-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 On 06/05/2011 18:59, obrowny06 wrote: > Bonjour, > > Un petit post pour rappeler qu'un mot de passe c'est important et qu'un > bon mot de passe c'est mieux !! > Cependant on constate que parfois (souvent?) on peut choisir un mot de > passe simple pour le retenir plus facilement au détriment de sa robustesse. > Je me disais donc qu'il pourrait être utile de rappeler ce qu'est un bon > mot de passe et comment construire un mot de passe robuste et facile à > retenir. > > La première chose à connaitre, c'est de savoir comment on crack un mot > de passe : > > - En le demandant est la façon la plus simple et parfois la plus efficace. > Il ne faut donc pas donner ses mots de passe. Je sais ça a l'air bête ! > - En le devinant est une autre méthode. > exit donc les dates d'anniversaire, nom du toutou chéri et de notre > manchot favori !! > - En attaque bruteforce : c'est à dire que l'on essaie toutes les > combinaisons de chiffres et de lettres jusqu'à ce que le coffre s'ouvre !! > ici, plus il y a de caractères et plus c'est difficile. Vous noterez que > lorsque vous ratez votre login dans le gdm, celui ci ne rend pas la main > immédiatement mais temporise avant de pouvoir ressaisir le mot de passe. > C'est pour éviter de pouvoir saisir des milliers de mdp en peu de temps > et empêcher ces attaques. > - Par attaque au > dictionnaire.http://www.baekdal.com/tips/password-security-usability > Il faut donc éviter un mot de dictionnaire. > - Par attaque des mots les plus utilisés. > idem éviter les mots simples. > > Si on peut cracker votre mot de passe en 1 ou 10 minutes c'est > insuffisant.http://www.baekdal.com/tips/password-security-usability > > S'il faut 1 semaine alors quelqu'un vous en veut ... un peu. > > S'il faut 1 an c'est déjà pas mal, 100 ans c'est parfait alors pourquoi > pas plus de 1000 ans !!! > > Alors comment construire des mots de passe solides ? > > 6 lettres au hasard c'est 1 mois > 6 lettres et chiffres c'est 8 mois > 6 lettres chiffres et caractères c'est 219 ans > 6 lettres formant un mot c'est entre 3min et 1h30. > > Le problème c'est que retenir des mots de passe comme "gf<h|s" c'est > compliqué alors on ne le fait pas !!! > > Quelle solution trouver pour avoir un mot de passe fiable et facile à > retenir ? > > Eh bien : > > "salut toi" nécessitera plusieurs mois... > "Salut à toi" nécessitera plusieurs milliers d'années... > "la-la-dirla-da-da" sera craqué en plusieurs milliards d'années... > > Conclusions des très courtes phrases de trois à quatre mots vous > protègent pour la vie !!! > (sauf si elle sont faciles à deviner : tous les prénoms de la famille...) >
Hum, hum Dans l'ensemble je plussoie, mais... tu exégère beaucoup les chiffres ! :) 1 millier d'année pour un mot de passe personnellement j'ai pas le recul pour en juger. Non, sérieusement, les meilleurs mot de passes qui soient, c'est des caractères aléatoires contenant majuscules, minuscules, chiffres et caractères spéciaux. Le guide de la NSA sur la sécurisation d'un serveur RHEL suggère minimum 12 caractères pour le pass root. Personnellement j'en utilise 20, ça se retient assez rapidement au final. Pour ce qui concerne les attaques par "dictionnaire", ça ne veut pas forcément dire que ça concerne les pass basés sur un mot du dico. On construit un dictionnaire de mot de passes, qui peut contenir des mots du langage courant, mais pas que, par exemple aussi des mots de passe par défauts connus de tel ou tel appareil. Pour finir, même dans les meilleures conditions on peut quand même trouver une faille à exploiter pour récupérer un mot de passe, ou même passer outre (une injection JS, SQL, SSI, ou quelque chose comme ça), ou alors, si on laisse malencontreusement un fichier contenant un passwd ou un hash accessible en lecture. Essaie de passer ton /etc/shadow au reverse MD5... c'est marrant :) Bref voilà */me retourne lire le guide de la NSA* > > %%% Merci de respecter ces consignes http://www.linux-azur.org/savoir-vivre > %%% > > -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.10 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iF4EAREIAAYFAk3EXAgACgkQuKjUAHYUJeblqAEAuBnslGVY3FbCxyaQr+NBq6Ii 60CL/fGjqNkSBguoPXIBALEatQNQb01koqL6G/gKAgYBYi0iWZAT7T4zndF+xWGk =pso7 -----END PGP SIGNATURE----- %%% Merci de respecter ces consignes http://www.linux-azur.org/savoir-vivre %%%
