Un billet rapide pour celles et ceux qui ne savent pas comment trouver leur mot de passe, mais qui pour autant veulent en avoir un assez difficile à cracker.
Donc : Sismit, c’est un petit site qui vous donne un mot de passe à partir d’un phrase, d’un mot et/ou d’une date que vous rentrez sur le site. C’est bien sûr gratuit.
Ensuite : si vous avez un mot de passe fétiche, ou si vous envisagez d’en utiliser un, testez sa robustesse à l’aide du Password Checker de Microsoft. J’ai encadré en rouge le conseil de Microsoft pour avoir un bon mot de passe. Traduit en français, ça donne : « Un mot de passe fort doit apparaître comme une chaîne aléatoire de caractères pour l’attaquant. Il doit comporter 14 caractères ou plus (8 caractères étant un minimum). Il devrait inclure une combinaison de minuscules, majuscules, chiffes et symboles. »
Bonjour,
Comment pouvez vous faire confiance a des sites tiers pour vos mots de passe.
Le premier site génère des mots de passe, il utilise un algorithme, ce même algo peut donc servir pour un brut fore.
Le seconde site test la validité d’un mot de passe, qui vous garanti que votre mot de passe n’est pas stocké dans une liste et qui servira de dictionnaire ?
En terme de sécurité la paranoïa est un bon stimulant.
Humm…. Bonne question.
Je vais tenter d’y répondre clairement. A priori, le seul algorithme utilisé par les deux sites ci-dessus est un random sur quatre listes de caractères (minuscules, majuscules, chiffre, et caractères spéciaux) avec un random sur l’odre de sélection de chaque liste. Le programme s’arrête au bout du nombre de caractère sélectionné par l’utilisateur.
Je résume :
Si on a coché toutes les cases et mis qu’on voulait 10 caractères, le programmes va faire :
Pour i allant de 1 à 10, faire
Sélection aléatoire de la liste de caractère
Dans la liste sélectionnée, sélection aléatoire du caractère
Passage au caractère suivant.
Bref : ces mots de passes sont à mon av is générés totalement aléatoirement, et donc ne peuvent être tous enregistrés dans une même liste.
En gros, si on considère qu’il y a 10 chiffres, 26 minuscules, 26 majuscules et (on va dire) 10 caractères spéciaux, ça fait en tout 72 caractères.
Bref : pour un mot de passe d’une longueur de 10, ça fait un nombre de possibilité égal à 72^10, soit 3743906242624487400. Et ce, si on considère, je le rappelle que le mot de passe fait 10 caractères. Mais comment savoir ? Si ça se trouve, il en fait 7, ou 11, qui sait ? Bref : la brute force sur un random total n’est pas la bonne solution.
Ensuite, là où ça peut devenir dangereux pour les mots de passe, c’est lorsque l’utilisateur utilise un mot de la langue française, tout en minuscules. Là ça peut être dangereux.
Et encore : la brute force ne fonctionne que si le serveur accepte d’envoyer plusieurs milliers de pages par heure à la même IP ! Problème qui est très facilement résolu…
J’espère t’avoir correctement répondu.
Cela dit, je suis d’accord, rien ne vaut un mot de passe créé par soi-même (en respectant les règles de création d’un mot de passe — caractères spéciaux, chiffres, minuscules et majuscules), on le retient forcément mieux !
Merci pour ta réponse très claire et très bien détaillée.
J’ai l’impression de t’avoir légèrement froissé ?
Si c’est le cas excuse moi, ce n’était pas le but.
A bientot
@Snash : non, ne t’inquiète pas, tu ne m’as pas froissé. Ta remarque m’a permis d’aligner mes arguments, ce que j’apprécie particulièrement 😉
Mais je crois sincèrement que les mots de passes donnés par ces sites sont générés sur l’instant (et je l’espère aussi).
comment on fait pour que les autre ne trouve pas mot de passe ?