Forum Clubic

Commentaires : Voici la liste des 200 mots de passe les plus utilisés en 2020 (et c'est le désarroi) (page 2)

Gros +1 pour bitwarden en instance local.
Tout le monde n’a pas de NAS Synology par contre…
La solution la plus simple c’est de prendre un raspberry pi, encore faut il avoir des connaissances réseau efficace et beaucoup de patience

Ah bon ??? dans ma banque c’est 5 !!! Il y a des privilégiés à ce que je vois !

« Cette liste a été dressée en analysant le contenu de bases de données compromises cette année, soit environ 275 millions de mots de passe au total »

L’honneur est sauf ^^

La mauvaise habitude c’est de continuer à faire reposer l’authentification sur le partage d’un secret.

On a juste besoin pour être identifié de prouver que l’on possède quelque chose ou que l’on connaît un secret.

On sait maintenant prouver que l’on connaît un secret sans le partager, mais en fournissant une preuve vérifiable.

Exemple simpliste (et inefficace et dangereux ) : dans un système a clés publique avec signature, vous générez une pair de clés et publiez la clé public. Vous demandez a vous identifier sur un site. Ce site vous envoie un message aléatoire, vous signez ce message avec la clé secrète (le danger est que vous signiez un message que vous ne maîtrisez pas) et le renvoyez. Le serveur vérifie la signature avec la clé public. Si la vérification est bonne il a la preuve que vous êtes en possession du secret et vous êtes identifié.

Je ne sais pas en France, mais pour mon compte au Québec, ma banque ne demande qu’un NIP à 6 chiffres, et une question personnelle (facultative si je coche une case). On repassera pour la sécurité de ce point de vue ! La seule protection supplémentaire, le compte se verrouille après 3 mauvaises tentatives. Et c’est peut-être ça qui devrait être implanter sur les sites. 3 essais, et il devient impossible de réessayer avant un certain délai.

J’utilise le gestionnaire de Google pour les mots de passe, qu’en pensez vous ?

Ce qui est rassurant, c’est que ‹ 123456 › ne marche pas pour une banque :stuck_out_tongue:

Mais sinon oui ça m’a toujours fait rire ces mdp qu’avec 6 chiffres… (ou moins !)

Comme dit dans l’article, ils utilisent les listes trouvables dans le dark web ou en ailleurs, qui listent les couples compte/password de sites piratés.

Par contre, là ou il y a un biais dans la methode c’est que probablement les password ont plusieurs année d’existence même si la liste est 2020.

L’année dernière j’ai recu un mail de menace en anglais « toi visite site porno, ta webcam t’a filmé, file moi des bitcoins, sinon… » avec comme super preuve un de mes password. Bon j’ai jamais eu de webcam et le password s’il est vrai je l’utilisais vers 2008 (avant mon passage sur keepass il y a qq année car effectivement cela devenait ingérable tous ces sites)
Ce couple compte(mon email)/mot de passe a été ajouté dans une megaliste peu avant ça apriori , bonjour la fraicheur

NordPass ne peut pas lire les mots de passe qu’on stocke dans leur gestionnaire.

Leurs stats sur la fréquence des mots de passe, ils ne les font pas sur les mots de passe de leurs utilisateurs, ils le font sur les liste de mots de passe leakés suite à des piratages de différents services.

Outre le fait que les mots de passe peuvent être plus anciens, il y a aussi un autre biais : ils viennent sans doute principalement de sites peu importants.

Il y a plus de chances que les mots de passe de ces liste viennent de la base du forum des cueilleurs de champignons de Triffouilli-les-Oies que de Google.

Or il y a beaucoup de gens qui adaptent la sécurité du mot de passe à l’importance du site… Perso, sur Google, j’ai une passphrase de plus de 30 caractères. Mais sur certains sites où je me suis juste inscrit parce que tel ou tel contenu était réservé aux inscrits, et où je n’ai rentré aucune donnée personnelle, ça m’est arrivé un paquet de fois de créer un compte avec un boîte yopmail en identifiant et azertyuiop en mot de passe… Sans pour autant prendre un quelconque risque, puisque c’est un compte « poubelle ».

2 J'aime

très juste, sur les sites que j’estime peu fiables, je mets un mot de passe peu sécurisé

sinon, la seule manière de protéger vraiment contre la force brute, ce n’est pas côté utilisateur, c’est côté site

si vous bloquez le compte après X tentatives …

ou si vous forcez un temps d’attente après chaque X tentative ratée, vous ne trouverez jamais le mot de passe

1 J'aime

Oui et non. Techniquement, si l’attaquant est à distance, l’attaque par force brute est déjà quasi impossible. Parce que même avec seulement quelques ms de latence réseau dans le meilleur des cas, ça limite quand même à moins de 1000 essais par seconde (et pas sûr non plus que le site lui même tienne un tel rythme…)… À ce train là, même un bête mot de passe alphanumérique de 6 caractères peut tenir plus de deux ans… Forcer un temps d’attente ou limiter le nombre d’essais, pour un site, c’est utile pour protéger les comptes les plus faibles contre les attaques par dictionnaires. Contre un bruteforce, ça ne changera pas grand chose.

Ce qu’il se passe en général, c’est qu’une base de données est récupérée sur un site piraté, et ensuite le bruteforce est fait sur cette base (ce qui permet en plus, si la base utilise des hash sans sel ou avec un sel fixe, d’attaquer tous les comptes à la fois), sans passer par le site, puis les comptes ainsi trouvés sont testés sur d’autres sites.

1 J'aime

Bonjour,
Autre hypothèse ils n’ont pas confiance.