Le mot de passe "toto" est faible. Le mot de passe "pdjsEvnjzo5nosdn35pn2" est (peut-etre) très fort. Mais si c'était _mon_ mot de passe, je serais vraiment obligé de le noter en clair sur un bout de quelquechose (papier, mouchoir,...), sans compter le fait que pour le taper, je le taperais tellement lentement que quelqu'un qui regarde par dessus mon épaule pourrait finir par l'apprendre par coeur. Finalement, il est faible, celui-là...
Mon nom, "rakotoMandimby" serait fort dans un environnement ou on ne sait pas écrire mon nom, parceque je l'écris tres vite sur un clavier azerty, pourtant si jamais quelqu'un connait l'ortographe exacte, il prend un coup de faiblesse.
Moi j'ai du mal à saisir comment rendre tres fort un mot de passe, compte tenu de ce que je viens de dire. Est-ce que des points m'ont échappé? Comment choisir un mot de passe pour qu'il soit suffisament fort?
Les réponses au message de Mihamina Rakotomandimby (mihamina@rktmb.org)
On 10 Oct 2007 10:58:51 GMT, Mihamina Rakotomandimby wrote:
>Mon nom, "rakotoMandimby" serait fort dans un environnement ou on ne >sait pas écrire mon nom, parceque je l'écris tres vite sur un clavier >azerty, pourtant si jamais quelqu'un connait l'ortographe exacte, Impossible :-)
>Moi j'ai du mal à saisir comment rendre tres fort un mot de passe, >compte tenu de ce que je viens de dire. Est-ce que des points m'ont >échappé? Comment choisir un mot de passe pour qu'il soit suffisament fort? Parmi les innombrables sites qui parlent de ça
(que je viens de prendre au hasard) J'utilise la méthode "chasse aux papillons", en général avec des alexandrins, pour mon usage personnel. -- Nina
Mihamina Rakotomandimby écrit : > Moi j'ai du mal à saisir comment rendre tres fort un mot de passe, > compte tenu de ce que je viens de dire. Est-ce que des points m'ont > échappé? Comment choisir un mot de passe pour qu'il soit suffisament > fort?
Moi, j'utilise un outil qui les génère pour moi, apg, qui possède un algo pour générer des mots de passe prononçables, et donc facilement retenables.
On 10 Oct 2007 10:58:51 GMT, Mihamina Rakotomandimby :
>Le mot de passe "pdjsEvnjzo5nosdn35pn2" est (peut-etre) très fort. >Mais si c'était _mon_ mot de passe, je serais vraiment obligé de le >noter en clair sur un bout de quelquechose (papier, mouchoir,...), sans >compter le fait que pour le taper, je le taperais tellement lentement >[...]
>Mon nom, "rakotoMandimby" serait fort dans un environnement ou on ne >sait pas écrire mon nom, parceque je l'écris tres vite sur un clavier >azerty,
Il n'y a a priori aucune différence fondamentale entre les combinaisons de touches "pdjsEvnjzo5nosdn35pn2" et "rakotoMandimby". Tape la première autant de fois que tu as tapé la seconde dans ta vie, et tu verras que tu sauras la taper très très vite.
Le Wed, 10 Oct 2007 13:37:11 +0000, Fabien LE LEZ a écrit :
>>Mon nom, "rakotoMandimby" serait fort dans un environnement ou on ne >>sait pas écrire mon nom, parceque je l'écris tres vite sur un clavier >>azerty, > Il n'y a a priori aucune différence fondamentale entre les > combinaisons de touches "pdjsEvnjzo5nosdn35pn2" et "rakotoMandimby". > Tape la première autant de fois que tu as tapé la seconde dans ta vie, > et tu verras que tu sauras la taper très très vite.
Euh non, pour moi Rakotomandimby n'a pas de consonnance bizarre (ma femme est d'origine malgache, ça aide) et l'autre mot à plus de lettres.
Plaisanterie mise à part, de temps en temps je me mords les doigts de mes passwords à approx 20 caractères, parce quand tu dois les taper sur des clavier type Qtek9000 ça devient chiant ;)
Sinon il y a à droite ou à gauche des programmes qui te donnent la "force" de ton mot de passe (type calcul d'entropie) mais c'est oublier qu'un mot de passe doit aussi être retenu. S'il finit sur le post-it dans l'armoire du bureau parce qu'il n'est pas mémorisable ce n'est pas top non plus (vu dans une administration!)
Google regorge de pages sur le sujet mais il n'y a aussi l'usage des mots de passe qui est en cause. Par exemple amha il est préférable de prévenir que l'échéance d'un pw arrive bientôt plutôt que d'obliger un gus, sans préavis, à mettre à jour son pw à la 1er connexion du lundi. Ca donne en général un résultat désastrueux.
>> Il n'y a a priori aucune différence fondamentale entre les >> combinaisons de touches "pdjsEvnjzo5nosdn35pn2" et "rakotoMandimby". >> Tape la première autant de fois que tu as tapé la seconde dans ta vie, >> et tu verras que tu sauras la taper très très vite. >Euh non, pour moi Rakotomandimby n'a pas de consonnance bizarre (ma femme >est d'origine malgache, ça aide) et l'autre mot à plus de lettres.
J'ai écrit "pas de différence fondamentale". Certes, j'écris plus rapidement "FabienLeLez" que "pdjsEvnjzo5nosdn35pn2", mais c'est probablement parce que j'ai tapé le premier bien pluz souvent que le second.
>Plaisanterie mise à part, de temps en temps je me mords les doigts de mes >passwords à approx 20 caractères, parce quand tu dois les taper sur des >clavier type Qtek9000 ça devient chiant ;)
Faudrait trouver un système plus adapté qu'un mot de passe pour ces petites machines. Par exemple, un dessin précis à exécuter.
>S'il finit sur le post-it dans >l'armoire du bureau parce qu'il n'est pas mémorisable ce n'est pas top >non plus (vu dans une administration!)
Pas top, mais pas forcément catastrophique -- ça dépend de qui à accès à l'armoire en question.
Pour un système pas trop sensible, avoir un papier dans la poche avec le mot de passe écrit dessus (et rien d'autre) n'est pas forcément bien méchant non plus : si tu le perds dans la rue, celui qui le trouve ne saura probablement pas quoi en faire.
Eric Razny wrote: > Sinon il y a à droite ou à gauche des programmes qui te donnent la > "force" de ton mot de passe (type calcul d'entropie) mais c'est oublier > qu'un mot de passe doit aussi être retenu. S'il finit sur le post-it dans > l'armoire du bureau parce qu'il n'est pas mémorisable ce n'est pas top > non plus (vu dans une administration!)
Ba, au moins c'était dans l'armoire, parce que moi j'ai vu un mot de passe changé tous les mois dans une trésorerie générale, et le mois où j'y étais le mot de passe (qui permettait de faire des mouvements d'argent) était "soleil" (sic - c'était ya plus de 5 ans, je pense que je peux le dire...) et écrit sur un post-it collé sur l'écran... Si déjà c'est caché, c'est pas mal... Et si l'armoire ferme à clé (et que la clé est réellement utilisée), on va dire que c'est acceptable (ça dépend à quoi il donne accès et quels sont les contrôles d'accès physique en amont - badge magnétique, clé simple *aïe*, clé à points, etc...).
> Google regorge de pages sur le sujet mais il n'y a aussi l'usage > des mots de passe qui est en cause. Par exemple amha il est préférable > de prévenir que l'échéance d'un pw arrive bientôt plutôt que > d'obliger un gus, sans préavis, à mettre à jour son pw à la 1er > connexion du lundi. Ca donne en général un résultat désastrueux.
C'est justement un système de ce style qui a "créé" le mot de passe "soleil"
Le Wed, 10 Oct 2007 17:42:43 +0000, Riquer Vincent a écrit :
Et si l'armoire ferme à clé (et que la clé > est réellement utilisée), on va dire que c'est acceptable (ça dépend à > quoi il donne accès et quels sont les contrôles d'accès physique en > amont - badge magnétique, clé simple *aïe*, clé à points, etc...).
Non non, sur la porte, toujours ouverte pour l'avoir sous les yeux. Sinon ça fait plaisir de voir que d'aucuns sont conscient qu'une "serrure à clef simple" c'est du beurre même pour un amateur (ça doit encore trainer sur le net les cours du MIT la dessus ;) ).
>> Google regorge de pages sur le sujet mais il n'y a aussi l'usage >> des mots de passe qui est en cause. Par exemple amha il est préférable >> de prévenir que l'échéance d'un pw arrive bientôt plutôt que >> d'obliger un gus, sans préavis, à mettre à jour son pw à la 1er >> connexion du lundi. Ca donne en général un résultat désastrueux. > C'est justement un système de ce style qui a "créé" le mot de passe "soleil"
C'est pour ça qu'il ne suffit pas de former les utilisateurs : parfois ce sont les admins qui devraient apprendre à faire le tri entre "bonnes" et "fausses bonnes" idées.
Le système du password à changer instantannément existe par exemple sur les comptes pro de la Société Générale (la même qui avait eu quelques problèmes de certif sur un accès en fr qu'ils avaient visiblement oublié)
> Il n'y a a priori aucune différence fondamentale entre les > combinaisons de touches "pdjsEvnjzo5nosdn35pn2" et "rakotoMandimby". > Tape la première autant de fois que tu as tapé la seconde dans ta vie, > et tu verras que tu sauras la taper très très vite.
Il y a une différence : il est nettement plus simple de se souvenir d'une sémantique que d'une syntaxe. Il y a une sémantique dans le 2ème cas, pas dans le premier.
D'où les méthodes de génération de mot de passe plus ou moins prononçables, ou à partir d'une phrase connue.
Stephane Dupille a écrit : > Mihamina Rakotomandimby écrit : >> Moi j'ai du mal à saisir comment rendre tres fort un mot de passe, >> compte tenu de ce que je viens de dire. Est-ce que des points m'ont >> échappé? Comment choisir un mot de passe pour qu'il soit suffisament >> fort? > Moi, j'utilise un outil qui les génère pour moi, apg, qui possède un > algo pour générer des mots de passe prononçables, et donc facilement > retenables. > http://www.adel.nursat.kz/apg/
Pour ma part, j'utilise des mots de passe de 10 à 15 caractères, le tout placé dans un conteneur sur mon Palm, chiffré en AES-256 avec un mot de passe complexe (long et sans logique syntaxique), synchronisé avec mon PC.
J'utilise par ailleurs souvent les mots prononçables (j'avais donnée de jolis mdp aux 15 employés de mon ancienne boite, style GloukOFop.)
Toutefois, si je n'ai jamais rien lu à ce sujet, les mots prononçables me semblent poser deux problèmes : - ils dépendent de la langue (par exemple pour les successions de 2 consonnes prononçables) - le nombre de combinaisons est limité, surtout si on prend en compte le point précédent.
Mais bon, c'est comme les motifs : le nombre de combinaisons reste gigantesque. Un petit mot prononçable, avec un petit signe hors [[:alnum:]] bien choisi et quelques chiffres, le tout sur une douzaine de caractères, ça va faire de grosses rainbow tables.
Vulnerabilite.com ne peut être tenu responsable des propos tenus dans le Newsgroup fr.comp.securite
Message de Nina Popravka (Nina@nospam.invalid) (10 Octobre 2007)
Les lecteurs de ce livre lui attribuent une note moyenne de 2/5.<
/font>