Dictionnaire de mots de passe

Voilà le problème: je suis en train de réaliser une appli web avec authentification de l’utilisateur.
J’aurais besoin de vérifier que le mot de passe que les users utilisent pour créer leur compte ne soient pas trop communs (donc, exit les azerty, 123456, gandalf et autres skywalkers).
Je ne cherche pas un dico qui fasse la taille de l’Emile Littré, loin de là, mais qui contiendrait plusieurs centaines de mots de plus de 6 lettres et de moins de 10 lettres (admettons).
Bref, j’ai cherché sur Google (car c’est mon ami   ) mais je n’ai malheureusement rien trouvé. Donc, si quelqu’un sait où je peux disposer d’une telle liste, je lui en serait reconnaissant (enfin, pas trop, faut pas déconner quand même, je ne descendrais pas vos poubelles tous les soirs…)

edit: phottes
Ce message a été édité par aristidi le 30/01/2004

Zut j’avais proposé une réponse dans gribouillage :

[quote]A mon avis tu aura plus de chances dans truc en vracs, y’a tout de même moins de monde qui lit gribouillage je pense…

Et puis les histoires de mots de passe, c’est un sujet sur lequel il y a pas mal de gens compétents parmi les modos, tu n’as qu’à mettre “divx emule mp3 kazaa” dans le sujet de ton post, il vont tous arriver pour t’aider.

Plus sérieusement j’aimerais t’aider mais je ne vois pas trop… Ah si j’ai peut-être une idée, quand on te soumet un mot de passe, fais une recherche sur google avec, et si t’as plus de x réponses, tu le refuses.

D’un autre côté c’est peut-être pas super-malin d’envoyer les mots de passe sur google… Faut voir, noyés dans la masse…[/quote]

A mon avis, ce serait plus simple d’imposer certaines rêgles à la saisie. Par exemple, longueur du mot de passe >= 8 caractères; MDP doit contenir au moins une lettre et au moins un chiffre; tu peux aussi obliger à faire du mixed case (sur au moins une lettre, lettre autre que la premiere lettre du MDP; tu peux aussi contrôler que MDP <> nom de login, que MDP ne contient pas le nom de login… enfin bon, il y a pas mal de choses

[quote]A mon avis, ce serait plus simple d’imposer certaines rêgles à la saisie. Par exemple, longueur du mot de passe >= 8 caractères; MDP doit contenir au moins une lettre et au moins un chiffre; tu peux aussi obliger à faire du mixed case (sur au moins une lettre, lettre autre que la premiere lettre du MDP; tu peux aussi contrôler que MDP <> nom de login, que MDP ne contient pas le nom de login… enfin bon, il y a pas mal de choses[/quote]Evidemment… Mais dans ce cas là, j’aurais put générer un mot de passe aléatoire ou un hachage type MD5 sur le login du compte. Mais je veux laisser tout de même aux users la possibilité de choisir un mot de passe qu’ils puissent aisément retenir (parce que lorsque j’ai des passwords de type 12Gx32F221Gl, je suis obligé de le noter quelque part, et dans ce cas là, adieu la sécurité…

Bah justement, c’est l’intérêt des rêgles que je viens d’énoncer. Par exemple, le mec pourrait se rappeller de arKhatop1 mais c’est un mot de passe difficilement trouvable.
Ce message a été édité par Arkhatope le 30/01/2004

[quote]Par exemple, le mec pourrait se rappeller de arKhatop1 mais c’est un mot de passe difficilement trouvable.[/quote]Justement, si le type l’a oublié, ce n’est pas non plus facile pour lui de le retrouver.

Le problème, c’est que les dictionnaires de mots de passe se trouve souvent (toujours ?) sur des sites dont la politique éditoriale des forums nous interdit de mentionner l’adresse…

Bref, passez par PM ou bien si quelqu’un en trouve un, ça serait bien de l’upper sur un endroit “sain”.

Bon courage !

Tu auras toujours des utilisateurs qui vont oublier leur mot de passe. Déjà, tu peux faire une croix sur le “j’évite d’avoir une base des MDP”. Ensuite, le meilleur moyen de sécuriser un mot de passe est soit : d’imposer une des rêgles comme expliqué ci-dessus , soit d’utiliser un mot de passe aléatoire (ce que tu ne souhaites pas). Une liste des mots de passe évidents n’est pas une bonne sécurité : les utilisateurs imprudents utilisent le nom de leur chien/copain/sport préféré ou toutes sortes de choses que tu n’auras pas dans ta base, et que d’éventuelles personnes mal intentionnées testeront en premier. Maintenant, c’est toi qui vois, hein.

Ce message a été édité par Arkhatope le 30/01/2004

Bon, ben au vu de ce que vous me dites, et d’après quelques recherches sur le net, je craint de devoir recourrir à des mots de passe aléatoire ou d’utiliser un hachage MD5 (j’aime bien le MD5: on a une suite de caractères de longueur fixe).
En tout cas, merci à tous deux .
Maintenant, Use, ce que tu dis confirme un peu ce que je pensais: si je veux un dico de passwords, va falloir aller fouiner sur des sites à la politique douteuse…

Autre méthode plus simple : tu instruis tes utilisateurs dans le choix de leur mot de passe. Perso, la méthode que j’emploie je la trouve assez radicale. Je prends une phrase quelconque et j’utilise la première lettre de chaque mot pour faire mon password.
Pour le choix de la phrase c’est free your mind à donf : mode d’emploi de corn-flakes, publicité qui passe à la télé, chanson qui passe à la radio, n’importe quoi qui tombe sous l’oeil à moment donné.

Exemple : decpcd = “détachez et conservez précieusement ce document”. Trouvé sur le petit coupon de rappel de numéros de mon compte en banque.

Et maintenant JEU : niwnfyc = ??? (l’est quand même facile celui l&#224

Antoine

Sinon si tu as le courage de fouiller dans du code, dans le gestionnaire de password de mozilla, il y a une fonctionnalité qui te donne la qualité de ton mot de passe, probablement en fonction des regles déjà citées. Tu pourrai donc recuperer ce code et n’accepter un password que s’il obtient une note minimale à ce test.

un autre facile, utfsf ou hused… Ah mince, ils sont connus ceux-là !

Merci mais on a dit pas de cracker !!

Ce message a été édité par Baphomet le 30/01/2004
Ce message a été édité par Baphomet le 30/01/2004

Je vois pas mieux que les règles énonçés plus haut suivies d’un hashage MD5, tu pourra pas recup les pass, seulement les changer, mais y a rien de plus secure.

Avoir un dico de pass autre part que dans la tête du client, tu l’as dit toi même, c’est comme écrire un pass qu’on peut pas retenir, pas vraiment ce qu’il y a de mieux niveau sécurité.

Donc des règles sur l’alpha-numerique, longueur de pass, mixed-case, etc… et l’user aura pas d’autre choix que se creuser un peu la tête. S’il peut pas retenir un truc de 10 caractères c’est pas un user.

tiens, leger HS, mais question securité je suis resté perplexe…

l’autre jour je vais chez FT pour obtenir un changement d’abonnement adsl.
la nana, me demande mon nom , le tape sous mes yeux sur son ordi (sans verifier qui j’etais) , dont je pouvais lire l’ecran sans probleme. et la paf, s’ouvre ma page avec mes identifiants, mes login/passe adsl, en clair! o-o

pire (ou presque), une fois fait le changement d’abo, elle balance l’impression du nouveau contrat sur une imprimante reseau qui se trouvait au beau milieu d’un passage public de l’agence. Bien sur, la feuille contenait aussi les identifiants en clair, lisibles par toute personne qui passait par là… et avant de partir, je la vois entamer une discute avec un autre client, avec le double de mon contrat dans la main (sur leur espece de petit sous main portatif…), et la aussi facilement lisible…

rassurant non?