COMPTOIR
  
register

Composé par ————— —— 11959 vues

Et quels prétendants au titre de "Mot de Passe à Chiay 2019" ?

Avant de s'emballer à l'idée de pouvoir découvrir l'heureux gagnant du titre, il faut savoir que le palmarès annuel traditionnellement publié par l'entreprise SplashData - spécialisée dans la sécurité des mots de passe - n'est pas encore finalisé, mais qu'il devrait l'être très prochainement. Il s'agit donc aujourd'hui essentiellement d'un p'tit teasing en bonne et due forme ! Néanmoins, c'est aussi l'occasion idéale pour revenir sur les champions des années précédentes et pour le "plaisir" de faire un point informatif qui devrait sans trop de mal nous permettre d'imaginer quel pourrait être le grand gagnant de l'année 2019...Sans plus attendre, voici le top 10 des années précédentes, selon SplashData :

 

Podium20182017

Pronostic 2019

(avec des intrus)

1 123456 123456 123456
2 password Password 123456789
3 123456789 123456789 password
4 12345678 Qwerty pascalapwal
5 12345 12345 12345678
6 111111 1234578 1234567
7 1234567 Letmein qwerty
8 sunshine 1234567 12345
9 qwerty Football ilovecdh
10 iloveyou iloveyou co2

 

Pour le fun et la culture, Nos brèves passées sur le sujet :

Mots de passe pourris : comment s'en sortent nos voisins outre-Manche ? (2019)

Et le pire mot de passe de 2016 est...

Le classement des plus mauvais mots de passe 2015 est là et c'est pas glorieux !

Top 25 des mots de passe les plus moisis en 2014 : toujours autant de champions !

Et le pire mot de passe de 2013 est...

Le top 25 des mots de passe les plus utilisés en 2012 donne des frissons...

Les mots de passe les plus utilisés sont... (2010)

 

S'il y a bien une chose qui n'a pas particulièrement évolué ces 10 dernières années - outre le défilement des saisons (quoique...), la rotation de la planète, le cycle lunaire, les thèmes du journal de 20h, les grèves annuelles, les horoscopes ou encore l'absence de cheveux sur la tête de Pascal (hors perruque) -, c'est bien la composition du trio de tête du classement des mots de passe tout pourris, à quelques incidents près. En somme, le constat laisse pour l'instant toujours autant à désirer, en dépit des nombreuses solutions plus ou moins accessibles qui existent aujourd'hui pour gérer relativement facilement des mots de passe complexes et uniques pour l'ensemble des sites fréquentés.

 

De plus, d'aucuns savent aussi que chercher à convertir des individus de son entourage - généralement déjà soucieux des "grands dangers du net" - au concept d'un gestionnaire de mots passe digne de ce nom n'est pas toujours une tâche aisée, et Huston cesse même bien souvent de répondre dès lors que vous abordez l'autre sujet épineux (et triplement barbant) de la double authentification...Bref, une mission loin d'être achevée et il y a peu de chance que le palmarès 2019 nous montre le contraire, sauf surprise de ouf guedin ! On y croit ?

 

meme overly attached gf security training

Un poil avant ?

Nvidia publie lui aussi des drivers

Un peu plus tard ...

Icy Dock de retour dans la baie 3.5" avec 2 racks pour SSD NVMe

Les 23 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !
par Un ragoteur cybersécurit en Auvergne-Rhône-Alpes, le Samedi 14 Décembre 2019 à 19h41  
par Un ragoteur RGB en Auvergne-Rhône-Alpes le Mercredi 11 Décembre 2019 à 23h35
Peu importe la complexité du codage, si le système d'authentification
permet un nombre illimité d'essais sur une courte période, la clé (aka
mot de passe) est condamnée à être cassée, même pour les meilleurs d'entre
nous.

Le facteur temps est fondamental à tous systèmes de protection.

source:
https://www.theregister.co.uk/2019/10/09/ken_thompsons_old_unix_password_cracked/
Euh ? une clé de 128 bit d'entropie à bruteforcer, c'est 600 000 fois la durée de vie de l'univers.
128 bit = 26 caractères en utilisant les 4 types (minuscules, Majuscules, chiffres, caractères spéciaux)

Sources:

http://rumkin.com/tools/password/passchk.php
https://blog.1password.com/guess-why-were-moving-to-256-bit-aes-keys/
par Un rat goth à l'heure en Auvergne-Rhône-Alpes, le Jeudi 12 Décembre 2019 à 01h33  
par Un #ragoteur connecté en Île-de-France le Jeudi 12 Décembre 2019 à 00h32
5 caractères 0-9A-Za-z. Ca fait 62. Une vérification maximum toutes les
minutes. 871 ans d'essais en moyenne pour trouver la clé.
Et bien sûr login + mot de passe pour entrer.
Il y a de l'idée... comme j'ai pu le constater sur la box d'un opérateur
français, une temporisation à croissance non linéaire est ajoutée à chaque
essai invalidé bien qu'un verrouillage temporaire au bout de quelques
échecs aurait pu très bien faire l'affaire également afin de freiner les
attaques.

Une mesure plus radicale serait un verrouillage permanent après plusieurs
échecs puis récupération manuelle du compte auprès de l'administrateur par
vérification rigoureuse de l'identité du titulaire.

Malgré cela, la complexité de la clé de protection reste importante pour
ne pas tomber sur dans l'absurde tel que mis en évidence ici même.
par Un #ragoteur connecté en Île-de-France, le Jeudi 12 Décembre 2019 à 00h32  
5 caractères 0-9A-Za-z. Ca fait 62. Une vérification maximum toutes les minutes. 871 ans d'essais en moyenne pour trouver la clé.
Et bien sûr login + mot de passe pour entrer.
par Un #ragoteur connecté en Île-de-France, le Jeudi 12 Décembre 2019 à 00h27  
par Un ragoteur RGB en Auvergne-Rhône-Alpes le Mercredi 11 Décembre 2019 à 23h35
Qu'est-ce que tu proposes de mieux?

Peu importe la complexité du codage, si le système d'authentification
permet un nombre illimité d'essais sur une courte période, la clé (aka
mot de passe) est condamnée à être cassée, même pour les meilleurs d'entre
nous.

Le facteur temps est fondamental à tous systèmes de protection.

source:
https://www.theregister.co.uk/2019/10/09/ken_thompsons_old_unix_password_cracked/
Pas de vérification carte ID, empreintes, ADN ou autre puce implantée.
par Un ragoteur RGB en Auvergne-Rhône-Alpes, le Mercredi 11 Décembre 2019 à 23h35  
par Tr4ks le Mercredi 11 Décembre 2019 à 20h09
Les suites de mots et le leetspeak, ça tient pas face à un bon dico et des
bonnes règles hashcat. Enfin c'est mieux qu'un de la liste du dessus c'est
sûr.
Qu'est-ce que tu proposes de mieux?

Peu importe la complexité du codage, si le système d'authentification
permet un nombre illimité d'essais sur une courte période, la clé (aka
mot de passe) est condamnée à être cassée, même pour les meilleurs d'entre
nous.

Le facteur temps est fondamental à tous systèmes de protection.

source:
https://www.theregister.co.uk/2019/10/09/ken_thompsons_old_unix_password_cracked/
par Un adepte de Godwin du Grand Est, le Mercredi 11 Décembre 2019 à 22h29  
Pronostic 2019:
1: giletjaune
2: gilles&john
par Un ragoteur blond en Île-de-France, le Mercredi 11 Décembre 2019 à 22h29  
Ils sont chiants, il demandent maintenant partout au moins une minuscule, un chiffre et une majuscule et des un caractère spécial qui des fois n'est pas accepté, et surtout avec des contraintes genre pas les spécial au début, pas de spécial tout court, pas de chiffre au début... donc pas moyen d'avoir le même mdp genre "0123-Abc" partout. Bref, obligé de sortir son papelard à mots de passes à chaque fois, sous les yeux des voisins. Finalement c'est moins "sécure" pour nous, mais les autre, en haut, sont couverts juridiquement.
Et puis au niveau des banques, on nous demande en plus de la carte d'identité de la création de compte de fournir en permanence 1 pièce d'identité à jour scannée de façon impeccable (pas de photo avec le smartphone) en 300 dpi ou plus des deux cotés, et une validation biologique (empreinte du pouce ou oculaire par smartphone compatible) en utilisant obligatoirement une appli smartphone ou tablette à chaque transaction. Ca va rentrer en vigueur dans les 3 mois.
L'empreinte biologique, il faut pas rêver, ce n'est pas au choix du client mais de la banque et il faudra obligatoirement s'équiper à nos frais d'un smartphone compatible. Le manquement à ces dispositions et c'est le blocage de compte immédiat. J'en ai été victime dans un grande banque française qui aime à devancer l'appel et du coup les URSSAF n'ont pas pu lever l'argent que je leur devais et m'ont mis un amende appuyée par une lettre d'huissier, me croyant insolvable. Un décision censément européenne, débile, que la France suit en premier sans se poser de questions. Donc les banques disposeront désormais de nos docs identité et nos empreintes, de par la loi. Juste hallucinant.
Pour défendre nos libertés individuelles, contrairement aux privilèges acquis, plus personne dans la rue.
par dfd, le Mercredi 11 Décembre 2019 à 21h06  
Ca va, je suis sécure, avec mon 1234567890 comme mdp de compte local admin Win au taf.
Bon, mdp à changer dans la minute, obligatoirement.
par Tr4ks, le Mercredi 11 Décembre 2019 à 20h09  
Les suites de mots et le leetspeak, ça tient pas face à un bon dico et des bonnes règles hashcat. Enfin c'est mieux qu'un de la liste du dessus c'est sûr.
par Pascal M., le Mercredi 11 Décembre 2019 à 14h43  
par BobLeRagoteur en Auvergne-Rhône-Alpes le Mercredi 11 Décembre 2019 à 14h25
Je crois que tu as confondu mdp avec fdp
#ohshit
par BobLeRagoteur en Auvergne-Rhône-Alpes, le Mercredi 11 Décembre 2019 à 14h25  
par Pascal M. le Mercredi 11 Décembre 2019 à 10h28
non mé sa sufi woui
épidabo 1 vré fdp sécu se ceré "P4sc4l@P3rduT0usS3sCh3v3ux384!"
Je crois que tu as confondu mdp avec fdp
par Un ragoteur qui aime les BX en Nouvelle-Aquitaine, le Mercredi 11 Décembre 2019 à 14h18  
par Lord Anal d'Occitanie le Mercredi 11 Décembre 2019 à 13h11
Moi j'utilise des mots de passe bien sales, genre anusdéfoncé ou sucemescouilles69. Faudrait être aussi tordu que moi pour y penser.
glakékètekikol