Mai 2013
Lun	Mar	Mer	Jeu	Ven	Sam	Dim
	1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

Sécurité : l'intenable défi

par Arnauld de La Grandière le Lundi 20 Août 2012 à 17:04

Tout le monde le sait, mais personne ne veut en entendre parler : toute l'économie numérique repose sur une confiance déraisonnable dans une sécurité qu'il est tout bonnement impossible de garantir.

Les faits divers se suivent et se ressemblent, de compromission des données des utilisateurs en mots de passe complaisamment distribués au premier venu, sans que cela ne semble en rien modifier les habitudes des consommateurs, ni même entamer la confiance accordée aux garants de nos données personnelles. Mais y a-t-il seulement une alternative à ce statu quo intenable ?

Sésame, ouvre-toi

L'écrasante majorité des systèmes d'identification en ligne ne repose que sur la simple paire identifiant/mot de passe. Lorsqu'on en laisse le libre choix à l'utilisateur au lieu de lui fournir un mot de passe imposé, il aura non seulement tendance à choisir l'un des mots de passe les plus fréquemment utilisés (et donc facile à déterminer, de "password" à "qwerty" en passant par "123456"), mais pire encore il utilisera la même combinaison pour tous les services (n'étant pas en mesure d'en retenir un pour chaque compte de chaque service). Il suffit donc qu'un seul de ces services soit hacké (aussi inoffensives soient les données qu'il recèle) pour que tous les autres prennent sa suite.

Alors même que le hachage cryptographique MD5 est considéré comme inefficace depuis au moins huit ans, celui-ci reste encore très largement utilisé par la plupart des sites pour la vérification de mots de passe.

Mais pire encore, il reste nombre de sites qui stockent les mots de passe de leurs utilisateurs sans le moindre chiffrement : c'est là le coût de la démocratisation des outils de publication en ligne, ouvrant aux amateurs un territoire autrefois réservé aux professionnels. Ces pratiques seraient d'ailleurs sans doute moins dangereuses si les utilisateurs eux-mêmes n'utilisaient pas toujours les mêmes mots de passe partout, permettant une escalade de privilège d'un service à l'autre, pour aboutir sur des données autrement plus sensibles. Avec l'augmentation des secrets confiés aux sociétés, la part numérique de la vie de chaque citoyen allant grandissant, le problème devient de plus en plus crucial. C'est potentiellement votre compte en banque qui est exposé, mais également des mois de travail qui peuvent être réduits à néant pour peu qu'un tiers accède à votre compte iCloud et l'efface.

Il existe certes quelques solutions pour remédier partiellement à ce problème. Le logiciel 1password permet ainsi de générer des mots de passe uniques pour chaque service et de les mémoriser pour vous, leur accès s'ouvrant à l'aide d'un mot de passe "maître". Mais celui-ci ne fait que reporter le problème d'un niveau, faisant du mot de passe maître de 1Password le nouveau maillon à abattre, qui fera tomber tous les mots de passe qu'il protège. C'est d'ailleurs l'objectif affiché de John the Ripper, un logiciel libre de cassage de mot de passe. Les développeurs de 1Password se disent prêts à faire face à ce défi, tout en exhortant leurs utilisateurs à employer un mot de passe maître difficile à casser, en associant plusieurs mots communs aléatoirement choisis (ce qui rend virtuellement impossible de les déterminer par « force brute »). Car tout mot de passe est par essence "trouvable" si l'on fait abstraction du temps nécessaire à le trouver, il suffit d'essayer toutes les combinaisons possibles et imaginables de manière systématique. Le tout étant de rendre l'opération si longue qu'une vie entière n'y suffirait pas malgré toute la puissance de calcul possible, ce qui peut être déterminé par l'entropie de Shannon. Mais ce procédé reste malgré tout moins facile à mettre en pratique sur le clavier virtuel d'un smartphone.

un comic de XKCD illustrant ce principe
Il faut dire que la création de comptes utilisateurs est devenue si universelle qu'elle se fait désormais sans y prêter la moindre attention : il est souvent impossible de bénéficier du moindre service en ligne sans en passer par la divulgation d'une adresse email et de l'enregistrement d'un identifiant et d'un mot de passe.

C'est oublier bien vite que les services eux-mêmes, en dépit de leurs efforts affichés de loyauté, ne sont engagés que par leur propre parole et par la confiance qu'on lui accorde : qu'une start-up se trouve en délicatesse financière, et elle aura tôt fait de vendre son carnet d'adresse au premier spammeur venu. Et c'est encore là le moindre mal qu'on puisse redouter.

Lire la page suivante (2/2) >>

| |

OS X Mountain disponible ! Mettez à jour votre mac pour 15,99€

Vos réactions (51 réactions)

bugman [20/08/2012 17:28]

"C'est oublier bien vite que les services eux-mêmes, en dépit de leurs efforts affichés de loyauté, ne sont engagés que par leur propre parole"

C'est donc toi MacG qui veut me doper au Viagra !?! ;)

(tres bon article, comme souvent)

---

"Alors que les plus grands noms du secteur ont été touchés par des hacks de leurs serveurs"
Oui (misère) on a haché mon compte EA (ou plutôt tombé sur une faille car je doute que c'est à cause de mon mot de passe (loin d'un "1234" mais plus proche d'un "≥vAz0êËtà–]lef")).

rototo104 [20/08/2012 17:46] via iGeneration pour iPad

Très intéressant cet article.

Je pense que le quidam moyen ne risque rien. Aux yeux des autres, je ne suis rien. Qui voudrai hacker un de mes comptes ?

Vous le dites pour la reproduction des empruntes digitales (les personnalités courent de plus grands risques), mais c'est aussi vrai pour les autres méthodes.

Le seul,risque que je pense encourir, c'est de tomber sur un hackeur qui ne ferai pas ça pour l'argent mais simplement pour le plaisir ("tiens, si j'effaçais 200 comptes iCloud aujourd'hui, rien que pour les faire chier...")

liocec [20/08/2012 17:51] via MacG Mobile

"le simple abandon d'une clé USB sur le parking d'une société permettra d'installer un keylogger sur le parc informatique sans même entrer dans les locaux, en comptant simplement sur la curiosité des salariés."

Je vais me coucher moins ... ce soir !

marcoplaut [20/08/2012 17:52]

Il serait bon de rappeler que Gmail, Facebook, Amazon Web Services et d'autres permettent des authentifications fortes avec l'utilisation de 2 facteurs (mot de passe + envoi de SMS ou utilisation de token).
Bien plus secure que tout mot de passe : pas d'hamçonnage possible et résistant aux keyloggers.

mccawley2012 [20/08/2012 17:55] via iGeneration pour iPad

Moi non je ne suis personne mais on m'a piraté mon compte world of warcraft, dois je sentir que mon niveau à légèrement augmenté ces derniers temps ? ^^

Très bon article, j'adore.

Riserock [20/08/2012 18:07] via MacG Mobile

En même temps, les sites comme ceux-là ne vont pas demander à leurs utilisateurs 5 mots de passes différents avec au moins 30 caractères dont 10 majuscules et 15 caractères non-lettres, à taper 3 fois pour vérifier, plus reconnaissance faciale, digitale et de l'iris, et tout ça à chaque fois qu'on se connecte...

Mais sinon très bon article!

demenla971 [20/08/2012 18:14] via iGeneration pour iPad

Article très intéressant une fois de plus

Ali Ibn Bachir, Le Gros [20/08/2012 18:26]

N'empêche, "1 Password" avec un mot de passe maître de 19 caractères, je ne sais pas si quelqu'un arrivera à me le casser d'aussi tôt !

Freitag [20/08/2012 18:30] via MacG Mobile

Je me suis toujours demandé comment pouvait- on tenter 1000 intrusions par seconde sur un site...

youpla77 [20/08/2012 18:31] via MacG Mobile

@Ali Ibn Bachir, Le Gros :
le mot de passe peut être pas mais une faille dans 1password et c'est toute ta vie numérique qui morfle...

esantirulo [20/08/2012 18:45]

Attention à ne pas confondre les concepts, en particulier dans cet article l'entropie de Shannon et l'analyse combinatoire. Pour faire simple, l'entropie de Shannon peut donner une idée sur une limite (ou plutôt une borne supérieure) sur le facteur de compression de données sans perte. D'un autre côté, le nombre de mot de passe que l'on peut générer avec un alphabet fini correspond aux nombres d'arrangements avec répétitions (et non de combinaisons !) de 1, 2... N symboles (cela doit être quelque chose comme O(N**N), à vérifier).

gueven [20/08/2012 19:15] via iGeneration pour iPad

Excellent article :)

ThurstonMoore [20/08/2012 19:18]

Des devices générant des OTP (one time password), comme la Yubikey par exemple, sont très efficaces.

chabodmathieu [20/08/2012 19:18] via MacG Mobile

Ça fait froid dans le dos ! :P

berechit [20/08/2012 19:21] via iGeneration pour iPad

Très bon article !
Toutefois, Rototo104 l'indique, nous ne sommes rien pour la majorité des hackers et notre sécurité tient à notre grand nombre et à un peu de jugeote :
- Bannir les mots simples ou les séquences de chiffes
- Utiliser des termes connus de soi seul et les "hacher" avec des caractères divers selon un principe qui nous appartient. personnellement, j'ai longtemps utilisé la BD Zorglub comme base en exploitant la célèbre phrase "eviv Bulgroz" en le hachant avec le ! pour le i, le 0 pour le o, en aménageant les majuscules selon un principe propre (commencer les mots par une minuscule et les écrire en majuscule) et en ajoutant un suffixe fonction du site concerné... Pour MacG, ça aurait donné EV1V bULGR0Z-m@CG... Plis tard, j'ai utilisé la phrase code " ciel, j'ai égaré mon carburateur ! " de l'album "QRN sur Bretzelboutg"... Fallait connaître mon intérêt pour Franquin et avoir une sacré machine pour le casser... Maintenant pour les sites importants (achat ou qui ont mes coordonnées bancaires), j'utilise des phrases plus calées et un hachage plus vicieux... Et je change régulièrement.
Et mes comptes en banques sont accédés via des passwords à entrer via un applet java qui bouge le clavier sur l'écran...
Pour le moment, tout ça a suffit pour m'éviter les ennuis du piratage...
Pourvu que ça dure !!

delino [20/08/2012 19:40] via MacG Mobile

@esantirulo :
+1

C'est ce genre d'article que j'aime chez MacGe!

Batracien [20/08/2012 20:21] via MacG Mobile

J'adore!
Mais pas un peu dangereux de donner un nom de soft de cassage de mot de passe?

Batracien [20/08/2012 20:21] via MacG Mobile

@Batracien :
*mots

DrFatalis [20/08/2012 20:27]

J'aime bien la "sécurité" des onepassword and co: ce sont des soft, le jour ou apple change son système et que le soft ne suit pas, vous perdez tous vos comptes faute de MdP. Cool.

RickDeckard [20/08/2012 20:39]

@Batracien

Euh, John The Ripper, c'est pas comme si c'était ultra connu.

De toute façon, je comprendrais jamais ce genre de réaction car c'est justement contre-productif.

- Connaitre et savoir utiliser les outils et les méthodes en question, c'est encore la meilleure façon de se protéger.
- Sur le même principe, une faille connue et documentée en long et en large, c'est toujours largement préférable à un exploit 0 day.

Mac mac [20/08/2012 21:08] via MacG Mobile

ID et MDP du compte banquaire d'un pote :

ID : julien.k@gmail.com
MDP : A35dut4mr*#

Allez-y. Vous pourrez vous payer pleiiiins de Macbook, d'iPhone et iPad.

sugarwater [20/08/2012 21:10] via iGeneration pour iPad

Vous avez oublié la technique de celui qui a dévoilé les photos de Scarlett sur le net. Il n'avait aucune connaissance en piratage.

Lyon3 [20/08/2012 21:36] via MacG Mobile

Très bon article comme d'habitude.
Enfin heureusement que vous n'êtes pas une société de conseil, vous nous apportez un problème et vous nous expliquez qu'il n'y a pas de solution.
Je conseil la mitigation : si le risque est de se faire pirater tous ces comptes alors le mieux est déjà d'avoir le moins de comptes possible. Les comptes les plus faciles à pirater pour le moment (Sony et autres) ne sont pas vitaux. Avoir 15 comptes Mail chez tous les fournisseurs n'est pas non plus indispensable.

MarcoAix [20/08/2012 21:51]

@Lyon3
Effectivement, avec 0 compte ton raisonnement fonctionne très bien ;-) pour le reste, il s'agit plutôt d'idées préconçues.
@DrFatalis
Tu ne perds rien du tout, hormis l'automatisation.
@rototo104
"le quidam moyen ne risque rien" : je peux te rassurer sur un point au moins, ton opinion est très largement majoritaire. Et il est difficile de faire comprendre au gens combien la sécurité n'est pas un vain mot dès qu'on est en réseau, et aussi combien le quidam moyen intéresse une multitude de boîtes !

Ali Ibn Bachir, Le Gros [20/08/2012 22:10]

@Mac mac: Super, mais si tu ne donnes pas la banque en même temps, on va s'acheter nos Mac comment ?

Pfff ...

Lemmings [20/08/2012 22:48]

Le problème majeur vient surtout de la sécurité de chaque service. C'est pourquoi employer un mot de passe différent pour chaque service est indispensable !

Car même si le MD5 est "léger", vaut mieux une base hashée en MD5 que rien du tout... évidement un salage supplémentaire n'est jamais mauvais en complément... Mais comme vous le dites, bien des services n'ont même pas de hash dans leurs bases !

Pire, certains systèmes pseudo "sécurisés" se limitent à des sécurités factices. Que dire de l'accès à son compte sécu ou l'on doit utiliser 8 caractères forcément mais aucun caractères spéciaux ? Ou encore de ces accès bancaires ou le code d'accès n'est composé que de chiffres...

Il y a encore bien du boulot !

macbookintel [20/08/2012 23:10]

Sans parler des sites qui nous renvoient notre mdp en clair par mail à l'inscription...

Xalio [20/08/2012 23:24] via MacG Mobile

Pour en revenir a iOS... Un mot de passe (même simple) active la puce de chiffrement depuis l'iphone 3Gs.... Pensez y! (Chiffrement matériel, aucun ralentissement de l'OS...)

os-app92 [20/08/2012 23:49] via MacG Mobile

On dit "chiffrement" en crypto et non pas "chiffrage".

Leehalt [20/08/2012 23:49]

@Freitag
Un pirate qui a réussi à installer sa backdoor sur quelques millions de PC (rappel: le Mac est aussi un PC) peut générer facilement 1000 tentatives d'accès par secondes à un site. Et vu que les connexions viendront de quelques millions d'IP différentes, le site serveur ne pourra pas blacklister ces IP, si tant est que le délai de réutilisation d'une même IP est suffisant.

@tous ceux qui croient que leurs infos n'intéressent pas les pirates
Détrompez-vous ! Il y a tout un commerce underground autour du vol de vos données. Ces n'est pas tant vos données qui intéressent ces "mafias" que l'argent qu'ils peuvent en tirer. Ils revendent ensuite des services de "mass marketing" à des "sociétés" peu regardantes et désireuses de faire leur pub. Y'a du fric à faire dans l'exploitation underground de vos données. HS: remarquez, c'est pas trop loin du business model de Facebook et consorts.

@MacGé
Très subtile votre utilisation du terme "confiance" dans le dernier paragraphe de l'article: la confiance des "mesures de protections" est une donnée quantifiable et mathématiquement prouvable: c'est la longueur d'un mot de passe, la diversité de son dictionnaire, la force de l'algo de chiffrement, la longueur de ses clés, la chaine de certificats, l'emetteur 'root', etc. Alors que la confiance qu'on accorde en tant qu'utilisateurs à ces systèmes de protection est un ressenti, un sentiment. Cette seconde découle de la première, ou plus précisément de ce que les sites disent avoir pris comme mesures de protection ("nous prenons la sécurité de vos données très au sérieux", bla bla) mais vu qu'on ne peut pas vérifier leurs dires, on est bien obligés de leur faire...confiance.

Leehalt [21/08/2012 00:00]

@Xalio
Ca se suffit pas. Ce n'est pas tant l'exploit technique qui consiste à casser un algo de chiffrement fort que le fait de tromper le système de sécurité en se faisant passer pour l'utilisateur légitime qui intéresse aujourd'hui les petits malins qui voudraient exploiter tes données. Quelque soit la complexité et le blindage de ton coffre-fort, si la combinaison est "1234" le coffre s'ouvrira. Ainsi durant mes vacances, en manque d'internet, j'ai déjà réussi à me connecter à un réseau wifi chiffré WPA-2 dont le mot de passe était, je te le donne dans le mille, "12345" ! Et j'ai trouvé le password au 1er essai (j'avais hésité avec 0000 :). Autant laisser son wifi en réseau ouvert dans ce cas-là !

Armas [21/08/2012 01:46]

Excellent article. Merci pour l'instant culture

miniwilly [21/08/2012 01:53] via MacG Mobile

Tomber de Charybde en Scylla : Charybde et Scylla auraient été deux dangers du détroit de Messine, entre l'Italie et la Sicile, le premier étant un tourbillon, le second un écueil. Les marins qui cherchaient à éviter le premier allaient périr en s'écrasant sur le second.

jeffgene [21/08/2012 05:50] via iGeneration pour iPad

C'est bon quasiment tous les sites que j'utilise ont été modifier avec un passeport aléatoire grâce a un 1passeword !

passares [21/08/2012 07:28] via iGeneration pour iPad

Et que dire des banques qui contraignent à n'utiliser que 6 chiffres comme code ?

lecoeur [21/08/2012 09:32]

Bientôt on fera sa déclaration d'impôts sur le net avec ses identifiants de Facebook, et les gens seront très contents !

Lemmings [21/08/2012 10:01]

@passares : cf mon message + haut :)

shadokart [21/08/2012 10:43]

Est-il vrai qu'un ensemble de caractères avec majuscules, chiffres et ainsi de suite, protège moins bien que deux ou trois mots communs, comme semble le dire le dessin illustrant cet article ?!! Il me semblait que c'était l'inverse : qu'un logiciel utilisé pour craquer un mot de passe aura une base de données de dictionnaires, alors qu'une combinaison complexe ne se trouve nul part et demande un temps de calcul infini.

Uloz [21/08/2012 10:50]

Seul oubli à mon sens, la nécessité d'utiliser une carte virtuelle (e-card, payweb card...) pour payer en ligne en lieu et place de sa carte bancaire.

Apple est la seule société à laquelle j'ai filé mes véritables coordonnées bancaire, les cartes virtuelles n'étant pas acceptées...

Lemmings [21/08/2012 11:59]

@shadokart : il y a deux grandes méthodes pour "trouver" un code :

1) soit utiliser un dictionnaire, et donc tester toutes les combinaisons courantes connues, genre 0000, 1234, abcd et j'en passe... C'est là ou un mot "commun" est très faible comme protection car rapidement trouvé.

2) soit passer par un système dit de "force brute" qui va tester une à une chaque combinaison possible, par exemple pour un code numérique à 4 chiffres, il va tester de 0000 à 9999 en essayant chaque possibilité intermédiaire. C'est plus long mais tu as un résultat garanti.

Avec la seconde méthode, aucun code n'est inviolable, seulement chaque caractère supplémentaire ajouté augmente le nombre d'essai nécessaires à trouver le bon code, et donc le temps. Ainsi, un mot de passe de 10 lettres est énormément plus sécurisé qu'un mot de passe de 8.

L'association de multiples mots communs pour faire un mot de passe assez long est une technique valable, tant que les algo ne seront pas mis à jour pour tester en simili force brute en associant les mots des dictionnaires... Ce qui évidement existe déjà ;)

En gros, un mot de passe suffisamment long (8 caractères gros minimum) et qui ne soit pas dans un dictionnaire est la moins mauvaise des protection. Si tu as un mot de passe "complexe" de 16 ou 20 caractères, évidement c'est mieux... Mais moins pratique lol

Encore une fois, je le redis, la règle DE BASE c'est un mot de passe par service !

.matt [21/08/2012 14:36]

(Vous confondez chiffrement et hashage. Pour stocker les mots de passe dans les bases de données, on utilise du hashage, et pas du chiffrement.)

Le défi n'est pas intenable à proprement parler. C'est plutôt un défi constant : un jeu du chat et de la souris. Le tout est de ne pas s'endormir sur ses lauriers : chaque faille amène un correctif, et une nouvelle faille arrive ensuite, ou alors le correctif lui-même présente une faille.

Exemples :
- Bruteforce -> limitations des connexions par intervalle de temps
- Mots de passe communs -> forcer les utilisateurs à utiliser un mot de passe unique
- Mots de passe idiots -> forcer les utilisateurs à utiliser chiffres/lettres et une longueur minimale
- Failles inhérentes aux bases de données -> hasher les mots de passe au moins avec des tours de SHA1
- Tables arc-en-ciel, redoutables -> utiliser des vecteurs d'initialisation publics puis privés

Le problème ne vient quasiment jamais des technologies utilisées, mais des techniciens qui les mettent en place et n'assurent pas leur fonction de "veille technologique" après.

poco [21/08/2012 16:57]

Excellent article et réactions très intéressantes! Merci à toutes et à tous ;-)

Juste mon petit grain de sel. On voit qu'on a affaire ici à des "amoureux" du soft. Au delà de çà, comme il est dit dans l'article, les autres protections incluant du hard (rétine, empreintes, clé USB etc.) ont leurs pendants dans les cracks possibles. Par exemple il est possible "d'écouter" à distance ce que vous écrivez sur votre clavier. Un rayon Laser et un interféromètres sur la vitre de ton logement et on "entend" très bien les bruits à l'intérieur de l'appartement. Mais je laisse expliquer celà par les spécialistes si il y en a ici.

padbrest [21/08/2012 19:22]

On dirait qu'Apple vient de se réveiller : à ma dernière connexion sur l'appstore iphone, j'ai été réorienté vers l'enregistrement de 3 questions personnelles et de leurs réponses (le nom de mon chat, etc.), ainsi que l'enregistrement d'une adresse mail secondaire qui est tenue informée de tous les changements demandés sur le compte iCloud.

padbrest [21/08/2012 19:26]

@rototo104
"Le seul,risque que je pense encourir, c'est de tomber sur un hackeur qui ne ferai pas ça pour l'argent mais simplement pour le plaisir ("tiens, si j'effaçais 200 comptes iCloud aujourd'hui, rien que pour les faire chier...")"
C'est bien ce qui est arrivé au journaliste de Wired, qui a pu entrer en contact avec son pirate : il lui a simplement dit qu'il avait trouvé son identifiant sut twitter particulièrement cool, et qu'il voulait juste lui piquer. Il a effacé tout le compte iCloud en passant, mais "ça n'avait rien de personnel". Trop cool, le gars :-)

Leehalt [22/08/2012 00:24]

@shadokart

Oui, le dessin de xkcd a raison, c'est une question d'entropie : il faut plus de temps à hackeur (humain ou machine) pour trouver une passphrase (càd plusieurs mots côte-à-côte, et tant qu'à faire une phrase que l'on ne peut pas oublier, qu'elle ait un sens ou non) plutôt qu'un password (même contenant des caractères exotiques, et conséquemment difficile à retenir). En effet l'ensemble de combinaisons (en fait d'arrangements) que l'on peut générer avec l'ensemble des mots (existants ou non, dans une langue ou plusieurs à la fois) + le caractère "espace" est largement (mais LARGEMENT) plus grand que l'ensemble des passwords que l'on peut générer avec tous les caractères d'un alphabet ou de plusieurs (majuscules, minuscules et caractères spéciaux compris).

En résumant grossièrement, l'entropie du cas "passphrase" est systématiquement plus élevée que celle du cas "password" (au pire elles sont égales quand la passphrase est composée d'un seul mot, un password en somme). Or plus l'entropie d'un système de sécurité est élevée (càd moins le système de sécurité délivre des infos permettant au hackeur cibler son attaque), plus il est couteux en temps pour le hackeur de trouver la passphrase qui lui permettra de pénétrer ce système, et d'ailleurs il n'a pas d'autre choix que de faire des attaques "brute force". Or les attaques "brute force" coûtent cher en temps et plus le temps passe, plus la valeur des informations stockées sur le système sécurisé diminue, et donc l'intérêt de pénétrer ce système. Vous me voyez venir : les failles et autre bugs des systèmes de sécurité réduisent l'entropie du système puisque ce sont des infos que le hackeur peut exploiter pour réduire drastiquement le temps nécessaire à son attaque (ces infos diminuent le nombre de combinaisons possibles).

Leehalt [22/08/2012 00:35]

@Lemmings
"En gros, un mot de passe suffisamment long (8 caractères gros minimum) et qui ne soit pas dans un dictionnaire est la moins mauvaise des protection. Si tu as un mot de passe "complexe" de 16 ou 20 caractères, évidement c'est mieux..."

Oui mais non, ou plutôt oui et non. La théorie de l'entropie montre que ce n'est pas la taille du password qui le rend plus sûr, mais plutôt la taille de l'alphabet utilisé pour former ce password. Plus cet alphabet est grand, plus le password est sûr (d'où la recommandation d'utiliser des caractères d'imprimerie en plus des caractères de l'alphabet latin classique pour augmenter un peu plus l'entropie d'un système de sécurité à base de password).

Lemmings [22/08/2012 08:55]

@Leehalt : exact, c'était ce que j'essayais de dire avec "et qui ne soit pas dans un dictionnaire" :)

patogaz1 [23/08/2012 00:38]

et un keylogger pour les briser tous !

1uo [24/08/2012 17:35]

Et alors, quelle est le niveau de sécurité d'un logiciel comme 1password? Les logs sont-ils enregistrés sur le nuage (c'est à dire sur un serveur propre à 1pw qu'il suffirait de pirater) ou enregistrés en local sur l'ordinateur,l'iphone etc... ?

S'ils sont locaux, un hacker doit forcément installer un malware pour accéder ensuite à ces données, ou modifier le répertoire du logiciel, ce qui nécessite de tromper l'utilisateur.

Réagir

Il n'est pas possible de réagir à cette dépêche. Si vous souhaitez toutefois réagir, n'hésitez pas à faire un tour dans nos forums.

Macbook Pro 15" -...	1 450€
MacBook Pro 15" 2011...	1 640€
Technicien Maintenance...	n/d
IMac 27 pouces 3,1 GHz haut...	1 450€
MacBook Air 13"...	1 500€
Macbook Pro 15"...	600€
Tablette Graphique Wacom...	1 000€
Mac book pro 17"	450€
Macbook pro 18'' en tres...	750€
Macbook blanc 13"	350€
A vendre : Macbook Pro...	800€
IMac 27' Excellent...	1 600€
MACBOOK PRO QUAD CORE i7 ...	1 280€
Macbook Pro 15 "	980€
À SAISIR : iMac...	1 150€

Sécurité : l'intenable défi

Sésame, ouvre-toi

Réagir

Transmettre à un ami