Marrant, j'ai davantage confiance dans la CNIL et dans l'ANSSI que dans un message rapide qui ne donne aucun argument qualitatif ou quantitatif.
Bof, tu as juste à lire la BD sur xkcd. Ça résume tous les arguments qualitatifs ou quantitatifs que tu veux. ;-)
Les recommandations de la CNIL à suivre pour être certain de choisir un mauvais mot de passe. Effarant.
La BD part du principe que qu'il n'y a que le premier caractère qui peux être une majuscule, et que les chiffres et caractères spéciaux sont à la fin.
En réalité, on a une entropie similaire entre les deux :
11 caractères aléatoire, en comptant 70 caractères possible (aAzZ + chiffre), donne une entropie de 67 bits (log(70^11)/log(2)=67),
4 mots français, en comptant un dictionnaire de 90000 mots, ça donne une entropie de 66 bits (log(90000^4)/log(2)).
Donc un temps de hack par brut force sera similaire. Après biensur, un mot de passe aléatoire est plus difficile à retenir. Mais un mot de passe aléatoire n'est pas prédictible, comparer à un mot de passe basé sur des mots.
[Comment removed by author]
post déjà publié sur le journal du hacker il y a plusieurs mois. ça porte sur la version 2.3.2 de pfSense qui date de juillet 2016… qui a donc presque 3 ans ! On est en à pfSense 2.4.4-p2.
Bientôt, on va voir des news sur comment pirater un Windows Xp -_-
[Comment removed by author]
Oui, nous sommes d'accord. La méthodologie de l'attaque est intéressante. Je soulignais que cet article était déjà passé sur journal du hacker et qu'il portait sur une (très) ancienne version de pfSense.
L'article n'a pas besoin de porter sur la dernière version de pfSense pour être intéressant, la date de l'article est précisée également.
Concernant ta remarque sur Windows XP, je pense que malheureusement on trouvera beaucoup de sysadmins pour dire que matériel et logiciel ne sont souvent pas à jour dans les entreprises.
Tcho !
très intéressant sur le fond, mais porte sur version de pfSense ultra-dépassée (2.3.2 alors qu'on est à la version 2.4.3).
“Difficile à retenir pour un humain” –> pas beaucoup plus que le premier avec cette méthode justement.
“beaucoup moins robuste” –> 14 charactères, s'ils recouvrent un nombre suffisant de symboles de façon vraiment aléatoire (On est d'accord, ça n'est pas le cas içi, mais faisons un arrondi), c'est bien plus que nécessaire pour être incassable.
Et en plus, il y a hélas beaucoup de sites qui limitent encore la taille maximale des mots de passe.
Bref, les choses sont suffisamment complexes pour que personnellement je déconseille l'utilisation des insultes :).
Il n'y a aucune insulte dans le propos. Juste un avis. Mais peut-être que le terme “cancre” dans le titre était inadapté, vous avez raison. J'ai modifié le titre. ;-)