Huit caractères, c’est le nombre clé que vous ne devez absolument pas oublier lorsque vous créez ou modifiez l’un de vos mots de passe.
Il faut surtout multiplier les verrous sur les tentatives successives… Ajout d’un captcha, temps minimum avant un nouvel essai, envoi d’un email avant d’autoriser une nouvelle tentative.
La plupart des mots de passe en danger le sont soit en base de données car stockés en clair, dans ce cas on peut mettre 120 caractères que ça changera rien, soit par le bruteforce et on peut le prévenir.
En pratique, même un code à 6 caractères pourrait être sécurisé…
5 « J'aime »
Le post-it aussi. Ne jamais oublier le post-it collé sur l’écran ou le clavier.
1 « J'aime »
Mais l’étude oublie de préciser qu’un mot de passe complexe ne doit être utilisé que s’il y a des données vraiment sensibles c’est à dire en gros de numéros de CB.
L’étude ne précise pas que tous les sites qui forcent à utiliser des mots de passe complexes pour pas grand chose, fragilisent l’ensemble du système.
L’humain ne peut pas retenir beaucoup de mots de passe complexes. Du coup les données vraiment sensibles se retrouvent avec les mêmes mots de passe que les données non sensibles à cause de ce forçage systématique de mot de passe complexe.
4 « J'aime »
Ce n’est pas le sujet la, on parle de cracker le hash d’un mot de passe. Donc hors-ligne après avoir déjà récupéré la base de donnée avec les mots de passes hashés.
Il n’y a donc aucun moyen de mettre de temps d’attente entre les essais, toute la puissance de ta machine est déployée (37+ millions d’essais par secondes avec une RTX 3080)
1 « J'aime »
Justement l’etude souligne que c’est dangereux parce que les gens utilisent le meme mot de passe sur tous les sites. Il suffit d’en craquer un sur un petit site pas très sécurisé pour récupérer tes identifiants sur un site plus sensible. Et les gens faisant ca n’ont pas attendu les longs mots de passes pour faire ca.
Au contraire avoir des mots de passes très long/complexes incite a avoir un mot de passe different partout notamment grace a l’adoption de gestionnaires de mots de passes
D’ailleurs pour la CB la plupart des sites de banques ne sécurisent pas correctement leurs accès au compte en forçant un mot de passe pourri avec uniquement 6 chiffres, tout en bloquant les gestionnaires de mots de passes. Du pain béni pour les hackeurs.
1 « J'aime »
D’ailleurs en lisant l’etude on remarque que si un site est mieux codé (ou codé correctement) avec un meilleur hashing + salting, pour hacker un mot de passe complexe de 8 caractères ca prendrai 400 ans avec une RTX3080 ou 36 ans avec 8 GPU super puissants.
Mais bon… encore faut-il que les sites suivent les bonnes pratiques et se mettent a jour
1 bn years, ça veut dire quoi ? Un million d’années ? Et bien c’est bon pour moi alors. 
Dès fois ça peut être aussi 400 ans.
Pour la CB en ligne, la banque envoie un SécuriPass à usage unique par SMS à valider ensuite avec un SécuriCode fixe envoyé par courrier postal.
Même s’il y a un problème de livraison, les sites sont honnêtes et vous remboursent en peu de temps.
Je pense que « bn » signifie « billion » ; c’est à dire « milliard » en Anglais
Bah j’ai même eu un fichier excel appelé mot de passe sur le bureau alors plus rien ne étonne le tout sur un widows paramétré pour démarrer la session sans avoir à mettre le mot de passe et sur un portable avec le wake on lan activé comme quoi on peut y arriver
d’ou les gestionnaires de mots de passe avec un seul mot maître à retenir
Et si l’on utilise les caractères accentués de la langue française le défit doit en être largement augmenté. Sauf que bon nombre de sites n’autorisent pas ces caractères et c’est bien dommage. La majorité des hackers n’étant pas francophone cela nous protègerait mieux à mon humble avis.
Les mots de passe chinois, indonésiens ou encore arabes sont-ils souvent hackés ?
1 « J'aime »
Je ne comprends pas comment ils calculent ces durées? Ils se basent sur quoi? Sur un laptop? Sur une tour de gamer? Sur 150 serveurs de 112 vcpu chacun loues sur Google cloud?
Je veux bien que l’expérience de l’attaquant influe un peu sur le résultat mais je suppose que c’est plus l’investissement qui compte non quand on parle de bruteforce non?
En clair ou pas les mots de passe ne devrait jamais être utilisés pour servir de preuve que le secret est connu de personnes à authentification.
L’authentification doit reposer sur une preuve nulle de divulgation de connaissances. De cette façon le service qui authentifie ne sait rien du secret.
Mais cela ne règles pas du tout le problème des attaques par force brute, n’y d’autres faiblesses comme les interceptions à la source.
Bizarre qu’on ne parle pas du 2FA…voir MFA
Lol…Dans un bdd, normalement si le dev est pas trop débile (et surtout pas un véreux), les Pwd seront hashes…avec une protection + ou - importantes…et c très simple de mettre en place ce hashe…
Pour l’autre pts, c’est jouable.