Discussion :

[s4mk1ng]

ous etes parano, y a pas une horde de hacker a vos trousses en permanence en train d'essayer de lire vos mails... Sauf si vous êtes une personne a risque, célèbre / influente.

C'est quoi le pire qui puisse vous arriver?
- voler votre carte de crédit? remboursé immédiatement par la banque
- voler votre carnet d'adresse? et alors??
- voler votre compte facebook? facile a bloquer et a récupérer

Et a quoi ca sert d'avoir un pass différent pour tous les sites si y a le nom du site dedans sérieux... j'ai envie de dire ALLO? mais ALLO QUOI! Si ton mot de passe c'est aaaDEVELOPPEZbbb123 et que je le trouve, je vais pas avoir de mal a deviner ton password facebook ahahah!

Ce qu'on appelle le social enginering représente aujourd'hui la forme de Hacking la plus répandue, c'est aussi la plus facile vu que il arrive souvent que les gens mettent des mots de passes genre nom de la femme, des enfants,etc...
Et nana le plus grave qui puisse arriver n'est pas "juste" qu'on puisse pirater son compte facebook il suffit de regarder combien de données est volé chaque année pour se rendre compte que oui il est important de bien sécuriser ses mots de passes.

[ternel]

T'as pas compris le principe !!!!
"L'agréable inclination à l'élégante compagnie"
donne comme mot de passe (par exemple)
L'aIalec

La phrase est un truc mnémotechnique pour retenir un mot de passe complexe.

Non, c'est effectivement (une variante) du mot de passe que j'utilise sur un meuporg ().
C'est simple à retenir, pas difficile à écrire, et achtement long, donc pas du tout brute-forçable…

D'accord, je l'ai choisi quand le jeu à annoncé avoir corrigé un bug sur les mots de passe de plus de 25 caractères.

[gangsoleil]

tant que votre pattern est non divulgés, aucuns risques.

La securite ne doit jamais resider dans le secret de l'algorithme. C'est l'une des bases de la cryptographie

- voler votre carte de crédit? remboursé immédiatement par la banque

Immediat ? Ah bon ? tu es certain de toi ? Sans apporter la moindre preuve ? Je crains que tu n'aies des desillusions si cela t'arrive un jour.

[quote]ton mot de passe c'est aaaDEVELOPPEZbbb123 et que je le trouve, je vais pas avoir de mal a deviner ton password facebook ahahah![quote]
Ce mot de passe est beaucoup trop faible, et s'il est trouve, l'algorithme est tellement simple qu'un programme de type attaque par dictionnaire le trouvera sans soucis.


Pour en revenir aux questions :

Avez-vous recours au même mot de passe pour l’ensemble des sites que vous consultez ?

Ca depend des sites, mais tous les sites non sensibles piochent dans le meme groupe de mots de passe oui.
Les comptes mails ont des mots de passe differents
Tout ce qui est plus critique (achat en ligne, banque (*), wifi, serveur) ont des mots de passe complexes.

Si j'ecrivais tous les mots de passe les uns a cote des autres, il est facile de se rendre compte qu'ils sont souvent des combinaisons les uns des autres -- mais sans aucun mot de dictionnaire dedans.
Exemple :
pour le site d'information A : bct4dN;
pour le site d'information B : hrvNlb2.
pour le site un peu plus critique C : $#bct4dn;42
pour le site critique D : $#bct4dn;42hrvNlb201

(*) Curieusement, la plupart des banques n'acceptent pas les mots de passe securises, et n'acceptent que 6 chiffres... De la a croire qu'ils obligent leurs clients a utiliser des dates, il n'y a qu'un pas...
J'ai d'ailleurs contacte plusieurs banques en leur demandant pourquoi les mots de passe etaient si faible et contrevenaient aux recommandations en matiere de securite, et les seules reponses que j'ai eu, lorsque j'ai eu une reponse, sont du genre "c'est pas grave, nous utilisons en plus d'autres outils de securite que nous ne pouvons divulguer, pour des raisons de securite".

Pour ceux qui croient que le remplacement de caractere (facon 1337 -- ou leet) est securise, vous serez surement content d'apprendre que les dictionnaires ont aussi pense a vous, et contiennent donc les memes remplacements que ceux auxquels vous pouvez penser : password est a cote de pa$$word et de pa$$w0rd, et ainsi de suite.

[yohannc]

Vous etes parano, y a pas une horde de hacker a vos trousses en permanence en train d'essayer de lire vos mails...

Si l'on regarde ce cas extrême :
http://www.developpez.com/actu/46468...-a-2-facteurs/
tu peux voir que ça peut être utile d'être parano...
Et il n'y a pas besoin d'avoir une horde de je sais pas quoi, si tu t'inscris sur un site où les mdp sont stockés en clair et que ce site se fait pirater...le hacker en question va bien s'amuser avec ta boîte mail et tous les sites associés.
Enfin bref, tu ne dois pas avoir de serrure sur ta porte

[transgohan]

Pour ma part je rentre dans le lot dénoncé ici...
Je tourne avec seulement trois mots de passe plus ou moins complexes (je compte pas le mot de passe de ma banque qui est une absurdité à 6 chiffres tel que dénoncé plus haut par gangsoleil...).
Le souci vient surtout du fait que les services qu'on trouve sur le net ne proposent pas tous la même sécurité... Mots de passe de taille max à 8 caractères ou bien sans caractères spéciaux, ect. Du coup on en vient vite aux mains pour trouver des mots de passe... J'en avais tellement marre que j'ai fini par converger vers les trois que j'utilise actuellement et je tâche ensuite de les utiliser en fonction de la criticité des données à protéger.
J'avais pensé à me tourner vers un service de gestion de mot de passe mais j'ai pas trop confiance dans la technologie (et pas plus étudié que ça en fait le sujet...). Mais dans un sens je crains peut être un peu trop que ce service se fasse ouvrir puisqu'au final si l'un des services actuels que j'utilise se fait ouvrir aussi il obtient l'un de mes trois mots de passe et cela revient presque au même.

[Loceka]

je compte pas le mot de passe de ma banque qui est une absurdité à 6 chiffres

C'est vrai qu'elles ne sont pas top vos banques. Moi dans la mienne ils sont plus sympa avec le client vu qu'il n'a que 4 chiffres à se rappeller pour le mot de passe.
Eh oui, vive la sécurité \o/

J'avais pensé à me tourner vers un service de gestion de mot de passe mais j'ai pas trop confiance dans la technologie (et pas plus étudié que ça en fait le sujet...). Mais dans un sens je crains peut être un peu trop que ce service se fasse ouvrir puisqu'au final si l'un des services actuels que j'utilise se fait ouvrir aussi il obtient l'un de mes trois mots de passe et cela revient presque au même.

Ben t'es développeur non ?
Perso j'ai en projet (depuis 5 ou 6 ans maintenant ) d'en coder un, au moins je serai sûr de ce qu'il y'a derrière.

[bobyboby]

Le mot de passe de la banque vous inquiète? Si quelqu'un va sur votre banque en ligne, il peut faire quoi?? RIEN. Si par je ne sais quel sortilège il arrive a voler de l'argent, il pourrait pas se l'envoyer sinon on saurait que c'est lui! Changer l'adresse et se faire envoyer une nouvelle carte? impossible faut les retirer en personne. Bande de bananes ahah 4 chiffres c'est bien assez. Et on peut pas brut-force une banque soyez serieux un peu!

Vous vivez dans la crainte mes pauvres c'est affreux de vous lire. Vous passerez votre vie a vous protéger à mort sans raison, ma foi c'est votre choix. Je suis sur que vous avec 3 antivirus et un firewall chez vous au cas un quelqu'un veut vous voler vos historiques msn ahah!

Je sais que ça vous fait marrer de vous prendre pour des espions de la CIA avec vos mille protections mais la réalité c'est tout le monde s'en fout de vos données.

J'ai un seul password pour tout, qui est un mot du dictionnaire, et mes amis ne reçoivent pas de spam pour autant. Et le temps que vous passez a imaginer vos mdp tordus et configurer vos logiciels (ou meme en ecrire un!!!!!!) de password, c'est surement plus que le temps qu'il me faudrait pour récupérer mes hypothétiques comptes volés.

Pour l'autre oiseau qui dit que c'est difficile de se faire rembourser par sa banque, je sais pas ce que tu as comme banque mais si t'as la carte jeune mozaic du credit agricole c'est normal ahah
Un jour j'ai du donner avec le sourire mon american express black a des gars qui m'ont braqué au distributeur, ils ont retiré 20.000 euros dans divers distributeurs, je les ai récupéré dans la semaine, avec la nouvelle carte, et eux ils sont en prison.

Bref conclusion, j'ai 1 mot de passe pourri, je reçois pas de spam, on m'a jamais rien volé, j'ai pas non plus de firewall, j'ai un antivirus gratuit, et je passe pas 10 minutes par jour a retrouver mon algorithme de mot de passe ahah

vraiment vous êtes a mourir de rire les développeurs! Vous regardez trop de films. C'est pas parce que vous savez coder un morpion en java qu'il faut vous prendre pour morpheus! BOOM allez sur cette vanne de tueur je m’éclipse.

PS: non je ferme pas ma porte a clef, tu connais beaucoup de gens qui vont de maison en maison en vérifiant si elles sont fermées? Et si ils veulent rentrer, c'est pas un verrou qui va les en empêcher. Tel que je te connais tu dois avoir une porte blindée des barreaux aux fenetres et des cameras dans ton frigo! Tu dois aussi prendre des assurances quand tu voyages ou quand tu postes un truc non? AU CAS OU! ahahah

Je vous fais un gros bisou a tous et vous laisse dans vos angoisses virtuelles! <3

[transgohan]

Ben t'es développeur non ?
Perso j'ai en projet (depuis 5 ou 6 ans maintenant ) d'en coder un, au moins je serai sûr de ce qu'il y'a derrière.

J'ai beau être développeur cela veut pas dire que je m'y connais en sécurité.

Le mot de passe de la banque vous inquiète? Si quelqu'un va sur votre banque en ligne, il peut faire quoi?? RIEN. Si par je ne sais quel sortilège il arrive a voler de l'argent, il pourrait pas se l'envoyer sinon on saurait que c'est lui! Changer l'adresse et se faire envoyer une nouvelle carte? impossible faut les retirer en personne. Bande de bananes ahah 4 chiffres c'est bien assez. Et on peut pas brut-force une banque soyez serieux un peu!

C'est pas tant le fait de pouvoir faire quelque chose. En ayant l'accès à un compte bancaire tu as déjà une information que l'utilisateur n'aimerai pas divulguer, à savoir son solde...
Moi ça me plairait pas trop qu'on voit mes millions.

[Kaeso17]

Si j'ecrivais tous les mots de passe les uns a cote des autres, il est facile de se rendre compte qu'ils sont souvent des combinaisons les uns des autres -- mais sans aucun mot de dictionnaire dedans.
Exemple :
pour le site d'information A : bct4dN;
pour le site d'information B : hrvNlb2.
pour le site un peu plus critique C : $#bct4dn;42
pour le site critique D : $#bct4dn;42hrvNlb201

J'utilise un peu le même principe, je tourne avec 3 chaînes de caractères différentes et ça me donne déjà plein de mots de passe. Avec les chaînes A, B et C je peux faire :
A, B, C
AB, AC, BA, BC, CA, CB
ABC, ACB, BAC, BCA, CAB, CBA
J'en ai déjà 15 de toutes les tailles, si derrière, au milieu ou au début je rajoute un caractère spéciale, une chaîne quelconque (mon prénom, ma date de naissance etc), j'en ai encore plus. Et même si ces derniers détails ne sont pas sécurisés, ils permettent d'éviter les attaques par dictionnaire et les tests de force brutes parce qu'ils sont très long et mélangés à un peu n'importe quoi.
Après le problème c'est de retenir quel mdp on a utilisé pour quel site mais on peut toujours noter dans un bloc note developpez.com : "CAB + datenaiss", si la personne qui cherche à hacker arrive jusque là et ne connais pas A, B et C c'est mort.

Pour la sécurisation des mots de passe et la sécurité informatique en général je pense que ça devrait être quelque chose à apprendre des les plus petites écoles. Maintenant dès le CP on apprend l'anglais... Alors avoir des cours de sécurité informatique légers au CM1 c'est pas improbable. Reste le problème de la surcharge des cours... Mais c'est un autre débat.

[bobyboby]

Pour la sécurisation des mots de passe et la sécurité informatique en général je pense que ça devrait être quelque chose à apprendre des les plus petites écoles. Maintenant dès le CP on apprend l'anglais... Alors avoir des cours de sécurité informatique légers au CM1 c'est pas improbable. Reste le problème de la surcharge des cours... Mais c'est un autre débat.

mais LOL!

Tu vis dans ton monde toi! Tu sais que les 3/4 des gens ne passent pas leur vie sur un ordi et se foutent d'avoir un mot de passe fort?? Lève la tête de ton clavier!

[Kaeso17]

C'est justement là le problème, tout le monde se fiche d'avoir un mot de passe fort, mais tout le monde est touché par les problèmes de sécurité informatique. Parce que tout le monde se sert d'un ordinateur (ou presque), et que ce sera encore plus vrai à l'avenir. La nouvelle génération naît avec un IPhone greffé dans les doigts.
Pour rester dans le thème du mot de passe, il y a des gens qui stockent leurs mot de passe sur leur téléphone ou dans des blocs notes situés sur leur bureau. Niveau sécurité c'est un peu craignoss, surtout si c'est des données bancaires. Sauf que pour certaines personnes ça n'est pas évident, et ça s'apprend.

C'est évident qu'on est pas tous touchés par les problèmes de hacking et que c'est de la paranoïa. De même qu'on peut se prendre une voiture en sortant de chez soi, mais ça, ça arrive qu'aux autres. Jusqu'au jour où...

[gangsoleil]

mais ça, ça arrive qu'aux autres. Jusqu'au jour où...

Pour moi, le probleme de la securite est du meme niveau que les sauvegardes : personne ne veut de sauvegarde, mais tout le monde veut y acceder (*)



Un code bancaire a 4 chiffres, c'est une securite suffisante ? Oui, car les frais de tenus de compte incluent une assurance sur les pertes eventuelles dont les clients pourraient etre rembourses en cas de perte/vol de carte.
Est-ce que ca ne couterait pas moins cher de passer a 6 ou 8 chiffres, et de bannir les lectures de bandes ?


(*) B. Schneier, une sommite en matiere de securite informatique :

Remember the rule: no one ever wants backups, but everyone always wants restores.

[sneb5757]

mais LOL!

Tu vis dans ton monde toi! Tu sais que les 3/4 des gens ne passent pas leur vie sur un ordi et se foutent d'avoir un mot de passe fort?? Lève la tête de ton clavier!

Tu sais ton adresse IP publique est attaquée constamment. Des robots font constamment le tour d'Internet pour essayer de trouver des infrastructures à attaquer. Et crois moi ta box FAI n'est pas epargnée.

Il y'a des pirates qui sont spécialistes pour chercher des machines vulnérables et y installer des logiciels leur permettant de les contrôler à distance. Ensuite ils louent ces machines à d'autres qui vont utiliser ces machine dans un botnet leur permettant de faire des attaque de déni de service par exemple. Si un jour ta machine est utilisé dans un tel botnet et que ton IP a été repéré par les autorités. Si tu n'arrives pas à prouver que ta machine a été infectée ta responsabilité peut être engagé.