Gravure-News

[gowap]

Afin de sensibiliser un minimum les différents utilisateurs aux rudiments de la sécurité informatique et plus particulièrement au choix des mots de passe, le forum est désormais équipé d'un indicateur visuel qui vous renseigne sur la sécurité du mot de passe que vous etes en train de choisir.

Voici comment cela se présente. Lors de l'édition de votre profil (ou lors de la création du compte), en face du mot de passe vous avez désormais une combinaison texte+couleur qui détaille votre choix :



Les différents niveaux de sécurité sont les suivants (par ordre de complexité) :
- Non sécurisé
- Pas recommandé
- Relativement sécurisé
- Sécurisé
- Très sécurisé

L'indication donnée est uniquement une recommandation, vous ne serez aucunement forcés a entrer un mot de passe ultra sécurisé pour que les informations soient prises en compte. Vous restez donc libres d'utiliser les mots de passe "a la con" comme "123456" meme si ce n'est évidemment pas encouragé.

La mesure est plus éducative que repressive bien que ce ne serait pas du luxe que de faire changer les mots de passe a certains qui utilisent des combinaisons trop simplistes. Il faut en effet savoir -meme si ce n'est plus d'actualité- qu'il y a peu les forums phpBB etaient vulnérables a des attaques massives visant a trouver le mot de passe des comptes utilisateurs. Aujourd'hui il n'est pas possible d'essayer de s'identifier plus de 5 fois sans succes sans etre bloqué ensuite pendant 15 minutes ce qui limite fortement la possibilité de mener une attaque a son terme.

Mais au dela du forum, il s'agit de donner de bon réflexes a chacun.
Voici un extrait des recommandations inscrites dans la FAQ (si on clique sur le lien en vis a vis de l'indicateur de sécurité) :

- Le mot de passe doit contenir au moins 6 caractères
- Le mot de passe devrait au moins être long de 4 caractères et contenir au minimum 2 autres caractères qui soient des nombres ou des symboles.
- Utilisez une combinaison de lettres en majuscules et en minuscules.
- N'utilisez ni votre pseudo ni votre nom comme mot de passe.

[gowap]

Bon je savais pertinnement que j'allais déclencher des passions avec ce sujet mais je tiens quand meme a préciser que sur Gravure News il y a un certain nombre de mots de passe qui se retrouvent utilisés par un grand nombre d'utilisateurs.
En premiere position, je me retrouve avec un meme mot de passe utilisé par 83 utilisateurs différents !
Si je continue dans le top5, j'ai un mot de passe identique sur 64 comptes, puis sur 22, 16 et 14.
Il s'agit donc forcément de mots de passe "a la con" et j'attire une fois de plus votre attention qu'il incombe au visiteur de se prémunir contre toute utilisation frauduleuse de son compte et a 83 personnes avec le meme mot de passe je considère qu'il s'agit de négligence pure et simple.

[Koba]

Je plaide coupable : j'avais zappé ce post alors que je trouve le sujet très intéressant.

[l'étudiant]

tu les vois où est-ce le système qui le dit?

"Qui est-ce que l'on change leur mot de passe "

[gowap]

Tous les mots de passe sont encodés en md5, je ne vois donc pas le véritable mot de passe , mais juste le hash.
Ensuite il me suffit de compter combien de membres ont le meme hash pour en conclure combien partagent le meme mot de passe initial. La probabilité d'obtenir un hash md5 identique sur 2 mots de passe différents etant négligeable.

Je n'ai pas regardé dans le détail qui étaient ces 83 personnes a avoir le meme mot de passe.

[l'étudiant]

Citer: John the ripper permet de casser les MD5 triviaux par force brute. Des serveurs de "tables inverses" (à accès direct, et qui font parfois plusieurs gigaoctets) permettent de les craquer souvent en moins d'une seconde. Voir Rainbow attacks.

Que c'est intéressant de s'attaquer à une base de mot de passe de forum wow

[Freux]

l'étudiant, une autre citation [texte modifié], extraite d'une discussion à propos des Rainbow Tables et d'un soft permettant d'en créer ("Rainbow Tables & résolutions de hashs"), tenue sur un forum aujourd'hui disparu (citation qui ne provient donc pas de Wikipedia):

On se rend compte que, sans aller chercher très loin des mots-de-passe ultra-complexes, il est en général suffisant de choisir un mot de 8 lettres commencant par une majuscule : au-delà de la semaine non-stop de crack, celui qui utilise un brute-force devrait se decourager... Ce qui ne protège pas des Rainbow Tables. Contre elles, mieux vaut privilégier des mots de plus de 8 caractères avec un caractère special (=+,.:/ par exemple) au moins.

Il faut savoir en outre qu'on trouve en ligne un certain nombre de tables déjà générées. Un attaquant n'a souvent même pas besoin de prendre le temps de les créer lui-même. Toutefois, celles ci se limitent souvent au charset a-z; 0-9.

Enfin, pour les paranoïaques, un mot de 12 caractères comportant lettres, chiffres et un ou deux caractères spéciaux nécessite un temps de recherche de 2 milliards 600 millions d'années; à moins d'avoir beaucoup de chance...

...