En résumé, les gens du National Institute of Standards and Technology ont fait tourner leur Cray-2 surpuissant sur la question de la sécurité des mots de passe. Après une semaine de calcul intensif, le superordinateur a craché le résultat : "toto123" est LE mot de passe à privilégier en 2024 si vous voulez bénéficier d'une sécurité absolue. Pour dormir sur mes deux oreilles, j'en ai d'ailleurs fait mon nouveau mot de passe incassable sur linuxfr.org.
Je suis étonné que les règles énoncées soient considérées comme « nouvelles ». J'avais un collègue qui faisait de la veille cyber-sécurité et qui nous en avait parlé il y a au moins 6 ans, en nous disant que ça faisait des années que les règles sur les mots de passe étaient obsolètes. Il avait d'ailleurs convaincu l'entreprise de s'équiper de Keepass, étant donné qu'il est humainement quasi-impossible de respecter toutes ces règles et de mémoriser les mots de passe obtenus (exception faite de la phrase de passe de Keepass, évidemment).
« Y a même des gens qui ont l’air vivant, mais ils sont morts depuis longtemps ! »
Posté par fearan .
Évalué à 4 (+2/-1).
Dernière modification le 01 octobre 2024 à 10:34.
étant donné qu'il est humainement quasi-impossible de respecter toutes ces règles et de mémoriser les mots de passe obtenus
En fait la seule règle qui reste est un mot de passe long, à partir de là tu peux le générer à partir de phrase comme JeMeC0n3ct/LinuxFR<pseudo>, sur développez tu peux avoir JeViens7R0113RPar<pseudo>, sur stackoverflow <pseudo>AideToi&LeCielT'aidra
Bref tu fais une phrase en rapport avec le site, tu ne l'enregistre pas dans le gestionnaire de mot de passe et c'est réglé. Tu peux aussi considérer que les trois précédents sites ne sont pas important et garder la même passephrase avec juste le pseudo qui change (de place aussi);
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
Bien sûr que ce n'est pas si nouveau. Ça été dit et répété ici, mais c'est bien qu'un gros machin gouvernemental s'empare du sujet et mette les préconisations à niveau et le fasse savoir. :-)
Peut-être qu'enfin on arrivera à être débarrassé des règles à la noix pour les mots de passe.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
Posté par sebas .
Évalué à 3 (+1/-0).
Dernière modification le 01 octobre 2024 à 12:05.
des règles à la noix pour les mots de passe.
Aaaah, mais ça c'est une bonne idée ! Au lieu des mots ou phrases de passe, utilisons des fruits (ou des légumes, pour augmenter la complexité). Et pour corser la chose (et le goût), en plus saler pour le hashage, ou pourra également poivrer.
Je ne connaissais pas ce terme. Pour ceux qui n'ont pas le temps de chercher: poivrer un mot de passe, c'est comme le saler, sauf que le poivre est le même pour tous les mots de passe.
Ce n'est pas neuf, mais pour une fois, c'est clair et concis (ce à quoi les organismes officiels ne nous ont pas forcément toujours habitués).
Et si les gens qui savent de quoi ils parlent font ce type de recommandations depuis des années, on compte encore de (très) nombreux sites qui exigent de la complexité (et pas de la longueur) et des responsables informatiques qui contraignent les utilisateurs à changer leurs mots de passe régulièrement. Et je préfère ne pas mentionner le nombre d'applications qui stockent encore les mots de passe sous forme de hash MD5 (quand ils ne sont pas en clairs).
# résumé
Posté par nizan666 . Évalué à 4 (+7/-4).
En résumé, les gens du National Institute of Standards and Technology ont fait tourner leur Cray-2 surpuissant sur la question de la sécurité des mots de passe. Après une semaine de calcul intensif, le superordinateur a craché le résultat : "toto123" est LE mot de passe à privilégier en 2024 si vous voulez bénéficier d'une sécurité absolue. Pour dormir sur mes deux oreilles, j'en ai d'ailleurs fait mon nouveau mot de passe incassable sur linuxfr.org.
[^] # Re: résumé
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à 6 (+4/-1).
Perdu, trop court !
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: résumé
Posté par ǝpɐןƃu∀ nǝıɥʇʇɐW-ǝɹɹǝıԀ (site web personnel) . Évalué à 5 (+3/-0).
Pourtant il y a bien 9 caractères ; et après tout, ils en recommandent 8 au minium, même s'ils insistent pour dépasser les 15.
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace
# Pas si nouveau
Posté par PhRæD . Évalué à 4 (+4/-1).
Je suis étonné que les règles énoncées soient considérées comme « nouvelles ». J'avais un collègue qui faisait de la veille cyber-sécurité et qui nous en avait parlé il y a au moins 6 ans, en nous disant que ça faisait des années que les règles sur les mots de passe étaient obsolètes. Il avait d'ailleurs convaincu l'entreprise de s'équiper de Keepass, étant donné qu'il est humainement quasi-impossible de respecter toutes ces règles et de mémoriser les mots de passe obtenus (exception faite de la phrase de passe de Keepass, évidemment).
« Y a même des gens qui ont l’air vivant, mais ils sont morts depuis longtemps ! »
[^] # Re: Pas si nouveau
Posté par fearan . Évalué à 4 (+2/-1). Dernière modification le 01 octobre 2024 à 10:34.
En fait la seule règle qui reste est un mot de passe long, à partir de là tu peux le générer à partir de phrase comme JeMeC0n3ct/LinuxFR<pseudo>, sur développez tu peux avoir JeViens7R0113RPar<pseudo>, sur stackoverflow <pseudo>AideToi&LeCielT'aidra
Bref tu fais une phrase en rapport avec le site, tu ne l'enregistre pas dans le gestionnaire de mot de passe et c'est réglé. Tu peux aussi considérer que les trois précédents sites ne sont pas important et garder la même passephrase avec juste le pseudo qui change (de place aussi);
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Pas si nouveau
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à 8 (+5/-0).
Bien sûr que ce n'est pas si nouveau. Ça été dit et répété ici, mais c'est bien qu'un gros machin gouvernemental s'empare du sujet et mette les préconisations à niveau et le fasse savoir. :-)
Peut-être qu'enfin on arrivera à être débarrassé des règles à la noix pour les mots de passe.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Pas si nouveau
Posté par sebas . Évalué à 3 (+1/-0). Dernière modification le 01 octobre 2024 à 12:05.
Aaaah, mais ça c'est une bonne idée ! Au lieu des mots ou phrases de passe, utilisons des fruits (ou des légumes, pour augmenter la complexité). Et pour corser la chose (et le goût), en plus saler pour le hashage, ou pourra également poivrer.
[^] # Re: Pas si nouveau
Posté par fero14041 . Évalué à 4 (+3/-0).
Concernant le poivrage ("peppering"), c'est déjà écrit (p.34-35)!
(le "poivrage", la "poivrature", le "poivrement" ou la "poivraison" ?-/ )
[^] # Re: Pas si nouveau
Posté par ted (site web personnel) . Évalué à 3 (+1/-0).
Je ne connaissais pas ce terme. Pour ceux qui n'ont pas le temps de chercher: poivrer un mot de passe, c'est comme le saler, sauf que le poivre est le même pour tous les mots de passe.
Un LUG en Lorraine : https://enunclic-cappel.fr
[^] # Re: Pas si nouveau
Posté par NicolasVivant . Évalué à 2 (+2/-0).
Ce n'est pas neuf, mais pour une fois, c'est clair et concis (ce à quoi les organismes officiels ne nous ont pas forcément toujours habitués).
Et si les gens qui savent de quoi ils parlent font ce type de recommandations depuis des années, on compte encore de (très) nombreux sites qui exigent de la complexité (et pas de la longueur) et des responsables informatiques qui contraignent les utilisateurs à changer leurs mots de passe régulièrement. Et je préfère ne pas mentionner le nombre d'applications qui stockent encore les mots de passe sous forme de hash MD5 (quand ils ne sont pas en clairs).
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.