Avec ces recommandations, la CNIL et l'ANSSI ne cherchent pas à atteindre un public qui a déjà de la maturité au niveau de sa gestion des mots de passe et pour qui la principale menace est de tenir face à des tentatives de cassage plus ou moins ciblées. En discutant ici, on est entre personnes qui ont un intérêt pour le sujet et une part importante de ceux qui lisent et commentent ici ont déjà adopté des pratiques plus correctes que la moyenne en la matière. Ceux qui travaillent avec des mots de passe plus complexe n'iront pas abaisser la qualité des leurs pour s'aligner.
S'agissant uniquement de la robustesse des mots de passe, je serais curieux de connaître la proportion d'utilisateurs “normaux” ayant déjà des mots de passe de 10 caractères ou plus, incluant des caractères spéciaux en plus des alphanumériques (minuscules et majuscules). Les utilisateurs “normaux” que je connais ont plutôt tendance à prendre une date de naissance ou le nom de leurs enfants pour mot de passe par exemple.
Le qualificatif de “mauvais mot de passe” pour ce qui résulte des recommandations de la CNIL me semble excessif dans la mesure où ce sera déjà souvent bien plus robuste qui ce qui est en place. En la matière, tout est souvent question de compromis.
Au passage, le problème ce n'est pas tant qu'il soit nécessaire de retenir des mots de passe que d'être tenté de mettre du sens dedans. D'ailleurs, l'exemple proposé par xkcd ne déroge pas à la règle dans la mesure où ce ne sont pas des lettres mais des mots pris dans une langue unique (mots qui peuvent être associés dans une phrase pouvant avoir un certain sens ensuite). Les coffres-forts de mots de passe permettent de travailler avec des mdp uniques générés aléatoirement et qui ne sont donc pas porteurs de sens. Ces outils ne sont pas sans contraintes non plus mais là encore, tout est question de compromis. Je rejoins donc la conclusion de ton billet…
Ben justement, je comprends pas pourquoi certains Linuxiens utilisent Chromium alors que Firefox est au moins aussi bon.
Sous Windows, ça s'explique facilement : Chrome s'est installé, et s'installe encore, comme un malware, pas mal de monde ne s'est même pas rendu compte qu'il avait changé de navigateur…
Sous Mac aussi, Safari est une énorme bouse. Après pourquoi Chrome plutôt que Firefox… Chrome est plus connu, sans doute.
Sur téléphone, c'est évident.
Perso je considère Firefox meilleur que Chrome. Ok, Mozilla a fait des choix discutables, ok, il est pas parfait, mais il reste largement préférable à la concurrence (en dehors des navigateurs de niche, qui eux souffrent surtout d'un manque de notoriété).
[Je présume que…] Les recommandations à l'ancienne datent de l'époque où les machines étaient moins puissantes et la taille max des mots de passe souvent limitée sur les sites de service public, banques, universités, etc ; on voyait les caractères spéciaux comme une belle astuce. Mais aujourd'hui avec l'évolution de la puissance de calcul et les difficultés de mémorisation des mots de passe plein de caractères ça semble pertinent à beaucoup de passer de xh48$g&7# à MonPetitChevalEstTombéSurL'escabotAuSecours.
Il n'y a aucune insulte dans le propos. Juste un avis. Mais peut-être que le terme “cancre” dans le titre était inadapté, vous avez raison. J'ai modifié le titre. ;-)
“Difficile à retenir pour un humain” –> pas beaucoup plus que le premier avec cette méthode justement.
“beaucoup moins robuste” –> 14 charactères, s'ils recouvrent un nombre suffisant de symboles de façon vraiment aléatoire (On est d'accord, ça n'est pas le cas içi, mais faisons un arrondi), c'est bien plus que nécessaire pour être incassable.
Et en plus, il y a hélas beaucoup de sites qui limitent encore la taille maximale des mots de passe.
Bref, les choses sont suffisamment complexes pour que personnellement je déconseille l'utilisation des insultes :).
en général en effet on déconseille de réutiliser le nom du blog/site dans le titre qui se retrouve systématiquement de toute façon dans le nom de la source à droite du titre, mais c'est vrai que si ça nuit à la lisibilité de ton titre, on peut faire une exception à cette règle, car c'est quand même le titre qui va donner envie (ou pas) de lire ton contenu un peu partout. On est ici en effet dans un cas un peu limite je pense.
Il me manque souvent des etiquettes, mais là tout de suite je n'ai pas d'exemple précis. Est-ce possible d'avoir un moyen de soumettre des tags à proposition ?
Le taux d'adoption n'a strictement rien à voir avec la qualité. Regarde la bataille VHS/Video2000/Betamax dans les années 80, et c'est le plus naze (VHS) qui l'a remporté. Je suis “linuxien convaincu” comme tu dis (100 % GNU/Linux depuis Slackware 7.1) et sur ma station de travail et mon portable c'est Firefox ESR et rien d'autre, depuis la toute première beta quinze ans en arrière.
Avec ces recommandations, la CNIL et l'ANSSI ne cherchent pas à atteindre un public qui a déjà de la maturité au niveau de sa gestion des mots de passe et pour qui la principale menace est de tenir face à des tentatives de cassage plus ou moins ciblées. En discutant ici, on est entre personnes qui ont un intérêt pour le sujet et une part importante de ceux qui lisent et commentent ici ont déjà adopté des pratiques plus correctes que la moyenne en la matière. Ceux qui travaillent avec des mots de passe plus complexe n'iront pas abaisser la qualité des leurs pour s'aligner.
S'agissant uniquement de la robustesse des mots de passe, je serais curieux de connaître la proportion d'utilisateurs “normaux” ayant déjà des mots de passe de 10 caractères ou plus, incluant des caractères spéciaux en plus des alphanumériques (minuscules et majuscules). Les utilisateurs “normaux” que je connais ont plutôt tendance à prendre une date de naissance ou le nom de leurs enfants pour mot de passe par exemple.
Le qualificatif de “mauvais mot de passe” pour ce qui résulte des recommandations de la CNIL me semble excessif dans la mesure où ce sera déjà souvent bien plus robuste qui ce qui est en place. En la matière, tout est souvent question de compromis.
Au passage, le problème ce n'est pas tant qu'il soit nécessaire de retenir des mots de passe que d'être tenté de mettre du sens dedans. D'ailleurs, l'exemple proposé par xkcd ne déroge pas à la règle dans la mesure où ce ne sont pas des lettres mais des mots pris dans une langue unique (mots qui peuvent être associés dans une phrase pouvant avoir un certain sens ensuite). Les coffres-forts de mots de passe permettent de travailler avec des mdp uniques générés aléatoirement et qui ne sont donc pas porteurs de sens. Ces outils ne sont pas sans contraintes non plus mais là encore, tout est question de compromis. Je rejoins donc la conclusion de ton billet…
toujours pas de Huawei P8 :(
Ben justement, je comprends pas pourquoi certains Linuxiens utilisent Chromium alors que Firefox est au moins aussi bon.
Sous Windows, ça s'explique facilement : Chrome s'est installé, et s'installe encore, comme un malware, pas mal de monde ne s'est même pas rendu compte qu'il avait changé de navigateur…
Sous Mac aussi, Safari est une énorme bouse. Après pourquoi Chrome plutôt que Firefox… Chrome est plus connu, sans doute.
Sur téléphone, c'est évident.
Perso je considère Firefox meilleur que Chrome. Ok, Mozilla a fait des choix discutables, ok, il est pas parfait, mais il reste largement préférable à la concurrence (en dehors des navigateurs de niche, qui eux souffrent surtout d'un manque de notoriété).
C'est vrai qu'au début j'avais pas vu que c'était un CPU… heureusement que j'ai aussi le flux direct de CPU, sinon je l'aurais loupé.
[Je présume que…] Les recommandations à l'ancienne datent de l'époque où les machines étaient moins puissantes et la taille max des mots de passe souvent limitée sur les sites de service public, banques, universités, etc ; on voyait les caractères spéciaux comme une belle astuce. Mais aujourd'hui avec l'évolution de la puissance de calcul et les difficultés de mémorisation des mots de passe plein de caractères ça semble pertinent à beaucoup de passer de xh48$g&7# à MonPetitChevalEstTombéSurL'escabotAuSecours.
Il n'y a aucune insulte dans le propos. Juste un avis. Mais peut-être que le terme “cancre” dans le titre était inadapté, vous avez raison. J'ai modifié le titre. ;-)
“Difficile à retenir pour un humain” –> pas beaucoup plus que le premier avec cette méthode justement.
“beaucoup moins robuste” –> 14 charactères, s'ils recouvrent un nombre suffisant de symboles de façon vraiment aléatoire (On est d'accord, ça n'est pas le cas içi, mais faisons un arrondi), c'est bien plus que nécessaire pour être incassable.
Et en plus, il y a hélas beaucoup de sites qui limitent encore la taille maximale des mots de passe.
Bref, les choses sont suffisamment complexes pour que personnellement je déconseille l'utilisation des insultes :).
Bof, tu as juste à lire la BD sur xkcd. Ça résume tous les arguments qualitatifs ou quantitatifs que tu veux. ;-)
Marrant, j'ai davantage confiance dans la CNIL et dans l'ANSSI que dans un message rapide qui ne donne aucun argument qualitatif ou quantitatif.
De toute façon il est n'est plus crédible depuis sa prise de position sur les DRM => https://actualite.housseniawriting.com/technologie/2017/07/08/tim-berners-lee-a-vendu-le-web-le-drm-va-entrer-dans-le-html/22621/
Pas un très bon interview. Berners-Lee est flou, vague, ne détaille rien (notamment pas son projet Solid, toujours aussi nébuleux.)
Un bon script en PL/SQL avec plein d'émojis, ça permet de commencer la journée du bon pied. Mmmmmhhh !
Promis juré, Carl, le tout prochain épisode aura un épisode encore plus obscur :D
en général en effet on déconseille de réutiliser le nom du blog/site dans le titre qui se retrouve systématiquement de toute façon dans le nom de la source à droite du titre, mais c'est vrai que si ça nuit à la lisibilité de ton titre, on peut faire une exception à cette règle, car c'est quand même le titre qui va donner envie (ou pas) de lire ton contenu un peu partout. On est ici en effet dans un cas un peu limite je pense.
Je ne suis pas contre, mais la guideline du JdH demande explicitement de ne pas reprendre le nom du site .
J'avais supprimé le code de numéro d'émission que certains me disaient obtus et inutile
Les modifications proposées dans l'article ont été effectuées et la faute d'orthographe sur la marque entrepreneuriat corrigée.
Tcho !
Salute,
Le plus simple est de contacter un modérateur/administrateur ou d'envoyer un mail sur contact@journalduhacker.net.
Tcho !
Il me manque souvent des etiquettes, mais là tout de suite je n'ai pas d'exemple précis. Est-ce possible d'avoir un moyen de soumettre des tags à proposition ?
Le taux d'adoption n'a strictement rien à voir avec la qualité. Regarde la bataille VHS/Video2000/Betamax dans les années 80, et c'est le plus naze (VHS) qui l'a remporté. Je suis “linuxien convaincu” comme tu dis (100 % GNU/Linux depuis Slackware 7.1) et sur ma station de travail et mon portable c'est Firefox ESR et rien d'autre, depuis la toute première beta quinze ans en arrière.
Le meilleur, c'est toujours compliqué à entreprendre : on part de ffx et on l'améliore ? on repart from scratch ?
Je n'ai pas de solution, je m'interroge, c'est tout