Journal Les mots de passe des premiers développeurs/utilisateurs d'UNIX, notamment celui de Ken Thompson

• # wendy!!!

  Posté par HL le 11 octobre 2019 à 07:46. Évalué à 3.

  

  Petite question, comment le mot de passe wendy!!! a été trouvé aussi vite ? Pour le prénom bien sûr attaque par dictionnaire, mais jusqu'où on va pour l'ajout de symboles pour une attaque rapide ?

  • [^] # Re: wendy!!!

    Posté par pulkomandy (site web personnel, Mastodon) le 11 octobre 2019 à 08:53. Évalué à 3.

    

    Ajouter 3 caractères imprimables et disponibles sur un clavier QWERTY ne multiplie les possibilités que par environ 300000 (64³ = 262144, à la louche) - en supposant qu'on les ajoute seulement à la fin. Ça ne semble pas bien grave, surtout que l'algorithme de hashing utilisé à l'époque ne doit pas être un truc qui met à genoux les CPU (ou GPU) modernes.

    • [^] # Re: wendy!!!

      Posté par Matthieu Moy (site web personnel) le 11 octobre 2019 à 09:38. Évalué à 7.

      

      Surtout que là, on parle de 3 fois le même caractère, qu'un algo malin va probablement privilégier. Si on veut explorer toutes les possibilités de 1, 2 ou 3 fois le même caractère, c'est plutôt 64 + 64 + 64 = pas beaucoup à la louche.

      Les caractères spéciaux, ça fait bien dans un mot de passe, mais ça n'a rien de magique, ce qui est important c'est 1) que les caractères du mot de passe soient indépendants (i.e. si on me donne le mot de passe moins un caractère, est-ce facile de deviner le caractère manquant ?), 2) la longueur du mot de passe.

• # indéchiffrable

  Posté par Axone le 11 octobre 2019 à 08:03. Évalué à 3.

  

  Et pas undéchiffrable. Merci.

  • [^] # Re: indéchiffrable

    Posté par gUI (Mastodon) le 11 octobre 2019 à 08:42. Évalué à 2.

    

    Corrigé, merci

    En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: indéchiffrable

      Posté par barmic 🦦 le 11 octobre 2019 à 09:00. Évalué à 1.

      

      Il y a aussi le lien wikipedia vers les ouvertures aux échecs qui est mal luné.

      https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

      • [^] # Re: indéchiffrable

        Posté par patrick_g (site web personnel) le 11 octobre 2019 à 09:17. Évalué à 3. Dernière modification le 11 octobre 2019 à 09:17.

        

        Corrigé.

  • [^] # Re: indéchiffrable

    Posté par Meku (site web personnel) le 11 octobre 2019 à 12:24. Évalué à 5. Dernière modification le 11 octobre 2019 à 12:25.

    

    C'est ton mot de passe ? Bien, c'est noté, merci.

• # Aucune majuscule

  Posté par nico4nicolas le 11 octobre 2019 à 09:39. Évalué à 3.

  

  Existe-t-il une raison particulière pour laquelle aucun de ces mots de passe ne contient une majuscule ?

  • [^] # Re: Aucune majuscule

    Posté par Tonton Th (Mastodon) le 11 octobre 2019 à 10:11. Évalué à 4.

    

    aucun de ces mots de passe ne contient une majuscule ?

    C'est d'autant plus étonnant que la Télétype ASR33 que l'on voit sur la photo ne connaissait que les MAJUSCULES.

    CAPSLOCKDAY ALL THE YEAR !

    • [^] # Re: Aucune majuscule

      Posté par David Marec le 11 octobre 2019 à 11:24. Évalué à 2.

      

      C'est d'autant plus étonnant que la Télétype ASR33 que l'on voit sur la photo
      ne connaissait que les MAJUSCULES.

      Oui, mais on ne le trouve pas dans le termcap. ;)

      • [^] # Re: Aucune majuscule

        Posté par Sébastien Koechlin le 11 octobre 2019 à 15:39. Évalué à 6.

        

        Sur le agetty que nous utilisons sous linux, il y a une option qui ne doit plus servir souvent maintenant:

        -U, --detect-case
        Activer la détection des terminaux à caractères majuscules seuls. Cela ne détectera qu'un identifiant de connexion ne possédant que des caractères majuscules et activera des opérations de conversions de casse majuscules vers minuscules. Cette option ne gère aucun caractère Unicode.

        Comme certains terminaux ne supportaient que les majuscules, lorsque le login saisi est entièrement en majuscule, alors le système bascule dans un mode de conversion systématique de toutes les saisies vers des minuscules; ce qui permettait globalement de se connecter (si le login et le mdp sont en minuscule) et d'utiliser le système.

        Sur mes premières distributions Linux, j'avais un minitel en guise de terminal sur le port série, c'était actif par défaut.

        • [^] # Re: Aucune majuscule

          Posté par nico4nicolas le 11 octobre 2019 à 17:25. Évalué à 3.

          

          Dans l'article à l'origine du journal, Leah Neukirchen semble s'interroger :

          Did he really use uppercase letters or even special chars? (A 7-bit exhaustive search would still take over 2 years on a modern GPU.)

          Dans les échanges de mailing list, Leah Neukirchen répond à quelqu'un qui se demande pourquoi les majuscules n'ont pas été testées :

          I can't find the original post, but, was upper case not tried?

          That explodes my computational resources (I don't have good GPU). But since all the other (simple) passwords use lowercase letters only, I assumed it was a fair assumption.

          Toujours dans la mailing list, Michael Kjörling justifie que la limitation du password à 8 caractères est suffisante vu le temps qu'il faudrait pour le trouver. Il prend le cas d'un password composé de minuscules et de chiffres, il va ensuite ajouter la possibilité d'avoir des majuscules :

          Adding uppercase A-Z alongside lowercase a-z and 0-9 increases the exhaustive search time even for the four characters password space to about 17 days at 100 ms per hash. So with no additional information for an attacker, even a [a-zA-Z0-9]{4} password was tolerably secure, and a [a-zA-Z0-9]{5} one was more than good enough if you changed it once a year (would take about three years to crack at 100 ms/hash)

  • [^] # Re: Aucune majuscule

    Posté par Meku (site web personnel) le 11 octobre 2019 à 12:24. Évalué à 5.

    

    Les mots de passe étaient peut-être non sensibles à la casse, à l'époque.

    --> []

  • [^] # Re: Aucune majuscule

    Posté par barmic 🦦 le 11 octobre 2019 à 16:05. Évalué à 1.

    

    Je ne connais pas bien le qwerty, mais ils n'ont pas utilisé que des caractères en accès direct ?

    https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

• # Sondage intéressant

  Posté par Pol' uX (site web personnel) le 11 octobre 2019 à 09:43. Évalué à 3.

  

  Je ne sais quels étaient vos premiers mots de passe, mais, personnellement, j'utilisais le même sur beaucoup de mes comptes et c'était soit des mots de la langue française facile à taper, soit le nom de ma copine.

  Personnellement, j'utilisais le mot de passe que ma fourni l'équipe d'étudiant en charge de l'informatique dans l'établissement scolaire ou j'étais. C'était digne d'un pwgen 8 1. Naturellement, trouvant ce mot de passe « fort », je l'ai utilisé partout pendant quelques années. Plus de 10 ans après, il doit en subsister encore ça et là dans des comptes abandonnés. :)

  Adhérer à l'April, ça vous tente ?

• # root n'était pas encore Charlie

  Posté par David Marec le 11 octobre 2019 à 11:06. Évalué à 4.

  

  et le diable était dans les détails.

  daemon:*:1:1:The devil himself:/:

• # journal très sympa

  Posté par stopspam le 11 octobre 2019 à 11:24. Évalué à -2.

  

  un peu de fraicheur, ça faisait longtemps. DLFP à 1/2 bronsonisé.

• # Toute ma jeunesse

  Posté par abgech le 11 octobre 2019 à 12:00. Évalué à 3.

  

  Oh, l'ASR33 sur la photo, toute ma jeunesse !

  Il ne manque même pas le lecteur de ruban perforé, à gauche.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.