Comment bien choisir son mot de passe!

Pour commencer, il existe +/- 5 méthodes pour hacker un MDP:

1) Le demander.
Et ouais, la première méthode est simplement de demande le MDP à la personne en question. (Relation de confiance entre amis, ...). Avoir un super MDP de la mort qui tue ne risque donc de prévenir cette méthode!

2) Le deviner.
Voici la deuxième méthode. Les gens choisissent toujours des MDP qu'ils peuvent retenir, donc les grands classique sont le nom de famille, nom de la copine, nom du chat, date d'anniversaire, ... Si les gens se renseignent sur votre compte, il ont de grande chance de trouver votre MDP, évitez donc les grands classique... ._.

3) L'attaque "brute force".
Facile à réaliser. Un ptit scrip qui va balancer 100 MDP à la seconde. Mathématiquement parlant, le script finira bien par trouver le MDP. Par exemple pour le mot "sun", le script commence par :"a,b,c...aaa, aab,... sun". La seule méthode pour contrer cette méthode est donc d'utiliser un MDP complexe

4) Attaque par nom commun.
Méthode dérivée de l'attaque "brute force". Plutôt que de tester des combinaisons de lettre, le logiciel va tester différents mots communs.

5) Attaque dictionnaire.
Même concept, mais il va balancer l'ensemble des mots du ptit robert, harrap's,...

La méthode la plus courante est la troisième.

Quand un MDP est-il "sûr"?

Avant de répondre, voyons le temps nécessaire pour trouver les MDP "sun" avec les 3 méthodes (logiciel à 100 mdp/seconde).

Brute force: 3 Minutes (26 exposant 3 )
Nom commun: 3 minutes
Dictionnaire: 1 heure 20minutes

Donc...
Une MDP qui tient 1 minutes => Pas bon
10 minutes => Pas bon
1 heure => Toujours pas bon
1 jour => Ça commence à être sérieux. La probabilité qu'une personne lance un logiciel pour pirater uniquement votre compte est très faible, mais plausible.
1 mois => Moais, pas mal. Mais toujours trouvable si il s'agit d'une attaque ciblée
1 an => Ahhhhhhhhhh, Nous passons d'un risque possible à théorique. Plus que suffisant pour le commun des mortels (Mais pas assez pour la CIA, NSA,....)
10 ans => Whoua. Maintenant nous parlons d'une probabilité purement théorique.
100 ans => Bingo. Tu t'en balance si le gars trouve ton MDP après ta mort... x)
Puis il existe le Graal, le MDP nommé "Secure for Life" soit de 101 ans à 10.000 ans!

Maintenant, nous parlons d'une viabilité théorique. Si vous tombez sur un gros chanceux (triple vainqueur de l'Euro-Million) il peut trouver votre MDP "100 ans" en 15 ans...

Créer un MDP utilisable et sure.

Avant de commencer, un ptit tableau avec des MDP à 6 caractères.



Comme nous pouvons le voir, la complexité gagne clairement. Utiliser des majuscules, nombres et symboles est plus sûr que le reste. Utiliser un simple mot et clairement du suicide!

Maintenant, retenir "J4fS<2" n'est pas des plus simple... Surtout que "logiquement", votre MDP est unique par site, jeux, .... Donc imaginez 40/50 MDP du style à retenir... IMPOSSIBLE!

Pour faire un MDP utilisable nous devons voir les choses d'une autre manière. Premièrement, vous devez utiliser des mots que vous pouvez retenir et que vous pouvez taper rapidement!

Exemple:



Utiliser 2 simples mots comme MDP accroît la sécurité. (De 3 minutes à 2 mois!). En utiliser 3 à la place de 2 et vous vous trouvez avec un MDP extrêmement sur.

J'vais vous décortiquer ça:
1,163,859 années en utilisant la force brute.
2,537 années en utilisant la méthode des noms communs.
39,637,240 années avec la méthode du dictionnaire.

Il est donc 10 fois plus sur d'utiliser "this is fun" que "J4fS<2"

Si en plus vous utilisez des noms qui ne sont pas commun, vous obtenez THE MDP de la mort qui tue!



Notons que les sites sérieux bloquent se genre d'attaque en donnant des pénalités en cas d'essais multiple! (Code à rentrer, 1heure de non essais) ce qui décuple votre sécurité.


En résumé, choisissez un bon MDP utilisable et sûr et SURTOUT, ne le donnez à personne!


PS: Il s'agit d'une traduction d'un article de l'excellent Baekdal sur base d'une étude de la NSA et de l'université d'Harvard.

NB: N'utilisez pas les exemples de ce document... Vous perdriez tout l’intérêt de la chose.

Pour les anglophones, peut-être inspiré par l'article que tu cite:

Merci, j'aurais jamais pensé. Suis encore dans le m0t-de-P42se-de-c1-G1nre. Ma vie va se simplifier

M-E-R-C-I-L-A-F

C'est c001 ! M4is S0uvant les logiciels obligent d'avoir un mot de passe avec des caractères spéciaux.

De rien j'ai juste fait un copier coller lol !

Autre chose aussi sachez que ni votre banque ni l'administrateur ou modérateur d'un site ne vous demanderas par mail votre MDP et votre Login. L'administrateur d'un forum ou d'un site de banque ou autre site, a des moyen plus simple pour les connaître.
Si vous recevez un courrier venant soit disant de paypal, votre banque ou un site que vous fréquentait, ne cliquez pas sur le lien mit dans l'émail, ouvrais plutôt votre navigateur habituel et cliquez sur le raccourcit/favori du site.

C'est des conseil tout bête auquel on ne pense pas toujours.

LAF ! ! ... !

laf_ange a écrit:

L'administrateur ... a des moyen plus simple pour les connaître.

L'administrateur à des moyens plus simple pour s'en passer. C'est à dire pour faire tout ce qu'il veux faire sans votre mot de passe. Suivant les système il n'a pas forcement accès à votre mot de passe en clair. Si il a accès à votre mot de passe en clair c'est déjà à moitié une faille de sécurité.

Par exemple, avec linux :
- /etc/passwd ne contient pas les mot de passe, mais les noms d'utilisateur.
- /etc/shadow contient les mot de passe et est un fichier crypté. Impossible de le lire avec un simple éditeur de texte, même pour root.

sherpa421 a écrit:

laf_ange a écrit:

L'administrateur ... a des moyen plus simple pour les connaître.

L'administrateur à des moyens plus simple pour s'en passer. C'est à dire pour faire tout ce qu'il veux faire sans votre mot de passe. Suivant les système il n'a pas forcement accès à votre mot de passe en clair. Si il a accès à votre mot de passe en clair c'est déjà à moitié une faille de sécurité.

Hormis sur les sites développés par de grands débutants qui ne savent pas implanter la fonction toute faite , ou par un malfaisant qui ambitionne de capter vos mot de passe, la fonction d'authentification et de mémorisation des mots de passe est systématiquement cryptée.

Vos clés usb, post-it sur écran ou dans le tiroir sont bien plus dangereux que la probabilité d'un vol organisé. Le vol est d'abord opportuniste, donc local.