Et une tempo d’un quart heure après 3 à 5 tentatives ratées, mmh, ce ne serait pas un peu plus intelligent ?
Parce là, IA ou pas, brute force et compagnie c’est fini.
Entre 6 mois et 1 an, c’est un pas rapide comme court terme ! (source de 2012 https://sari.cnrs.fr/wp-content/uploads/2021/12/legislation_traces_commente.pdf )
Faudrait appliquer une règle supplémentaire, du type azertyuiopGoogleMDR (Google Moteur De Recherche), mais là encore c’est faillible, il suffit qu’au fil du temps le site change d’utiliser ou de nom (pour Google, j’utilise Alphabet ? Gmail ? Google ?) pour que ça soit confus. Bref, ça reste impossible d’appliquer les bonnes règles sans un outil à côté pour stocker les identifiants sécurisés.
Non, il faut que le principe d’une clé unique et sécurisée soit conservé, que ce soit un mot de passe ou une passkey. L’outil biométrique ne doit que permettre de débloquer l’accès à ces valeurs uniques, comme c’est le cas avec l’empreinte sur les smartphones aujourd’hui. Sinon, le jour où le système devient faillible, tout foire.
2 « J'aime »
Le biométrique ne devrait être que le « qui je suis ».
Pour une bonne sécurité il faut 3 facteurs.
- un facteur inhérent (ce que l’on est)
- la photo sur la carte d’identité
- une empreinte digitale
- un facteur de possession (ce que l’on a)
- une carte d’identité
- une carte à puce
- un facteur de connaissance (ce que l’on sait),
- Le département de naissance d’un parent
- un mot de passe
Le premier facteur ne peut pas être changé, donc il est très important de ne pas se baser uniquement dessus. Si jamais on trouve une façon de le falsifier c’est foutu.
Quand vous avez les 3 facteurs vous être très bon niveau sécurité.
Sur le web en général on n’a que le facteur de connaissance (le nom du compte et le mot de passe rentrant tous les deux dedans).
Le téléphone est ajouté pour la possession et le faceID ou l’emprunte pour le facteur inhérent.
Mais ces moyens seul ne valent pas grand chose. Par contre tout combiné, leur faiblesses s’amenuisent.
Il y a plein de bonnes raisons, détaillées au dessus, pour lesquelles ce générateur n’a que peu d’intérêt.
Je voudrais en rajouter une : ce qui compte pour un mot de passe, ce n’est pas la longueur, c’est l’entropie. C’est à dire le niveau de hasard que le mot de passe contient. Ici, le mot de passe est fabriqué à partir des premières lettres des mots. Or, en français 14% des mots commencent par un e, 8% par un a, seulement 0.13 par un y et quasiment aucun par un W. De plus des règles linguistiques s’ajoutent, comme la construction sujet verbe complément. Tout cela baisse l’entropie et permet à un attaquant de deviner le mot de passe par brute force.
En résumé, le mot de passe a longueur égale est bien plus faible qu’un qui soit vraiment aléatoire. Pour une utilisation lambda, une phrase suffisamment longue donnera un niveau de résistance acceptable. Pour un usage demandant une sécurité forte, c’est à fuir.
Note: ceci dit, c’est déjà mieux que les admins en entreprises qui téléchargent un générateur de mot de passe sur Internet sans vérifier les sources. Et qui choisissent un qui envoient tous leurs mots de passe aux attaquants. C’est du vécu 
1 « J'aime »
En fait quand la biométrie est utilisée, c’est souvent deux facteurs à la fois. Car le service ou application n’a pas accès à la signature biométrique elle même, il a accès à une clé fournie par le système biométrique et dont la signature biométrique débloque l’accès. Donc c’est un « ce que l’on est » pour déverrouiller la clé, puis un « ce que l’on a » pour la clé elle même.
C’est pour ça que par exemple si je configure une authentification par mon visage ou mon empreinte pour l’accès à mon compte bancaire sur mon PC, je ne peux pas ensuite me connecter à la banque depuis une autre machine dotée d’un lecteur biométrique, je dois refaire la configuration sur l’autre appareil. Parce que la clé fournie par le système biométrique ne sera pas la même. Sur un PC avec deux lecteurs d’empreintes différents, il faut même utiliser le bon lecteur, celui qui a été utilisé lors de la configuration initiale, si on utilise l’autre, ça ne marchera pas, parce que même l’OS n’a pas accès à l’empreinte, elle ne sort pas du lecteur.
Oui beaucoup plus efficace. Juste dommage de ne pouvoir transférer facilement sur android.
Bah… Google… Aucune raison de se souvenir de ses mots de passe.
Perso les principaux sont sur mon pc en clair dans un fichier texte.
Genre celui de Google du coup. Car si je le perds… Bah… C’est presque mort.
Idem pour les gros site comme Microsoft Amazon etc.
Mon pc ne risque pas de tomber ne panne (disque neuf) et de là à être piraté tellement… Bref se rappeler de ses mots de passe « forts » ne sert à rien.
Non il ne seront pas plus fort vu le nombre de caractères par défaut d’un générateur Google par exemple.
Si je choisi un qui est une phrase il sera plus fort que n’importe quel générateur standard.
Perso j’utilise un mot de passe modifié sont la base date d’il y a plus de 20 ans… Ancien mot de passe Wanadoo.
Ce n’est pas parce qu’un disque est neuf qu’il ne risque pas de tomber en panne ! Au contraire même, pour beaucoup de produits le taux de panne est bien plus élevé la première année, puis décroit les années suivantes, avant de remonter avec l’âge (ce que les anglophones appellent la « bathtub curve »)… Et ni les disques durs ni les SSD n’échappent à cette « règle », comme le montrent les stats de Backblaze sur des grands nombres d’unités :
Et de manière générale, quelque soit l’âge de tes supports de stockage, tu dois partir du principe qu’ils peuvent te lâcher complètement du jour au lendemain. En d’autres termes, tu dois considérer que tout ce que tu stockes dessus et dont tu n’as pas au minimum une copie sur un autre support (idéalement, au moins deux, dont une en dehors de chez toi) est quelque chose que tu es prêt à perdre…
Bonsoir,
Je n’ai pas confiance en
ce qui concerne les gestionaires de mots de passe. J’ai mis mes mots de passe dans un agenda au crayon gris A, amazon…C, Clubic etc. Quand j’en modifie, je gomme et corrige. Sur la couverture de l’agenda, j’ai
collé une étiquette : orthographe 6ème B. Les mots de passe ont tous au moins 8 (chiffre/lettres/signes (±/?!..) et pas besoin de s’en souvenir du coup.
Perso, j’utilise le système de mot de passe d’Apple. Je sais pas comment ils l’ont conçu mais ces mot de passes là, en plus d’être suffisamment complexes pour quasiment tous les sites / services, sont super simple à retenir.
Exemple : beztas-6kajzo-Qurnom
Les hackers n’ont pas vraiment le temps, ils ont des outils automatiques qu’ils utilisent pour reprendre le passe sur des milliers de comptes.
Si tu es quelqu’un avec un grade important dans une organisation sensible, oui t’as plutôt intérêt à faire plus solide.
Mais pour un utilisateur lambda, ça protège tous ses comptes annexes des leaks.
Et accessoirement ça peut être assez pratique sur les sites dont on s’en fous avec une utilisation à la con de mettre la moitié du passe avec le nom du site et le reste avec une partie.
Sinon changer régulièrement son mot de passe n’est plus une recommandation, sauf en cas de leak bien sûr. Car ça mène les utilisateurs à noter leurs mot de passe, ou à utiliser des moyen mnémo moins poussés. (souvent on leur dit « pas proche d’un précédent passe », etc…).
Car oui c’est la réalité, celle qui est que la majorité des gens n’utilise pas de gestionnaire.
La théorie fonctionne pas
« Outil génial » carrément ?
Sinon le mieux serait de doubler systématiquement l’accès aux sites par une double-authentification ?
Sauf si les hackers ont aussi choppé l’accès à nos mails/sms/ou autres applis…
:o
Franchement, les mots de passe c’est obsolète. Perso, je tape un mot de passe aléatoire à chaque site (que je ne retiens pas, je m’en fiche) et j’utilise la fonction j’ai oublié mon mot de passe à chaque fois que je dois me reconnecter. Pourquoi se souvenir d’une suite inintelligible d’octets alors que le serveur sur lequel vous vous connectez, lui, le fait très bien?
Dans la pratique, l’accès à un site se fait via votre cookie/token d’accès.
Celui qui a le token vous représente. Le token a une durée de vie, lorsqu’il expire, c’est votre boite mail qui permet de le recréer.
Ça doit être un enfer de fonctionner comme ça… en plus, le pirate qui par miracle a accès à ta machine, n’a même pas besoin de craquer tes mots de passes, t’as sauvegardé toutes les connexions dans les cookies…
C’était sarcastique (mais pas totalement). De toute façon, un pirate qui a accès à ta machine, il en a rien à faire de ton mot de passe, vu que les sites fonctionnent via tes cookies/tokens de sessions qui sont dans le cache de ton navigateur.
Mon commentaire, c’était pour montrer que le 2FA, c’est de la gnognotte vu que justement l’un des facteurs du 2FA peut servir à récupérer l’autre (en gros, le 2FA avec un code par mail et le recovery du mot de passe par le même mail, comme c’est souvent le cas, c’est exactement comme un 1FA, le mot de passe étant simplement de la décoration pour faire croire à la sécurité).
c’est bien connu oui le 2FA par mail et SMS n’est pas très fiable
L’OTP avec un authenticator sur un autre appareil (le smartphone) c’est déjà mieux.
La clé fido2 ou le smartphone en tant que passkey biométrique c’est beaucoup mieux
Ben justement, je ne laisse pas de connexion actives sur mon PC. Et oui, je tape mes mots de passes systématiquement.