Accéder au contenu.
Menu Sympa

technique - Re: [TECH] Solution pour mot de passe et passphrase

Objet : Liste pour les discussions techniques (liste à inscription publique)

Archives de la liste

Re: [TECH] Solution pour mot de passe et passphrase


Chronologique Discussions 
  • From: "Association Libres-Ailé(e)s" <librezaileez AT librezele.fr.cr>
  • To: technique AT april.org
  • Subject: Re: [TECH] Solution pour mot de passe et passphrase
  • Date: Sun, 06 Apr 2014 14:05:18 +0200

On 04/04/2014 08:24 PM, Nicolas Vinot wrote:
Le vendredi 4 avril 2014 17:13:30 Association Libres-Ailés a écrit :
Qu'en pensez-vous de ces 2 solutions?

Pour Diceware, 6 mots parmis 7776 = aussi (peu) sécurisé qu'un mot de passe de
15 caractères alphanumériques

On rajoute aussi des caractères spéciaux de manière aléatoire. Cela renforce l'entropie mais j'imagine que ce n'est pas encore suffisant.

Le principe de Kerckhoffs [1] s'appliquant, considère qu'un attaquant sait
quel
algorithme tu as utilisé pour générer ta clef.

Le type de Diceware dit que peu importe que tout le monde sache qu'on utilise Diceware et telle ou telle liste et même qu'on sache combien il y a de mots dans la phrase secrète. Si je comprends bien, c'est un exemple de ce qu'on entend par principe de Kerckhoffs.

Donc qu'il n'a « que » 7776^6
possiblités à tester, ce qui est à la portée de n'importe quelle société avec
un peu de budget, donc de la NSA.

Je ne pensais pas à la NSA. Mais aux crackers un peu partout qui peuvent récupérer le mot de passe pour votre compte bancaire en ligne par exemple.

Passer à 8 mots (ou 20 caractères) et c'est déjà plus sécurisé.

Les mots dans les liste de Diceware sont de longueur un peu variable. Arnold Reinhold (Diceware) conseillait 6 mots avec d'autres caractères. Mais j'ai vu que 7 mots Diceware donnent une entropie de 90. Associé à Scrypt, on doit arriver à une bonne sécurité si on regarde le tableau de cette page qui en était encore à PBKDF2:

http://blog.agilebits.com/2013/04/16/1password-hashcat-strong-master-passwords/

Pour la méthode à Schneier, ça se résumera à une attaque par bruteforce sur un
dictionnaire d'environ 30 symboles (c'est rare les chiffres ou les caractères
spéciaux dans un bouquin)

Il faudrait rajouter des caractères dits spéciaux. Mais je pensais bien aussi que des mots du dictionnaire sont simples à recomposer.
Ça me paraît étonnant que Schneier propose une solution aussi simple pour les crackers.

Le problème des mots de passe, c'est surtout le problème de la mémorisation.
Et le niveau de sécurité actuel nécessite des trucs trop longs pour être
mémorisés facilement.
L'idéal est donc aujourd'hui de se tourner vers des protections physiques
(TOTP/HOTP, Yubikey, SmartCard GPG/RSA…),

Je vais regarder ça.

ou de générer des trucs vraiment
long et aléatoires (donc non facilement mémorisables) et de les stocker dans
des trucs type KeePassX [2].

Je pensais bien à KeePassX comme coffre-fort. Il y a intérêt à trouver un bon mot de passe pour garder le coffre-fort! Mais les crackers ne peuvent le voler que sur notre ordinateur, donc ça réduit un peu le risque, non? (bien sûr, ça dépend de ce qu'il y a comme faille dans l'ordinateur).

J'ai lu que les générateurs de mots de passe ne sont pas l'idéal non plus. (Rien ne semble pouvoir être idéal, dans ce domaine).

Le truc de Laurent: je dirais méchamment que pour FB, n'importe quel mot de passe fait l'affaire puisque FB vole les données des gens de toutes façons, pareil pour Google, Hotmail, etc.

J'ai vu aussi l'extension pour Firefox
https://addons.mozilla.org/en-US/firefox/addon/passwordmaker/
http://www.passwordmaker.org/ mais je n'ai pas bien compris comment ça marche (je n'ai qu'à essayer, me direz-vous).

Et aussi pour KeeFox dont parle Sébastien, extension pour Firefox, est-ce que le fait que des extensions qui marchent avec Firefox ne posent pas de problème de sécurité? (on est sur le web)

En passant, Keefox: KeePass exige Microsoft .NET framework. C'est du Mono si je me souviens bien.

libre fan
--
Libres-Ailé(e)s, pour GNU/Linux et le monde du Libre: http://librezele.fr.cr
http://bibliolibre.eu.org/ - en lien avec Libre-Fan http://librefan.eu.org/
Libérez vos courriels: http://autistici.org/ ou http://riseup.net/



Archives gérées par MHonArc 2.6.16.

Haut de le page