|
|
Mots de passe sécurisés ?
22 Juil 2008, 23:10
C'est une question que je me suis toujours posé, et hier alors que j'avais un peu de temps, je me suis amusé:
Tout les systèmes web de mot de passe cryptés sont basé sur un système appelé md5. C'est directement le mot de passe crypté qui est mis dans la base de donnée:
par exemple le mdp :"zzzzzz" est codé comme 453e41d218e071ccfb2d1c99ce23906a
(pour les habitués c'est de l'hexa décimal)
Il y a 3E38 possibilité de codage différent. Ce qui donne l'impossibilité de tous les testé. Par contre tout webmestre connait les mdp cryptés de toutes les personnes sur son site web (je pourrai donner son mdp crypté à chacun d'entre vous.
Par contre rien n'empêche de tester tous les mots l'un a la suite des autres.
Un test de tout les mots de 6 lettres (~300 millions de possibilité) est par exemple possible et vu que le codage en md5 est assez rapide il est possible de décoder...
Un programme tout bête, dans un langage même pas réputé pour sa rapidité (python) met par exemple au maximum 9 heures pour décoder un mot de passe de 1 à 6 lettres.
Et ceci n'est qu'un bête test pour voir, nul doute que les vrais programmes vont beaucoup plus vite en
1) testons tout les prénoms et toute les dates de naissance (des mots de passe très courants)
2) en utilisant un dictionnaire
Bon ceci-dit avec mon programme il faut jusque 2 semaines pour décoder un mot de passe de 8 caractère contenant des minuscules et des majuscules. Et sans doute encore plus si on rajoute des ponctuations.
En conclusion, je conseille
1) d'avoir un mot de passe différent pour chaque site web
A) car certain site web garde les mdp non cryptés -ils sont quand même envoyés en clair-
B) car on sait aussi les décoder
2)Que tout vos mots de passe contienne toujours une minuscule-une majuscule-une ponctuation-un chiffre
Pour que ce genre de programme facile ne marche pas
Tout les systèmes web de mot de passe cryptés sont basé sur un système appelé md5. C'est directement le mot de passe crypté qui est mis dans la base de donnée:
par exemple le mdp :"zzzzzz" est codé comme 453e41d218e071ccfb2d1c99ce23906a
(pour les habitués c'est de l'hexa décimal)
Il y a 3E38 possibilité de codage différent. Ce qui donne l'impossibilité de tous les testé. Par contre tout webmestre connait les mdp cryptés de toutes les personnes sur son site web (je pourrai donner son mdp crypté à chacun d'entre vous.
Par contre rien n'empêche de tester tous les mots l'un a la suite des autres.
Un test de tout les mots de 6 lettres (~300 millions de possibilité) est par exemple possible et vu que le codage en md5 est assez rapide il est possible de décoder...
Un programme tout bête, dans un langage même pas réputé pour sa rapidité (python) met par exemple au maximum 9 heures pour décoder un mot de passe de 1 à 6 lettres.
Et ceci n'est qu'un bête test pour voir, nul doute que les vrais programmes vont beaucoup plus vite en
1) testons tout les prénoms et toute les dates de naissance (des mots de passe très courants)
2) en utilisant un dictionnaire
Bon ceci-dit avec mon programme il faut jusque 2 semaines pour décoder un mot de passe de 8 caractère contenant des minuscules et des majuscules. Et sans doute encore plus si on rajoute des ponctuations.
En conclusion, je conseille
1) d'avoir un mot de passe différent pour chaque site web
A) car certain site web garde les mdp non cryptés -ils sont quand même envoyés en clair-
B) car on sait aussi les décoder
2)Que tout vos mots de passe contienne toujours une minuscule-une majuscule-une ponctuation-un chiffre
Pour que ce genre de programme facile ne marche pas
23 Juil 2008, 00:45
C'est étonnant que tu parles de ça maintenant! 
Ça fait une heure que je refait tous mes mots de passe!
Je fais un petit tour sur le forum, et qu'est-ce que je vois? Ton post!
Tout simplement sidérant!
Petite anecdote, il y a un mois je me suis amusé à utiliser des failles mise à jour sur internet.
Je ne sais pas si tu connais les injection sql. Pour faire vite, une injection permet modifier une requette, ainsi on peut dans certains cas utiliser la requette pour exploiter des informations présentes dans la base de données. Exemple, liste des noms d'utilisateurs ainsi que leurs mot de passe. Bien évidemment, ils sont généralement cryptés en md5 comme tu le dis.
J'ai pu décrypter certains de ces mot de passe en moins d'une seconde! Bien évidemment, j'ai utilisé ces comptes pour prévenir de la faille et je leur ai indiqué quel module en avait une (c'était un module pour les flux rss).
Je leur ai dit de le désactiver et de le mettre à jour si c'est possible. Ceux qui utilisent des exploits pour détruire dans le seul but de détruire je déteste ça!
Par contre détruire des sites ou bloquer des communications en matière de pédophilie ou tout autre chose pas cool je suis totalement d'accord!
Je me suis un peu éloigné mais je suppose que ça devrait t'intéresser!
Ça fait une heure que je refait tous mes mots de passe!
Je fais un petit tour sur le forum, et qu'est-ce que je vois? Ton post!
Tout simplement sidérant!
Petite anecdote, il y a un mois je me suis amusé à utiliser des failles mise à jour sur internet.
Je ne sais pas si tu connais les injection sql. Pour faire vite, une injection permet modifier une requette, ainsi on peut dans certains cas utiliser la requette pour exploiter des informations présentes dans la base de données. Exemple, liste des noms d'utilisateurs ainsi que leurs mot de passe. Bien évidemment, ils sont généralement cryptés en md5 comme tu le dis.
J'ai pu décrypter certains de ces mot de passe en moins d'une seconde! Bien évidemment, j'ai utilisé ces comptes pour prévenir de la faille et je leur ai indiqué quel module en avait une (c'était un module pour les flux rss).
Je leur ai dit de le désactiver et de le mettre à jour si c'est possible. Ceux qui utilisent des exploits pour détruire dans le seul but de détruire je déteste ça!
Par contre détruire des sites ou bloquer des communications en matière de pédophilie ou tout autre chose pas cool je suis totalement d'accord!
Je me suis un peu éloigné mais je suppose que ça devrait t'intéresser!
29 Jan 2010, 19:32
Nous possédons tous de très nombreux mots de passe. En ces temps d’Hadopi et autres flicages,nous mettons de plus en plus de données en ligne, sans être alarmiste, il semble encore plus urgent d’adopter les bonnes pratiques en matière de mots de passe.
Un institut de sécurité a récemment analysé la liste des 32 millions de mots de passe qui a été dérobée lors d’un piratage d’un grand site américain (rockyou.com). Le constat fait froid dans le dos et laisse un joli avenir aux pirates.
Êtes-vous certains d’avoir pris le minimum de précaution ?
Les chiffres montrent qu’environ la moitié des personnes utilisent les mêmes (ou très proches) mots de passe pour tous sites web.
Il y a quelques années, un piratage semblable de Hotmail avait déjà démontré ces problèmes.
Avec une puissance de calcul croissante grâce aux nouveaux processeurs, les pirates utilisent de plus en plus la méthode « BRUT FORCE » qui consiste à essayer automatiquement un par un les mots de passe suivant un algorithme ou plus simplement un annuaire des mots de passe les plus utilisés.
Il est démontré qu’il ne faut que seulement 110 tentatives pour un pirate pour accéder à un nouveau compte ou seulement 17 minutes pour atteindre 1000 comptes avec les bons identifiants !
Environ 30 % des internautes ont choisi des mots de passe dont la longueur est égale ou inférieure à six caractères.
En outre, près de 60 % des utilisateurs ont choisi leurs mots de passe à partir d’un ensemble limité de caractères. (chiffres ou nombres)
Près de 50 % des utilisateurs d’utiliser des noms, des prénoms, des mots du dictionnaire ou des mots de passe triviaux (chiffres consécutifs, touches du clavier à côté et ainsi de suite).
Quelques règles élémentaires
- Un mot de passe doit contenir au moins huit caractères.
L’analyse a révélé que seulement la moitié des mots de passe contenait sept caractères ou moins. Pas moins de 30 % des utilisateurs ont choisi des mots de passe dont la longueur était égal ou inférieur à six caractères.
- S’il n’y a qu’une seule lettre ou un caractère spécial, il ne devrait pas être soit le premier ou dernier caractère dans le mot de passe.
Environ 40 % des personnes interrogées utilisent uniquement des caractères minuscules pour leurs mots de passe. 16 % utilisent des chiffres seulement. Moins de 4 % des utilisateurs d’utiliser des caractères spéciaux.
- Il devrait contenir un mélange de quatre différents types de caractères - lettres majuscules, minuscules, chiffres et caractères spéciaux tels que !@#$%^&*, ;"
Pensez à panacher majuscules et minuscules : A titre d’exemple « FrEeNeWs » est différent de « freenews » mais pour être mieux sécurisé : « Free@New$ » est largement conseillé.
- Il ne doit pas être un nom, un mot d’argot, ou n’importe quel mot dans le dictionnaire. Il ne devrait pas inclure n’importe quelle partie de votre nom ou votre adresse e-mail.
La quasi-totalité des 5000 mots de passe les plus populaires, qui sont utilisés par 20 % des utilisateurs, ont été justement des noms, des mots d’argot, des mots du dictionnaire ou des mots de passe triviaux (chiffres consécutifs, touches du clavier à côté, etc).
Le mot de passe le plus courant parmi les propriétaires de compte Rockyou.com était "123456". Le tableau suivant illustre les 20 premiers mots de passe commun dans la base de données :
Choisissez un mot de passe différent pour les sites qui contiennent des données confidentielles. (Banque, Opérateur internet ou mobile, Facebook et autres)
Pour aider à se souvenir des mots de passe, une astuce simple : écrivez-les et mettez le papier dans votre portefeuille. Mais il suffit d’écrire la phrase - ou mieux encore - une allusion qui vous aidera à vous souvenir.
- Ne jamais transmettre vos mots de passe à quiconque. Votre banque, Free ou autres n’ont pas besoin de cela pour gérer votre compte !
- Restez vigilant face aux tentatives de phishing (si vous suivez Freenews vous connaissez forcement) et ne cliquez pas sur des liens contenus dans les mails. Retapez l’adresse de l’organisme directement dans votre navigateur, ils vous proposent des URL intelligentes simplifiant la saisie.
Les sites ont également leur rôle à jouer et des règles simples sont souvent ignorées : Forcer l’utilisation d’un mot de passe complexe, éviter de faire circuler les identifiants en clair en utilisant une session protégée HTTPS (Free n’est pas irréprochable de ce côté). Ne jamais stocker les mots de passe en clair dans les bases de données (si cela existe encore !)
Activer si nécessaire des systèmes Captcha et autres mécanismes bloquant ou freinant les attaques directes.
Pour beaucoup d’entre vous ces conseils sont connus mais rarement appliqués, alors c’est le moment de vous poser la question de votre mot de passe avant qu’il soit trop tard. Non ?
Un institut de sécurité a récemment analysé la liste des 32 millions de mots de passe qui a été dérobée lors d’un piratage d’un grand site américain (rockyou.com). Le constat fait froid dans le dos et laisse un joli avenir aux pirates.
Êtes-vous certains d’avoir pris le minimum de précaution ?
Les chiffres montrent qu’environ la moitié des personnes utilisent les mêmes (ou très proches) mots de passe pour tous sites web.
Il y a quelques années, un piratage semblable de Hotmail avait déjà démontré ces problèmes.
Avec une puissance de calcul croissante grâce aux nouveaux processeurs, les pirates utilisent de plus en plus la méthode « BRUT FORCE » qui consiste à essayer automatiquement un par un les mots de passe suivant un algorithme ou plus simplement un annuaire des mots de passe les plus utilisés.
Il est démontré qu’il ne faut que seulement 110 tentatives pour un pirate pour accéder à un nouveau compte ou seulement 17 minutes pour atteindre 1000 comptes avec les bons identifiants !
Environ 30 % des internautes ont choisi des mots de passe dont la longueur est égale ou inférieure à six caractères.
En outre, près de 60 % des utilisateurs ont choisi leurs mots de passe à partir d’un ensemble limité de caractères. (chiffres ou nombres)
Près de 50 % des utilisateurs d’utiliser des noms, des prénoms, des mots du dictionnaire ou des mots de passe triviaux (chiffres consécutifs, touches du clavier à côté et ainsi de suite).
Quelques règles élémentaires
- Un mot de passe doit contenir au moins huit caractères.
L’analyse a révélé que seulement la moitié des mots de passe contenait sept caractères ou moins. Pas moins de 30 % des utilisateurs ont choisi des mots de passe dont la longueur était égal ou inférieur à six caractères.
- S’il n’y a qu’une seule lettre ou un caractère spécial, il ne devrait pas être soit le premier ou dernier caractère dans le mot de passe.
Environ 40 % des personnes interrogées utilisent uniquement des caractères minuscules pour leurs mots de passe. 16 % utilisent des chiffres seulement. Moins de 4 % des utilisateurs d’utiliser des caractères spéciaux.
- Il devrait contenir un mélange de quatre différents types de caractères - lettres majuscules, minuscules, chiffres et caractères spéciaux tels que !@#$%^&*, ;"
Pensez à panacher majuscules et minuscules : A titre d’exemple « FrEeNeWs » est différent de « freenews » mais pour être mieux sécurisé : « Free@New$ » est largement conseillé.
- Il ne doit pas être un nom, un mot d’argot, ou n’importe quel mot dans le dictionnaire. Il ne devrait pas inclure n’importe quelle partie de votre nom ou votre adresse e-mail.
La quasi-totalité des 5000 mots de passe les plus populaires, qui sont utilisés par 20 % des utilisateurs, ont été justement des noms, des mots d’argot, des mots du dictionnaire ou des mots de passe triviaux (chiffres consécutifs, touches du clavier à côté, etc).
Le mot de passe le plus courant parmi les propriétaires de compte Rockyou.com était "123456". Le tableau suivant illustre les 20 premiers mots de passe commun dans la base de données :
Choisissez un mot de passe différent pour les sites qui contiennent des données confidentielles. (Banque, Opérateur internet ou mobile, Facebook et autres)
Pour aider à se souvenir des mots de passe, une astuce simple : écrivez-les et mettez le papier dans votre portefeuille. Mais il suffit d’écrire la phrase - ou mieux encore - une allusion qui vous aidera à vous souvenir.
- Ne jamais transmettre vos mots de passe à quiconque. Votre banque, Free ou autres n’ont pas besoin de cela pour gérer votre compte !
- Restez vigilant face aux tentatives de phishing (si vous suivez Freenews vous connaissez forcement) et ne cliquez pas sur des liens contenus dans les mails. Retapez l’adresse de l’organisme directement dans votre navigateur, ils vous proposent des URL intelligentes simplifiant la saisie.
Les sites ont également leur rôle à jouer et des règles simples sont souvent ignorées : Forcer l’utilisation d’un mot de passe complexe, éviter de faire circuler les identifiants en clair en utilisant une session protégée HTTPS (Free n’est pas irréprochable de ce côté). Ne jamais stocker les mots de passe en clair dans les bases de données (si cela existe encore !)
Activer si nécessaire des systèmes Captcha et autres mécanismes bloquant ou freinant les attaques directes.
Pour beaucoup d’entre vous ces conseils sont connus mais rarement appliqués, alors c’est le moment de vous poser la question de votre mot de passe avant qu’il soit trop tard. Non ?
29 Jan 2010, 19:49
Merci beaucoup de tous ces renseignements !! C'est vraiment sidérant tout ça !!
30 Jan 2010, 14:12
Merci. Intéressant.
J'ai un pote qui a un mot de passe différent pour chaque site. Il s'en souvient car il rajoute une partie du nom de domaine du site dans son mot de passe de base.
J'ai un pote qui a un mot de passe différent pour chaque site. Il s'en souvient car il rajoute une partie du nom de domaine du site dans son mot de passe de base.
10 Fév 2010, 16:29
26 Juin 2010, 20:42
Un jour membre américain sur ebay a réussi a trouver mon mot de passe, ce qui fait qu'il a utiliser mon compte à mon insu. Il s'était permis de faire une vente d'une guitare élèctrique, lieu de l'objet: California Usa !!
J'ai dû alerter ebay et leur décrire la situation. Ils ont vite pris les mesures nécéssaires et ont annuler non seulement la vente en cours mais aussi envoyer un avertissement au vendeur sans scrupule.
Le pire c'est que je recevais des questions de membres sur cette guitare !
Je devais bien sûr leur avertir que c'était un piratage et que je n'étais pas le vendeur de cet objet.
J'ai dû alerter ebay et leur décrire la situation. Ils ont vite pris les mesures nécéssaires et ont annuler non seulement la vente en cours mais aussi envoyer un avertissement au vendeur sans scrupule.
Le pire c'est que je recevais des questions de membres sur cette guitare !
Je devais bien sûr leur avertir que c'était un piratage et que je n'étais pas le vendeur de cet objet.
26 Juin 2010, 21:09
http://www.passwordmeter.com/
Essayer de mettre des majuscules, les programmes qui trouve les mots de passes sont anglais, donc pas d'accents !
Essayer de mettre des majuscules, les programmes qui trouve les mots de passes sont anglais, donc pas d'accents !
|
|
|
|
|
|
|
|
|
Retourverslefutur.com participe au Programme Partenaires d’Amazon EU, un programme d’affiliation publicitaire conçu pour permettre à des sites de percevoir une rémunération grâce à la création de liens vers Amazon.fr. |