Les changements fréquents de mots de passe pas forcément gages de sécurité
Certains services, dans les intranets notamment, demandent de changer régulièrement de mots de passe. Cette mesure de sécurité est bonne à première vue : un malfaiteur qui a subtilisé des mots de passe aura le bec dans l'eau si ceux-ci ont été changés avant qu'il ne s'en serve.
Sauf que les modifications apportées par les utilisateurs ne sont pas toujours suffisantes face à un malandrin déterminé. En 2010, des chercheurs de l'Université de Caroline du Nord ont démontré qu'ils étaient capables de trouver une partie des nouveaux mots de passe à partir des anciens.
Ils ont en fait identifié plusieurs évolutions : « sésameouvretoi1 » devient souvent « sÉsameouvretoi1 » après le premier changement, puis « séSamouvretoi1 » après le deuxième, etc. Une autre modification commune concerne les chiffres présents, comme « sésameouvretoi11 », puis « sésameouvretoi111 » ou « sésameouvretoi2 », puis « sésameouvretoi3 », et ainsi de suite.
L'algorithme développé pour cette étude, qui s'est appuyée sur une base de données de 10 000 mots de passe successifs, a été capable de trouver 17 % des nouveaux mots de passe en moins de cinq essais. À l'aide d'ordinateurs ultras rapides, 41 % des sésames ont été crackés en moins de trois secondes.
En conclusion, changer ses mots de passe, c'est bien, mais encore faut-il le faire de façon significative. C'est dans ce contexte que des services ou applications spécialisées, comme le trousseau iCloud ou 1Password, se montrent particulièrement utiles.
Le mot de passe de l'intranet/extranet SNCF doit être changé tous les 3 mois et c'est bien relou. Impossible d'utiliser un mot de passe déjà utilisé. Au bout d'un moment on n'a plus d'idée...
@Juju67 :
Salut, pour les MDP obsolètes récents, tu peux pas mais, au bout d'un moment, je crois que tu peux réutiliser les vieux MDP.
C'est comme ça que fonctionnent la plupart des systemes en tout cas.
Ceci dit, dans un perimetre sensible, on a aussi interet a utiliser des generateurs de mots de passe et ne pas se limiter a des mots de passe triviaux ou tout du moins signifiants. Apres reste a s'en souvenir, mais la faut utiliser sa memoire et noter le mot de passe que l'on conservera dans un coffre fort, au cas ou...
Ce que dit l'article c'est que changer le mot de passe fréquemment est bien une protection efficace, sauf si ce que l'on change n'est qu'une petite partie de ce mot de passe et qu'en plus cette partie est facilement déductible... C'est certain que passer de H@ck=Th1s+P4ssw0rd#01/2014 a H@ck=Th1s+P4ssw0rd#03/2014 c'est pas une securité...
@Juju67 :
Tu n'as qu'à faire grève... :)
Pareil dans ma boîte. Alors j'utilise un mot de passe qui est fonction de la date à laquelle je le change. Auparavant, j'utilisais une liste de 12 mots de passe, 1 par mois que je réutilisais chaque année, mais c'étaient de vrais mot de passe. Maintenant, on ne peut plus utiliser un mot de passe déjà utilisé. Donc il faut trouver un truc pour se souvenir du mot de passe, donc on utilise des mots de passe faibles. Les gestionnaires de mots de passe, c'est bien, à force de les consulter ça devient gavant. Il n'y a donc plus que pour protéger mes comptes où il y a du fric ou des infos sensibles à la clef que j’utilise un véritable mot de passe.
C'est ce que j'allais dire, cette étude est obsolète vu que les admin en ont pris conscience, et il n'est plus possible de prendre les même mot de passe en rajoutant un chiffre ou autre.
Et je confirme que c'est bien relou car au bout d'un moment on sait plus quoi mettre. C'est vrai qu'il y a un roulement mais pour l'instant je ne l'ai pas atteint.
De toute façon on sait très bien que le maillon faible dans la sécurité est souvent l'utilisateur. Mais je pense que si les utilisateurs mettent des mots de passe sous forme de phrases, c'est que personne ne leurs a expliqués les risques.
https://xkcd.com/936/
J'arrête pas de le sortir celui là mais en même temps chez macg ils sont obsédés par les mot de passe :\
@françois bayrou :
Et moi je te réponds de nouveau qu'il n'est plus valable puisque la methode de creation de mits de passe a été publié.
Si on utilise cette methode, il faut aller plus loin que juste utiliser 4 mots rarement utilisé
https://youtu.be/3NjQ9b3pgIg
http://security.stackexchange.com/questions/62832/is-the-oft-cited-xkcd-scheme-no-longer-good-advice
Associer le mot de passe traditionnel à une authentification à 2 voire 3 facteurs reste ce qui se fait de plus sécurisé.
2 facteurs associe le mot de passe avec un code généré par un équipement tier, comme le code envoyé sur un iPhone de confiance dans le cas d'Apple.
3 facteurs associe en plus une donnée biométrique comme l'empreinte digitale ou rétinienne.
Moui, mais s'il faut aller à la poste pour avoir un facteur... sans compter les grèves !
--->[] je suis déjà dehors :P
A condition d'avoir une vraie verification a 2 facteurs, donc pas l'idiotie de la confirmation par SMS qui est de toute façon insecure par definition.
Faut donc disposer d'un terminal pour la validation qui soit specifique, chiffré et unique, comme certaines banques en dotent leurs clients: un terminal radio qui utilise une carte a puce et un code d'identification...
@juju
Ah ok! Alors quand on entend un message du type "en raison d'un incident d'exploitation, le train à destination de Melun aura 30 minutes de retard", c'est juste que le régulateur est en train de chercher une idee de nouveau mot de passe pour pouvoir ouvrir sa session?
;-)
Seule solution : l'identification par la biométrie.
Ben oui, et en cas de piratage, voire plus, de la base de données, tu changes de doigts?
+1000000000000000000 !
Utiliser la biométrie seule comme l'empreinte digitale est la plus mauvaise idée qu'il soit !
@Ichigo
Quand on lit les phrases de certains, on se dit que le robot qui saura les deviner n'est pas prêt d'être mis au point.... :-)
Encore un thème d'article piqué à arstechnica ?
http://arstechnica.com/security/2016/08/frequent-password-changes-are-the-enemy-of-security-ftc-technologist-says/
ça change du réchauffé de frandroid !
@seccotine
C'est précisé en fin d'article: source ArsTechnica
Oui bien sur, c'est cité comme « source » tout en essayant de faire passer l'article comme thème original. Je ne vois pas cela comme une source... car c'est la seule source et c'est plutôt l'article réécrit en version plus courte. C'est assez systématique de voir sur MacG des articles ars technica qui sont repris et « simplifiés ». Généralement, quand on reprend intégralement un article on le site au départ. Ce n'est pas juste une source parmi d'autres pour écrire un article original.
@Seccotine :
Généralement, quand on lit plusieurs sites traitant du même domaine, on lit plusieurs fois la même chose et c'est ainsi. C'est bien aussi pour ceux qui n'en lisent qu'un.
Imagine seulement que tu doives aller sur des dizaines de sites voire des centaines en fonction de tes centres d'intérêt... (pas forcément quotidiennement dans ce cas) ce serait l'horreur.
La source est citée, point barre.
Quel est ton site avec des contenus exclusifs ?
MacG iGen en fait suffisamment et de qualité pour ne pas inutilement les agacer, non ?
@DG33 :
plus 1000
ps: À quand la correction du bug qui empêche de mettre le signe "plus" dans l app igen?
@mat 1696 :
Le jour où le formatage à la markdown sera supporté ? :P
En même temps ça tombe toujours quand on est pressés, donc incrémenter le compteur du mdp existant me suffit largement, surtout au boulot.
Pour du perso oui il faudrait changer radicalement tout le mdp :)
En même temps avec tous les sites ou on a un compte plus les mots de passe au travail, impossible de tout retenir.
Le pire c'est qu'en entreprise, si l'on exige un changement de MDP trop souvent t, il finit marquer sur un post-it sous le clavier (parole d'admin réseau ^^)
Ma seule source d'information étant MacGé je suis bien content d'y lire tous ces articles.
@seccotine.
Il semble me souvenir que seccotine n'était pas la dernière pour piquer les scoop de fantasio
tu aurais intérêt à en lire d'autres, ne serait-ce que pour avoir des points de vue différents sur un sujet donné.
Dans mon entreprise on doit changer les mots de passe tout les 3 mois avec des règles bien précise et deux essais après compte verrouillé ^^
Pas le droit à deux caractères qui se suivent par exemple 12 ou ab
il faut 1 majuscule
1 minuscule
1 caractère Spéciale
1 chiffre
2 nouveau caractère non présent dans l'ancien mot de passe
Et d'autres règles, il faut prendre 30min à chaque fois ^^
@Minileul :"Dans mon entreprise on doit changer les mots de passe tout les 3 mois avec des règles bien précise et deux essais après compte verrouillé ^^"
-------------
Dans mon entreprise on organise un pot tous les vendredi, ce qui fait que je ne rentre jamais chez moi super tôt. ^^
1Password… C'est pas le truc qui est en train d'adopter le modèle économique (l'arnaque) de l'abonnement ? |8-(
@BLM: Tout juste !
Je ne dirais pas forcément que c'est l'arnaque, mais c'est déplaisant. J'en ai un autre de rechange, au cas où. Le plus long est de réentrer les données...
Quant au changement régulier des mots de passe, c'est vrai que c'est un peu fatigant. En fait, ce serait à peu près inutile si les informaticiens faisaient correctement leur boulot, à savoir ne jamais stocker les mots de passe dans les bases de données mais opter pour des données chiffrées, hachées, etc. Stocker un mot de passe est une absurdité qui reste assez en vogue, malheureusement.
J'ai pas tout compris là...
@Finouche : il y a encore des gens pour stocker en clair des mots de passe dans des bases de données. Conséquence : si la base est piratée, les mots de passe sont récupérés du même coup.
On améliore déjà un petit peu les choses en enregistrant dans la base le hachage ou le chiffrement (ou les deux) du mot de passe. Récupérer cette information est quasiment sans intérêt pour un malfaisant car il est pratiquement impossible de retrouver le mot de passe à partir de ces données.
Quand un utilisateur fournit son mot de passe, on le tatouille et on compare le résultat avec ce qui est en base de données. On ne compare plus des mots de passe mais le résultat de fonctions appliquées aux mots de passe.
C'est déjà un peu moins basique. Et se faire piquer la base de données ne donne pas les mots de passe : on a progressé d'un cran :-)
[pour expliciter : une fonction de hachage est une fonction qui prend un texte en entrée et qui, quelle que soit sa longueur, retourne un autre texte de taille fixe (souvent : 256 bits). On peut lui passer "Guerre et Paix" ou un sonnet, le résultat est toujours de la même taille. Par ailleurs, effectuer un petit changement en entrée (genre : remplacer "Guerre" par "Guerres") produit une chaîne complètement différente.
L'intérêt est que le résultat est court, qu'il est pratiquement impossible de trouver l'image (la source) d'un résultat, et qu'il y a relativement peu de doublons (deux sources donnant le même résultat).]
Merci pour les explications ! Il manquait "en clair". ;)
Moi mes mots de passe, ce sont des extraits de phrases écrites ici même par Gaillard!
Y'a pas plus costaud! L'ordinateur capable de les deviner n'est pas prêt d'être inventé...
@Seccotine :
"Tout en essayant de faire passer l'article comme thème original"
Il faut le savoir: MacG est en fait un média écrit par des agents à la solde de l'Empire pour forcer les français à lire des articles américains à l'insu de leur plein gré.
Heureusement, tu as vu clair dans leur jeu!
(Et c'était pas facile tant la source est pernicieusement dissimulée à la fin de l'article)
Finalement' la supériorité du mot de passe numérique sur la serrure mécanique n'est pas démontrée. Vivement l'ordinateur avec une grosse serrure et une clé type porte blindée !
Là où je travail aussi c'est pénible : changement obligatoire fréquent, historique interdit, règles pour les caractères, etc. Cela induit deux biais non traités par l'article. Le premier c'est que l'on oublie fréquemment ses mots de passe et donc surcharge le service informatique et perte d'efficacité. Le deuxième, c'est qu'on finit par devoir écrire ses mots de passe est créer de fait une faille supplémentaire. De toute façon, le changement de mot de passe ne peut servir que si l'ancien mot de passe a été craqué. Dans le cas contraire, c'est inutile parce que aussi compliqué de craquer le nouveau que l'ancien.