.

    Que j'aime à faire apprendre un nombre utile aux sages !
    Immortel Archimède, artiste ingénieur,
    Qui de ton jugement peut priser la valeur ?
    Pour moi, ton problème eut de pareils avantages.
    Jadis, mystérieux, un problème bloquait
    Tout l'admirable procédé, l'½uvre grandiose
    Que Pythagore découvrit aux anciens Grecs.
    0 quadrature ! Vieux tourment du philosophe
    Insoluble rondeur, trop longtemps vous avez
    Défié Pythagore et ses imitateurs.
    Comment intégrer l'espace plan circulaire ?
    Former un triangle auquel il équivaudra ?
    Nouvelle invention : Archimède inscrira
    Dedans un hexagone ; appréciera son aire
    Fonction du rayon. Pas trop ne s'y tiendra :
    Dédoublera chaque élément antérieur ;
    Toujours de l'orbe calculée approchera ;
    Définira limite ; enfin, l'arc, le limiteur
    De cet inquiétant cercle, ennemi trop rebelle
    Professeur, enseignez son problème avec zèle.

    • [^]Re: éduquer les utilisateurs d'abord

      Posté par Obsidian () le 11/12/2007 à 22:27. (lien). Évalué à 2.

      Du coup, avec une pathcard, il suffit de mémoriser Pi ! :-)

      • [^]Re: éduquer les utilisateurs d'abord

        Posté par Obsidian () le 11/12/2007 à 22:39. (lien). Évalué à 4.

        D'ailleurs, j'ajouterais que ce remarquable poème n'était utilisable qu'au temps béni où les gens maîtrisaient encore leur langue. Aujourd'hui, ça donnerait :

        Ke jème a fer aprendre 1 nonbre utile o sage
        imortelle archimaide, artist injénieure,
        ki 2 ton jujement peu prizer la valeure ?
        Pour moa, ton pb U 2 pareil zavantache.

        Ce qui ramènerait la valeur de Pi à 2,4138165, environ ...

changement tous les 3 mois

Posté par Nicolas Boulay () le 07/12/2007 à 17:10. (lien). Évalué à 2.

Dans ma boite, c'est changement tous les 3 mois mais sans le choix du mots de passe.

Ils sont généré aléatoirement et on le choisis parmis ceux proposé. (un mixte de lettre et de chiffres)

Par contre, ils sont assez gentil pour que la majeur partie des logiciels utilisent les mêmes mots de passes.

--
"Tout ce que les être humains font pour contrôler les réseaux informatiques facilite, dans le même temps, le contrôle des êtres humains par les réseaux informatiques."

  • [^]Re: changement tous les 3 mois

    Posté par Ontologia (page perso, ) le 07/12/2007 à 22:56. (lien). Évalué à 2.

    Dans ma boite, (que je quitte et mon compte vient d'être totalement supprimé, donc je peux le dire), le mot de passe est "0+0 égale la tête à ....".

    Sérieusement, il ya des entreprises où on permet de mettre des mots de passe un peu trop simple...

    • [^]Re: changement tous les 3 mois

      Posté par patrick_g (page perso, ) le 08/12/2007 à 07:28. (lien). Évalué à 3.

      >>> 0+0 égale la tête à ....

      Hum visiblement ce n'est pas une boite internationale. J'imagine la tête d'un anglais si on lui pose une question de ce style ;-)

Générateur de mot de passe

Posté par pti-seb (page perso, ) le 07/12/2007 à 18:03. (lien). Évalué à 1.

Tu peut-être essayer ce script qui génère des mots de passe en ligne de commande :
http://www.tux-planet.fr/blog/?2007/02/17/139-generer-des-mo(...)

Sinon il ya révélation, qui fait la même chose et qui permet de les stocker :
http://www.tux-planet.fr/blog/?2006/06/03/62-gestion-des-mot(...)

--
Tux-planet

  • [^]Re: Générateur de mot de passe

    Posté par d-jo (page perso, ) le 07/12/2007 à 19:26. (lien). Évalué à 1.

    Chez nous c'est mkpasswd pour tout le monde y compris les clients + fichier crypté avec gpg pour les mots de passes de serveurs.

    Vim avec le plugin qui va bien et ça roule.

    Ca ne change que lorsque quelqu'un quitte la boite.


    http://expect.nist.gov/example/mkpasswd.man.html

    • [^]Re: Générateur de mot de passe

      Posté par _kawa_ () le 08/12/2007 à 12:07. (lien). Évalué à 3.

      Concernant ce générateur, je me suis amusé a voir le code de ce script, histoire de voir si ça valait quelque chose.
      En fait je n'ai pas eu besoin d'aller bien loin pour me faire une idée : la qualité d'un générateur aléatoire va dépendre avant tout de... la qualité de l'alea généré.

      La seule source d'alea de ce programme est celui de la fonction rand() :

      proc rand {m} {
      expr {int($m*rand())}
      }

      L'interpreteur est /usr/bin/expect, je ne sais pas trop en quoi consiste sa fonction rand(), mais elle doit être équivalente à celle du C.
      A savoir, un simple générateur congruentiel qui n'a que 2^32 initialisations possibles.

      Bref, ce script ne peut donner que 2^32 mots de passe différents.

      En conclusion :
      d-jo, chez vous, tous vos mots de passe sont cassés en moins de deux heures sur une machine de bureau !!

      Remarque : si jamais je me trompe, que leur générateur aléatoire sort des valeurs depuis /dev/random, c'est une autre histoire ;)

      • [^]Re: Générateur de mot de passe

        Posté par yellowiscool (Jabber id, page perso, ) le 08/12/2007 à 12:39. (lien). Évalué à 1.

        Bah le mot de passe ne fait pas qu'un caractère :D

        • [^]Re: Générateur de mot de passe

          Posté par Jean-Philippe Garcia Ballester (Jabber id, page perso, ) le 08/12/2007 à 15:31. (lien). Évalué à 4.

          Oui, mais à initialisateur fixe (la valeur passée à srand), la fonction rand est déterministe et renvoie toujours la même suite...

          • [^]Re: Générateur de mot de passe

            Posté par d-jo (page perso, ) le 08/12/2007 à 19:06. (lien). Évalué à 2.

            Vu le nombre de brut de force qu'on prends par jour, j'ai pas l'impression (c'est peut-être que du dictionnaire).

            La fonction rand est elle la même sous linux (gnu j'imagine) que sous freebsd ? Je regarderai lundi le code du truc.

            Merci pour l'info en tout cas .

            S'il faut patcher le truc, j'irais voir ce que fait gpg.

      • [^]Re: Générateur de mot de passe

        Posté par palm123 (page perso, ) le 09/12/2007 à 18:30. (lien). Évalué à 1.

        >>>En conclusion :
        d-jo, chez vous, tous vos mots de passe sont cassés en moins de deux heures sur une machine de bureau !!

        Je connais moins bien Linux que Vms, mais sous Linux, il n'y a pas de mécanisme pour bloquer les tentatives répétées, comme les paramètres LGI de Vms ?
        http://forums11.itrc.hp.com/service/forums/questionanswer.do(...)
        Voyez ce que dit Gillings et lgi_hid_tim
        Après avoir essayé sans succès un mot de passe, il faut attendre une certaine durée pour pour que l'essai suivant soit valide.
        Si le paramètre est à 2 jours, tout essai infructueux avant 2 jours de délai donnera un échec, vu que la source est repérée, même si le mot de passe rentré est le bon.

        Merci pour toute info sur ce sujet.

        --
        "Je suis un geek !" François Fillon dans SVM

        Bing-> Bing Is Not Google.

        • [^]Re: Générateur de mot de passe

          Posté par _kawa_ () le 10/12/2007 à 00:05. (lien). Évalué à 2.

          Quand je dis cassé, je prends des hypothèses fortes d'attaque, c'est à dire avec l'accès à l'empreinte du mot de passe.
          On peut alors mener l'attaque hors ligne.

          Si on parle de solidité (pure) du mot de passe, on doit se placer dans ces conditions.
          Remarquez qu'elles ne sont pas irréalistes : sur une authentification à distance, un attaquant peut voir passer cette empreinte en écoutant le réseau, puis mener son brute force tranquillement. chez lui.

[+] Pas très sécurisé

Posté par Yusei () le 07/12/2007 à 18:54. (lien). Évalué à -3.

S'ils vérifient que ton nouveau mot de passe ne contient pas les précédents, ça veut dire qu'ils les stockent en clair... quelle horreur.

  • [^]Re: Pas très sécurisé

    Posté par Putifuto () le 07/12/2007 à 20:19. (lien). Évalué à 5.

    pas du tout efface,

    il suffit de garder le hash (md5 par exemple). Pas le mot de passe.

    --
    http://linuxfr.org/board <-- des moules, du sang, de la violence

  • [^]Re: Pas très sécurisé

    Posté par Nicolas Schoonbroodt (Jabber id, page perso, ) le 07/12/2007 à 20:20. (lien). Évalué à 4.

    Non.
    Si ton nouveau mot de passe est "nouveau", et que la taille minimum est de 6, il suffit de vérifier le résultat de la fonction de hashage pour : nouvea, ouveau, nouveau, et de comparer aux vieux hashs stockés.

    --
    [ Répondre ] Ce commentaire est-il impertinent ou utile ?

    • [^]Re: Pas très sécurisé

      Posté par Nicolas Schoonbroodt (Jabber id, page perso, ) le 07/12/2007 à 20:22. (lien). Évalué à 6.

      ou même sauvegarder le mot de passe au moment du changement :
      passwd
      Changing password for nicolas.
      Mot de passe UNIX (actuel) : *enregistrer ici* (ssi le changement réussi)
      Entrez le nouveau mot de passe UNIX :
      Retapez le nouveau mot de passe UNIX :
      Sorry, passwords do not match (donc ici on n'enregistre plus du coup)

      --
      [ Répondre ] Ce commentaire est-il impertinent ou utile ?

      • [^]Re: Pas très sécurisé

        Posté par Yusei () le 10/12/2007 à 09:11. (lien). Évalué à 2.

        Autant j'ai compris ton post précédent (même si je soupçonne que la solution de facilité soit souvent choisie, plutôt que tester les hashes de tous les sous-mots), autant là je ne suis pas d'accord. Si on stockait les mots de passe en clair, quel que soit le moment où on les enregistre, ça serait un problème parce que les gens vont forcément les répéter ou réutiliser ailleurs.

        • [^]Re: Pas très sécurisé

          Posté par Matthieu Moy (page perso, ) le 10/12/2007 à 10:35. (lien). Évalué à 2.

          Tu n'as pas besoin d'enregistrer sur le disque. Quand tu changes le mot de passe, tu dois retapper l'ancien. Donc, le programme passwd peut mémoriser (en mémoire, le temps de l'exécution de passwd) l'ancien mot de passe le temps que tu tappes le nouveau.

          De toutes façons, y'a toujours un moment où ton mot de passe est en clair dans la RAM, hein ;-).

          • [^]Re: Pas très sécurisé

            Posté par Yusei () le 10/12/2007 à 12:35. (lien). Évalué à 2.

            Tu dois retaper les six mots de passes précédents ?

            (cf. journal si cette question vous semble idiote)

Argument

Posté par Matthieu Moy (page perso, ) le 10/12/2007 à 10:39. (lien). Évalué à 3.

Un lien, non, mais un argument, oui.

Demandes aux gens de trouver un mot de passe solide, et autorises-les à le changer de temps en temps : les utilisateurs vont peut-être prendre des trucs genre a78/x{;wq. Demandes-leur de changer tous les mois, ils vont prendre totoDec2007.

Ça se vérifie avec à peu près tous les gens avec qui j'ai parlé qui avaient une politique de mot de passe comme ça au boulot : leur mot de passe contient le mois et l'année, il ne reste que quelques caractères difficiles à forcer, et encore.

En tous cas, j'espère qu'ils ont aussi une politique de vérification de la sureté des mots de passes (genre, faire tourner John the ripper pendant quelques heures/jours régulièrement), parce que sinon, bof bof la sécurité.

  • [^]Re: Argument

    Posté par ploum (page perso, ) le 10/12/2007 à 12:30. (lien). Évalué à 2.

    m'étonnerait. Suite à un problème, mon mot de passe est resté "123456" pendant plusieurs jours.

    • [^]Re: Argument

      Posté par Jak () le 11/12/2007 à 10:13. (lien). Évalué à 2.

      > mon mot de passe est resté "123456" pendant plusieurs jours.

      Mais ? N'importe quel imbécile utilise ce code pour ses valises !

      --
      « Le savoir, n'est-ce pas, est un bien précieux. Trop précieux pour ne pas être partagé. »
      - Battologio d'Epanalepse, in De Cape et de Crocs, Acte VII (Ayroles & Masbou)

      • [^]Re: Argument

        Posté par z a (Jabber id, ) le 11/12/2007 à 10:59. (lien). Évalué à 4.

        je vais changer le code de mes valises

        • [^]Re: Argument

          Posté par Matthieu Moy (page perso, ) le 11/12/2007 à 12:04. (lien). Évalué à 1.

          Au point où tu en es, changes de valises. T'as peut-être déjà un troyen dedans.

      • [^]Re: Argument

        Posté par _kawa_ () le 11/12/2007 à 19:54. (lien). Évalué à 1.

        En parlant de valises, ca me fait penser aux Bruce Schneier Facts et à :
        "When Curtis Cooper and Steven Boone discovered the 44th Mersenne prime, Bruce Schneier had to change the combination on his luggage."

        D'ailleurs, là est la réponse aux problemes de Ploum :
        "It's widely believed that if you use "Schneier" as your password, your account cannot be hacked. This is of course only mostly true -- Bruce Schneier can always hack your account."

Revenir en haut de page

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.2122s (dont 0.0246 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !