Forum Linux.debian/ubuntu Longueur du mot de passe

Posté par  .
Étiquettes :
1
8
mar.
2010
Bonjour à toutes et tous!

J'ai un gros problème! Et j'utilise ubuntu 9.10.

Mon mot de passe était "rout".
J'ai voulu changer ce mot de passe. Super. Et ça a tellement bien marché que je ne peux plus entrer sous mon linux!
Après de longues recherches, je sais pourquoi: mon /home est crypté avec ecrypt. Et ecrypt déchiffre mon /home grâce à une passphrase ET à mon mot de passe (rout).
Et vu que mon mot de passe a changé, plus d'accès au compte!

No problemo, je me connecte en recovery mode et je me logue en Root, puis son mon username. Là, je veux supprimer mon nouveau mot de passe et remettre l'ancien. Mais non, pas possible, il veut 6 caractères minimum .

D'où ma question: Y a t il un moyen de choisir un mot de passe de 4 caractères?
Sinon, je réinstalle tout (vieux réflexe windosien)...

Aidez moi! Et merci d'avance pour toutes vos suggestions!
A bientôt.

  • # Rester en root...

    Posté par  . Évalué à 6.

    Pour changer le mot de passe d'un utilisateur, depuis le compte root,

    passwd nomutilisateur

    Et root, on lui fait pas d'ennuis ;-)

  • # root = super user

    Posté par  . Évalué à 3.

    Si tu arrives à être root t'as tout les pouvoirs !

    Donc essaye ça en tant que root:

    passwd ton_user

    Et hop plus de limite dans le nombre de caractères.

    • [^] # Re: root = super user

      Posté par  . Évalué à 3.

      Grillé à 2min!

      • [^] # Re: root = super user

        Posté par  . Évalué à 2.

        sinon ça doit être une lib pam (pam_cracklib.so) qui applique une politique de sécurité sur les mots de passe.

        recherche les occurrences
        # grep -Rn "pam_cracklib" /etc/pam.d
        passwd:2:#password required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3
        login:11:#password required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3

        Et vire les options inutiles : minlen...

  • # 4 caractères = sécurité 0

    Posté par  (site web personnel) . Évalué à 0.

    Y a t il un moyen de choisir un mot de passe de 4 caractères?

    Oui, mais c'est mal.

    Quand bien même que l'on soit libre de faire ce que l'on souhaite avec son propre système, il ne faut pas oublier qu'un minimum de sécurité informatique n'est pas une idée saugrenue.

    Et en ce qui concerne la longueur du mot de passe, le minimum serait plus près de 8 que de 6 ou 4.

    Le problème n'est pas tant que "je n'ai rien d'important à protéger et puis je suis chez moi" que de prendre de bonnes habitudes.

    Quelques rappels, en anglais, sur un bonne gestion de mots de passe (où l'auteur lui même signale qu'il ne suit pas toutes les règles) :

    http://www.schneier.com/blog/archives/2009/08/password_advic(...)

    Et une méthode simple pour créer un mot de passe digne de ce nom :

    http://www.commentcamarche.net/faq/8275-choisir-un-bon-mot-d(...)

    • [^] # Re: 4 caractères = sécurité 0

      Posté par  (site web personnel) . Évalué à 2.

      En passant, je n'ai jamais compris pourquoi il est conseillé de changer régulièrement son mot de passe.

      Dans mon cas, mon mot de passe fait entre 14 et 20 caractères, avec des majuscules et des minuscules, des chiffres, des caractères spéciaux, et il n'est pas dans un dictionnaire.
      En quoi j'augmente ma sécurité en le changeant régulièrement ?
      Parce que si quelqu'un récupère le fichier des mots de passe et lance John The Ripper, je lui sabote le travail ?

      Je ne suis pas convaincu.

      ウィズコロナ

      • [^] # Re: 4 caractères = sécurité 0

        Posté par  . Évalué à 5.

        Parce que des yeux indiscrets peuvent lire ton mot de passe lorsque tu le tapes !,

        ou simplement parce que tu as utilisé ce mot de passe depuis le pc d'un ami, voisin, cybercafé ... machines pas forcément "propres" et peut être indiscrètes ...

        parce qu'un jour tu as tapé ton mot de passe à la place du login, donc le mot de passe est en clair dans les logs si tu n'as pas pensé à nettoyer

        parce que tu as tapé ton mot de passe à la place d'une commande donc il est dans l'historique des commandes, idem si oubli de nettoyage

        D'autres raisons ? ;)

      • [^] # Re: 4 caractères = sécurité 0

        Posté par  . Évalué à -1.

        entre 14 et 20 caractères j'ai bien lu!!??

        Mais tu arrives à travailler entre les moments où tu tapes tes mots de passe?

        Et tu t'es posé la question suivante avant de choisir une telle longueur:
        "Est-ce vraiment un apport non négligeable en terme de sécurité de mettre 14 caractères plutôt que 8 dans mon mot de passe ?" ?

        Je suis un peu parano sur bien des domaines, mais là... tu me dépasses et de loin :)

        • [^] # Re: 4 caractères = sécurité 0

          Posté par  . Évalué à 2.

          C'est pratique, car la personne qui regarde le clavier ne peut pas retenir 20 caractères tapés assez rapidement (à force, le mot de passe est tapé vraiment très vite), et si l'on le tape à un endroit où ils s'affiche, car on s'est trompé (à la place du nom d'utilisateur par exemple), on peut s'arrêter avant de l'avoir tapé en entier.

          Bon après, c'est pas ce qu'il y a de plus utile…

          Envoyé depuis mon lapin.

        • [^] # Re: 4 caractères = sécurité 0

          Posté par  . Évalué à 3.

          Franchement les mots de passe longs c'est comme tout le reste, plus on les tape souvent plus on les tape vite. C'est un peu comme si on se demandait si on pouvait travailler en tapant avec un clavier bepo...
          Surtout qu'on ne tape pas son mot de passe si souvent que ça finalement : sortie de mise en veille, log sur une machine particulière, etc. peut-être, mais si on se loggue plus souvent qu'on ne travaille sur la machine en question c'est peut-être qu'il y a une meilleure organisation à trouver que raccourcir la longueur des mots de passe.

          Sinon niveau sécurité un mot de passe aléatoire de 8 caractères ça a à peu près la même sécurité que le DES si attaqué en bruteforce - 56 bits max... et c'est considéré comme largement insuffisant pour nombre d'applications depuis bien longtemps.

          • [^] # Re: 4 caractères = sécurité 0

            Posté par  . Évalué à 3.

            niveau sécurité un mot de passe aléatoire de 8 caractères ça a à peu près la même sécurité que le DES si attaqué en bruteforce - 56 bits max... et c'est considéré comme largement insuffisant pour nombre d'applications depuis bien longtemps.
            Pas tout à fait.
            Car DES peut être attaqué tranquillement sur une/des machines qui ne font que ça. Pour un mot de passe, en principe tu ne peux l'attaquer que depuis l'extérieur. La fréquence d'essai est donc très inférieure. Et les mécanismes de protection de base sont là pour verrouiller ça.
            Prend l'exemple du code PIN d'une carte bancaire ou SIM. Ca n'a que 4 chiffres (donc 10.000 combinaisons) mais tu as seulement une chance sur 3.333 de réussir en force brute.

            Si ton mot de passe peut être attaqué "tranquillement" (hachage accessible par exemple) alors c'est une autre histoire. Ce n'est plus le mot de passe qui doit être fort, mais l'algorithme de hachage (ET le mot de passe, oui effectivement).

            • [^] # Re: 4 caractères = sécurité 0

              Posté par  . Évalué à 1.

              En fait ça ne change pas grand-chose selon le point de vue. Je m'explique : en crypto, on détermine la sécurité des algorithmes et protocoles en la probabilité qu'a un adversaire de casser le système avec des ressources données (temps polynômial et non exponentiel).

              Dans le cas d'un mot de passe de 56 bit, en un essai il a une chance sur 2^56. Pour un mot de passe de 4 chiffres, il a 1 chance sur 10000 ce qui est bien inférieur, toujours en un essai.

              Après en pratique attaquer online est évidemment plus coûteux et ont un succès limité, mais vu le nombre de bases de mots de passe qui restent accessibles un peu partout (parce que mal configurées ou autres ! tout n'est pas de l'authentification type Unix malheureusement...) une attaque hors ligne est souvent possible à mettre en place... et la réutilisation fréquente de mots de passe (faiblement variés éventuellement) rendra les attaques online bien plus facile.

            • [^] # Re: 4 caractères = sécurité 0

              Posté par  . Évalué à 3.

              C'est marrant, tout le monde pense qu'un code PIN se limite à 4 chiffres... Ce qui est faux. Le mien en fait 6 par exemple.

  • # Je suis un âne bâté.

    Posté par  . Évalué à 2.

    Salut et merci à tous!

    J'ai effectivement réussi à reprendre mon premier mot de passe, en Root. Mais je n'ai pas pu me relogger avec, et donc ré-accéder à mon dossier /home.

    La solution que j'ai appliquée est la suivante: réinstallation d'ubuntu sans modification des partitions ni formatage de celles ci. J'ai alors choisi le même User et le même mot de passe. Et là, sous mes yeux écarquillés, j'ai pu de nouveau accéder à mes données persos en saisissant la passphrase de Ecryptfs. Donc, merci et je suis sauvé!!!

    Par ailleurs, je trouve bizarre que le systeme permette de changer le mot de passe d'un user (et donc interdire l'accès à ses données du /home) sans blocage ni avertissement au sujet de Ecrypt. Vous ne trouvez pas?

    L'interface chaise-clavier , toussa, c'est moâ, je sais !

    A charge de revanche et bonne journée!

    • [^] # Re: Je suis un âne bâté.

      Posté par  . Évalué à 4.

      Ce type de projets ne sont pas forcément très bien intégrés ensemble, et ce qui t'est arrivé n'est pas forcément de ta faute vu que tu n'es pas forcé de connaître les limitations du logiciel (ici, si tu modifies le mot de passe d'origine pour en mettre un plus sécurisé, cela va bloquer au niveau de la partie chiffrée).

      Quoi qu'il en soit, cela me semble un peu dangereux de chiffrer tout le home en utilisant à la fois une "passphrase" + le mot de passe du login, la passphrase est largement suffisante.

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

      • [^] # Re: Je suis un âne bâté.

        Posté par  (site web personnel) . Évalué à 4.

        En faite la méthode aurait pu être plus simple (venant de http://doc.ubuntu-fr.org/ecryptfs) :


        Record your encryption passphrase

        To encrypt your home directory or "Private" folder, a strong passphrase has been autogenerated. Usually your directory is unlocked with your user password, but if you ever need to manually recover this directory, you will need this passphrase. Please print or write it down and store it in a safe location.
        You can run the "ecryptfs-unwrap-passphrase" command now to do this. Enter your user password at the "Passphrase" prompt.


        Si je comprend bien, c'est l'un ou l'autre.


        Mot de passe modifié

        Si vous avez modifié votre mot de passe :

        passwd votre_login

        Votre dossier crypté est devenu illisible et non-décryptable parce que le montage du dossier ecryptfs est basé sur votre mot de passe et la passphrase. Ecryptfs étant le système de fichiers cryptés utilisé. Vous pouvez vous en tirer si vous connaissez la passphrase mais vous n’avez aucune solution dans le cas contraire. Si vous vous souvenez de votre passphrase, il vous suffira de monter le dossier crypté vous-même manuellement et le tour sera joué :

        sudo mount -t ecryptfs ~/.Private ~/Private -o key=passphrase,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_passthrough=n

        La passphrase vous sera demandée et le dossier Private sera monté correctement.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.