Parce que réduire l’entropie quand on implémente du chiffrement c’est une preuve d’incompétence ? Correctement implémenter un algo de chiffrement c’est déjà très compliqué (lire le dernier MISC sur les exploits contre AES-256 suite à des mauvaises implémentations), alors quand on essaie de créer son propre algo on a intérêt à être un très bon cryptologue - pas le genre qui va se dire qu’avoir du ciphertext avec toujours le même pattern est une bonne idée…
Du coup ça pose la question de la qualité du reste du travail et si on veut prendre le risque d’y confier quelque chose de si critique que la gestion des mots de passe…
La “qualité du reste du travail”, je la remettrais en cause si l’erreur n’avait pas été corrigée.
Si à la moindre faille tu arrêtes d’utiliser un soft, tu fais quoi ? Tu joues à Tetris avec des cailloux ?
Dans ton post ça parle du générateur de passwords, pas du chiffrement, non ?
L’erreur a été corrigée car quelqu’un a détecté le pattern. Mais là on est au delà de l’erreur, on est dans une faille de conception qui prouve que le développeur n’a aucune compétence en cryptographie.
Oui ça parle de générateur de password, qui est au final un algo de hash, et le hashing c’est de la cryptographie tout comme le chiffrement dans le sens où il y a beaucoup de contraintes similaires et que les deux technologies se font “attaquer” par des cryptanalystes.
Génial… J’ai voulu changer le mot de passe qui me permet d’accéder à mes bulletins de salaire en ligne. J’ai adoré ce moment gênant où je me suis aperçu qu’il ne voulait absolument aucun caractère spécial… Même pas une parenthèse…
Si encore c’était des cas isolés…mais j’ai l’impression que c’est la norme. Et plus le service est grand publique et éloigné de la sphère “technophile” et pire c’est.
Dernier en date: inscription à la MAIF, alors oui, on t’encourage à prendre un mot de passe de minimum 8 caractères avec maj-min chiffres et spéciaux (dont l’espace ! )…
mais dans les fait: le copier-coller est impossible ce qui rend très difficile l’usage d’un mot de passe fort (20aine de caractère) et on se fait jeter avec un aimable “Les caractères saisis ne sont pas autorisés.” sans savoir quel caractères (ou quel type) n’est pas passé…
Bref au final je me suis rabattu sur un simple min-maj-chiffre de 12 caractère. Mais je ne compte plus le nombre de site (serieux bien souvent) ou j’ai vu ce cas ce produire: on t’énonces des règles forte mais en réalité, dès que ton passe est un peu long ou contient des caractères spéciaux, il n’est pas accepté…
Salut, est-ce-que l’un d’entre vous dans la zone s’est également pris un changement de code PIN dans la face en ouvrant son Windows 10 ce matin?
La « bonne blague » dans l’histoire, c’est qu’il te demande un exemplaire de chaque type de caractère de ton clavier dans le nouveau code PIN : chez moi, ça ne s’appelle plus un code PIN mais un mot de passe…
Bref, plus aucun intérêt de s’identifier avec ça mais le plus fou dans l’histoire, c’est qu’il te balance ça nature, dès l’ouverture de ta session histoire de bien te casser les roustons dès le matin!!
Non toujours les 4 chiffres mais par contre j’ai eu ça sur le pc du boulot après la mise à jour Windows 7->10. Il te demande un pin de 8 caractères avec des chiffres et des lettres
Non, sur ma banque (Crédit Mutuel), j’ai un mot de passe fort depuis que j’ai ouvert le service (en 1997, je crois). Il est vrai que je ne l’ai jamais changé (pas bien), mais il y a un OTP en plus pour toute opération sensible.
Le pire que j’ai vu, c’est la société Géniale : code de 6 chiffres entre 2001 et 2007 environ avec obligation d’installer un applet java. Puis toujours ce code de 6 chiffres, mais à saisir à la souris sur l’écran (même plus besoin de keylogger…). Depuis, j’ai clos.
C’est toute la différence entre une impression de sécurité et de la sécurité !
Le mot de passe saisi à l"écran est certes protégé contre les keylogger basiques. Mais maintenant les keylogger enregistrent aussi les clics (et l’image cliquée) -> ça n’apporte rien
En open space ou à un guichet, il suffit d’une caméra bien positionné ou tout simplement se placer derrière l’écran. Idem pour un portable sur un lieu public.
Et mélanger les chiffres, c’est encore pire pour espionnage “coup d’oeil”, il faut les chercher, ce qui fait que tu saisies le mot de passe plus lentement.
C’est une solution qui apporte autant de problèmes qu’elle en résout, et qui plombe l’ergonomie. C’est une mauvaise solution.
Edit : j’oubliais, les malwares sérieux enregistrent tout le trafic des navigateurs avant qu’il ne soit chiffré par du SSL. même plus besoin d’enregistrer les clics.
La seule vraie solution pour l’authentification c’est les facteurs multiples. Il y a trois possibilités pour vérifier une identité: quelque chose que l’on connait (un mot de passe), quelque chose que l’on a (un token RSA qui génère des mots de passe toutes les 30 secondes - maintenant plein d’applis le font genre Google Authenticator) et quelque chose que l’on est (biométrie).
On considère généralement qu’il faut au moins deux méthodes pour considérer qu’un système d’authentification est sécurisé. Dans les cas crtiiques (OIV, défense, bancaire, …) on utilise les 3. Malheureusement c’est contraignant et quand on a besoin de souvent taper le mot de passe (session sur le PC ou accès sudo) mais il n’y a malheureusement pas le choix
Juste pour chipoter, il faudrait dire “TLS” et pas “SSL.” SSL c’est une version très ancienne du protocole (à l’époque développé par Netscape) qui n’est plus d’actualité. Quand SSL est devenu un standard IETF ça a été renommé TLS (ils ont corrigé des failles au passage).
On utilise toujours SSL par habitude mais le protocole est bel et bien nommé TLS.
Effectivement, j’avais installé FWP la veille, c’est peut-être lié. Du coup, j’ai modifié la base de registre pour une connexion auto lors de l’allumage du PC mais je garde le lien pour mon laptop, thx
