L’étude menée par un spécialiste suédois de l’authentification tend à montrer que la conformité des mots de passe aux recommandations des autorités cyber demeure insuffisante pour échapper à la compromission.
La plupart des recommandations strictes imposent au moins 8 caractères, un chiffre, une majuscule et un caractère spécial.
Les exemples dans l’article ne sont plus vraiment autorisés dans les sites réellement soucieux de la sécurité.
5 « J'aime »
Et pourquoi ne pas en tirer la conclusion suivante : quelle que soit la « force » de votre mot de passe, il y a 53 % de chances de vous faire pirater votre compte ? Autrement dit, le fait que votre mdp soit balèze n’a aucune incidence sur la sécurité du compte ? Parce qu’il est quand même bien facile de rejeter la faute sur l’utilisateur quand pour plus de la moitié des cas, il n’a rien à voir là-dedans…
1 « J'aime »
Mais grave, les mots de passe donnés en exemple cochent même quasiment toutes les proscriprions données dans le paragraphe :
Pour éviter les risques de compromission et de piratage de ses mots de passe, l’ANSSI prodigue plusieurs recommandations spécifiques. Il est ainsi vivement conseillé d’adopter un mot de passe :
Mention spéciale au 1q2w3e4t5 
2 « J'aime »
Dans tous les cas il faut partir du principe qu’un mot de passe peut toujours être compromis.
Mais d’où l’intérêt d’assurer un maximum ses arrières en ayant des mots de passes robustes (qui évitent une partie des compromissions, notamment le brute force), mais surtout uniques (pour ne compromettre que le compte en question et non tout le reste en cas de soucis), et d’utiliser le 2FA dès que le compte est sensible.
C’est complètement faux de penser que la complexité n’a aucune incidence sur la sécurité du compte. Ce qui est vrai par contre, c’est que le risque zéro n’existe pas.
3 « J'aime »
Il y a de multiples soucis et dérives à n’avoir qu’un mot de passe par compte :
- Beaucoup de comptes = beaucoup de mots de passe (similaires ou différents ?)
- Les gens n’ont pas une mémoire d’éléphant pour se rappeler de tous
- Les banques imposent la connaissance des numéros de comptes
- Les banques et d’autres services (ex : PIN du smartphone) imposent des suites de chiffres
.
Evidemment, beaucoup proposent de stocker ses mots de passes en les enregistrant directement sur son navigateur web ou autres trousseaux soit disants « 100% sûrs ».
Bref, pas de solution idéale, si ce n’est d’essayer de compartimenter au maximum (par groupe par exemple), mais pas au niveau extrême que tu proposes (1 compte = 1 mot de passe), c’est beaucoup trop !
Mais c’est exactement ça! les mots de passe se retrouvent dans la nature suite à un leak de donnée d’un grossite. Si le mot de passe fait 120 caractères, une fois décrypté, ça change rien.
Ce qu’il faut IMPERATIVEMENT expliquer aux utilisateurs, c’est d’utiliser un mot de passe différent par site. Le jour ou un de ses sites est piraté, les hackers n’auront pas accès aux autres.
Moi j’ai une technique par exemple, ou j’utilise toujours les 6 premiers caractères toujours les mêmes, ensuite dedans je met un chiffre qui correspond au nombre de lettres que contient le domaine (8 pour facebook) et la 2ieme lettre du domaine en capitale (A pour facebook), et la fin un caractère spécial.
Ca permet d’avoir un pattern pour pas les oublier, mais d’en avoir un different à chaque fois.
3 « J'aime »
Le 2FA ne sert à pas grand chose, c’est facilement « bypassable ». Il suffit de taper 2FA authentification hacker sur google et t’a plein de truc qui apparait pour contourner cette protection 
D’ou l’existence de gestionnaires de mots de passe un seul à retenir et si la base est le locale il faut d’abord avoir accès à la machine pour tenter de le casser.
Mais la sécurité 100 % cela n’existe pas en avoir conscience c’est déjà la renforcer
2 « J'aime »
Stocker ses mots de passe où que ce soit est la plus grand erreur de sécurité que quelqu’un puisse faire…
1 « J'aime »
Ce n’est pas tout à fait vrai. On parle de brut force à partir de dictionnaire qui est grandement facilité par certains usages qui pourtant respectent les règles imposées. Un « bon » mot de passe aléatoire est bien plus robuste, le point faible est ALORS le site ou le phishing (ici encore la « faute » de l’utilisateur, entre guillemets parce tout le monde peut se faire avoir).
Le problème, c’est que ces règles que tout le monde répète depuis des années ne sont pas bonnes…
Bien sûr, sur le plan technique, elles ont une influence positive sur la complexité des mots de passe, donc on peut dire qu’elles diminuent le risque de piratage.
Le problème, c’est juste qu’elles ne sont pas du tout la base du principe qui rends un mot de passe sûr. Ce sont juste des « adjuvants ».
Je propose des règles plus simples et plus efficaces.
-Un mot de passe doit être basé sur des caractères TOTALEMENT aléatoires. Aucun mot reconnaissable. Le mieux est d’utiliser un bon générateur.
-Un mot de passe doit être suffisamment long. Pas juste 8 ou 12 caractères, mais plus de 20. Plus long, c’est mieux et ça ne coûte rien.
-Un mot de passe doit absolument être à usage unique, c’est à dire un mot de passe différent par site.
-Attention à ne pas utiliser n’importe quel gestionnaire de mot de passe.
-Pensez à vider votre « presse papier » si vous faites du copier coller.
« Stocker ses mots de passe où que ce soit est la plus grand erreur de sécurité que quelqu’un puisse faire… »
Ah bon ? selon qui ?
1 « J'aime »
Bref, pas de solution idéale, si ce n’est d’essayer de compartimenter au maximum (par groupe par exemple), mais pas au niveau extrême que tu proposes (1 compte = 1 mot de passe), c’est beaucoup trop !
Pourtant, c’est la seule solution que l’on puisse considérer comme réellement sûre.
Bien sûr, vous avez parfaitement raison sur le fait que cela nécessite d’avoir une solution de stockage des mots de passe auquel on puisse faire confiance. Mais il en existe.
Mais si vous essayez d’expliquer à une mamie les techniques de variation de mot de passe, vous verrez que c’est encore plus compliqué.
Stocker ses mots de passe où que ce soit est la plus grand erreur de sécurité que quelqu’un puisse faire…
Sauf que pour la plupart des gens, le cerveau n’a pas la capacité de mémoriser un grand nombre de mots de passe de complexité suffisante.
Sans compter qu’un mot de passe stocké dans notre mémoire peut être intercepté presque aussi facilement que s’il était stocké sur la machine, avec un programme d’interception des frappes clavier.
2 « J'aime »
Ce qui est dommage c’est qu’encore beaucoup de sites ou d’applications limitent la longueur des MDP et oui 12 caractères je trouves ça court, un bon kyepass réglé sur tout type de caractères, longueur 20 à 30 serait idéal aujourd’hui.
D’ailleurs vu qu’on peut copier/coller les MDP, peu importe la longueur de celui-ci, vu que normalement on va pas le retenir ni le taper manuellement.
1 « J'aime »
Il y a une chose que je ne comprends pas : comment se fait-il qu’une attaque de force brute soit possible ? Normalement, après un petit nombre d’essais infructueux, le compte est bloqué d’une manière ou d’une autre (temporairement par exemple). Je me trompe ?
Et des sites qui n’accepte toujours pas les caractères spéciaux. Autant dire que sur ces sites j’ai vraiment limité un max les infos personnels. J’en connais même un toujours à 8 caractère max…
Oui. Si ce n’est pas le cas, c’est le site qui est fautif, ça fait partie des principes de base, comme le passage par un compte non privilégié pour accéder au compte admin / root=> 2 fois une double authentification.
Le troisième grand principe: il ne FAUT JAMAIS se baser sur les procédures de sécurité des tiers, ils ont forcément aussi des failles. 
Il y a une chose que je ne comprends pas : comment se fait-il qu’une attaque de force brute soit possible ? Normalement, après un petit nombre d’essais infructueux, le compte est bloqué d’une manière ou d’une autre (temporairement par exemple). Je me trompe ?
Malheureux, ça voudrait dire que quelqu’un aurait fait son boulot correctement.
Imagine que tu est un professionnel qui fait de la programmation.
Un client t’appelle pour avoir un devis, on va l’appeler Monsieur Radin.
L’ambition et l’ego de Monsieur Radin sont inversement proportionnelle à la taille de son microbudget (il faut bien qu’il paye les traites de sa supercar).
Que fait tu :
(1) Le prix le plus bas possible pour remporter l’appel d’offre, ce qui suppose d’enlever tout ce qui n’est pas absolument indispensable et dont le client n’a pas conscience de l’utilité.
(2) Tu met tout ce que tu estime nécessaire pour faire un bon produit… au risque de perdre le boulot parce que le prix est trop cher pour monsieur « poches trouées ».
Donc la normalité en informatique est simple à comprendre. (fuyez).
2 « J'aime »
je suis pas en France, donc c’est pas azerty !
1 « J'aime »