|
|
Quand Twitter refuse un mot de passe, jugé trop simple 'azerty', 'football', 'johndoe'... trop souvent, de nombreux internautes tapent un mot de passe trop simpliste pour s'inscrire à un nouveau service. Las de ce comportement inconscient, Twitter a décidé de bannir 370 termes trop risqués pour protéger un compte.
Et parce que '123456', 'password' ou 'azerty' ne sont pas des mots de passe considérés comme sûrs, Twitter a décidé de bannir pas moins de 370 termes qui sont aux antipodes de la sécurité informatique. En effet, avec la popularité grandissante du site communautaire de micro-blogging, de plus en plus de personnes mal intentionnées s'intéressent à Twitter... et les stars et autres personnalités publiques ne sont désormais plus les seules personnes à être ciblées. Ces nouvelles mesures visent essentiellement à se préserver de certaines attaques de cryptanalyse, comme la force brute ou le dictionnaire. La première méthode consiste à faire une recherche exhaustive et aléatoire de toutes les combinaisons possibles, une à une. Cette attaque est particulièrement intéressante lorsque le mot de passe est constitué de quelques caractères (cinq ou six), sinon le procédé devient rapidement trop long. La seconde méthode est l'attaque par dictionnaire qui, comme son nom l'indique, vise à se baser sur une liste de termes potentiels pour dénicher le mot de passe. Cette technique est particulièrement pertinente lorsque le mot de passe est en réalité un nom commun, un prénom ou n'importe quel autre terme relativement courant. Ainsi, il n'est pas recommandé de choisir 'internet', 'samantha' ou encore 'password' pour protéger son profil. Bien entendu, les pirates n'hésitent jamais à combiner brute force et dictionnaire, tout en y associant d'autres méthodes. Plus généralement, la décision de Twitter de bannir une liste de termes trop téléphonés devrait inspirer d'autres réseaux sociaux. Bien que la plupart des sites web contrôlent désormais la longueur et le contenu d'un mot de passe, l'interdiction d'une liste de mots-clés serait une sécurité supplémentaire. La liste peut être consultée sur cette page (.txt). à lire aussi
  Prix indiqués avec livraison
39
Commentaires à propos de «Quand Twitter refuse un mot de passe, jugé trop simple»
Répondre
Radamanthe
le 30/12/2009 à 10:52
Ouf, 000000 n'est pas dans la liste... je vais pouvoir continuer à être con.
 Et malgré tout, qwerty est bien dans la liste mais ... azerty n'y est pas bien que cité 2 fois dans l'article. johndoe cité dans l'entête n'y est pas non plus. Dommage pour les mauvais exemples
  Et où est l'intéret de ce genre de news ? je veux dire, c'est pas les premiers à le faire non plus...
 certaines attaques de cryptanalyse, comme la force brute ou le dictionnaire.
Hrmmm non pas trop. La cryptanalyse implique une analyse, brute-force, dico et rainbow-table c'est à l'aveugle.Bizarre leur façon de procéder... Pourquoi bloquer juste 370 termes alors que les pirates utilisent déjà des dicos de plusieurs dizaines de milliers de mots ?
Pourquoi ne pas utiliser directement les mêmes dicos que ceux employés par les pirates ? Au final c'est les pirates qui vont être content. Ils peuvent dès aujourd'hui alléger leurs dicos de 370 termes..  C'est pourtant pas dur de créer un mot de passe béton:
Prenez un mot-clé, l'url du site et le hash SHA-1 de votre pseudo. Exemple: Passhttp://www.numerama.comb34f9074c8e6eac39b0b5f30f87acc43d1344589 Celui-là, c'est avec un keylogger qu'il pourra vous être piqué. erratum: l'url et le hash étant des données explicites, préférez passer une information privée au SHA-1 que vous ne révèlerez pas par erreur, par exemple le surnom de votre prof de CE2.  Pour avoir piraté les pass de mon collège, de mon lycée, et de mon hôpital, je confirme, les gens sont vraiment cons pour une bonne moitiée d'entre eux.
La plupart du temps, les pass sont la date de naissance, le prénom de la fille, du fils, ou de la femme. Sinon c'est azerty, azertyuiop, 123456, 000000, aaaaaa, bref, que des trucs trouvables en quelques minutes par brute force...  Personnellement, j'aime bien le système OVH qui envoie un email dès que l'on se connecte dans le manager. Ce n'est pas une sécurité anti-intrusion, mais au moins on est prévenu s'il y a un accès non autorisé. Enfin comme l'a dit Arkados, un bon moyen d'avoir un mot de passe fiable c'est d'utiliser un bête mot clé et de le crypter en fonction de l'url du site, bien que je trouve pas ça non plus pratique quand on va sur une machine qui ne nous appartient pas mais pour certains sites critiques ça reste très pratique  Le mieux c'est de retenir une phrase longue (par exemple votre proverbe favori). Et de ne taper comme mot de passe que la première lettre de chaque mot (ou les 2 premières)
Que cela donne un passe qui n'apparaisse dans un aucun dico, tout étant facile à retenir. Le mot de passe qu'a choisi Balladur : Je Vous Demande De Vous Taire Bande De Cons.
Ce qui donne "JVDDVTBDC" mot qu'aucun dico n'a trouvé.  en vacance en Norvège, une piscine m'a refusé le pass "1234" pour mon casier ...
quitte à interdire des mot du dico, autant interdire tous les mot dans toutes les langues !( :ironie...)  Arkados, le 30/12/2009 - 13:20 C'est pourtant pas dur de créer un mot de passe béton: Prenez un mot-clé, l'url du site et le hash SHA-1 de votre pseudo. Exemple: Passhttp://www.numerama.comb34f9074c8e6eac39b0b5f30f87acc43d1344589 Celui-là, c'est avec un keylogger qu'il pourra vous être piqué. erratum: l'url et le hash étant des données explicites, préférez passer une information privée au SHA-1 que vous ne révèlerez pas par erreur, par exemple le surnom de votre prof de CE2. enter, le 30/12/2009 - 12:25 [...] Maintenant le code et le mot de passe sont d'une telle complexité qu'ils sont absolument impossibles à retenir. Ils sont donc notés dans un coin, ce qui n'est pas une amélioration de la sécurité.Croux, le 30/12/2009 - 14:28 enter, le 30/12/2009 - 12:25 [...] Maintenant le code et le mot de passe sont d'une telle complexité qu'ils sont absolument impossibles à retenir. Ils sont donc notés dans un coin, ce qui n'est pas une amélioration de la sécurité. J'ai essayé CTAPC (casses-toi alors pauvre con) mais apparemment Sarkozy utilise un autre pass... quoi comment ça, c'est pas de la poésie ???   Goldoark, le 30/12/2009 - 13:50 Pour avoir piraté les pass de mon collège, de mon lycée, et de mon hôpital, je confirme, les gens sont vraiment cons pour une bonne moitiée d'entre eux. La plupart du temps, les pass sont la date de naissance, le prénom de la fille, du fils, ou de la femme. Sinon c'est azerty, azertyuiop, 123456, 000000, aaaaaa, bref, que des trucs trouvables en quelques minutes par brute force... Pour avoir travaillé dans une célèbre banque française (en tant que stagiaire hein, juste stagiaire info ... c'est dire ...) et avoir remarqué que tous les mots de passes de tous les comptes sont les mêmes à la création du compte, et que pas une personne sur deux n'en a changé apres attribution, voir que les administrateurs des différents serveurs du siege de la banque ont tous le même mot de passe, assez explicite (nom du systeme suivi par "admin"), je confirme, les gens sont cons, même lorsqu'ils travaillent dans la "sécurité" informatique ... Ils sont persuadés que vu que c'est des comptes en interne, il n y a aucun risque, mais dans une banque, avec plus de 400 comptes reliés aux différents serveurs, voir ce genre de choses laisse pantois ... Le moindre gus qui arrive dans les parages, trouve un poste relié de libre, et lance quelques conneries au hasard (ou pire, le mec qui a travaillé la pendant un bout de temps) peut facilement faire n'importe quoi d'illégal ... navrant ...  Et pour ajouter au dernier commentaire d'enter, avec une petite couche d'éducation en plus, ça ne ferait pas de mal non plus.
Le mieux c'est de retenir une phrase longue (par exemple votre proverbe favori). Et de ne taper comme mot de passe que la première lettre de chaque mot (ou les 2 premières)
Que cela donne un passe qui n'apparaisse dans un aucun dico, tout étant facile à retenir. Ou alors le leet ça marche bien aussi, un ami utilise pour son wifi la phrase "je suis un geek et j'en suis fier", mais en leet, c'est tellement efficace qu'il s'en souvient plus, mais bon... C'est surtout qu'il le tape jamais ce mot de passe, perso cette année mon univ a décidé de changer tous les mots de passes liés aux services informatiques (site internet, e-mail, accès à la salle info, etc) et maintenant faut minimum 15 caractères pour les mots de passes, tout le monde s'en plaignait mais je vois bien qu'après avoir tapé le mot de passe 4-5 fois on le connait...
|
A LA UNE
LES + COMMENTÉS
  10 offres à partir de 469 €
Télécharger
restauration msn messenger,
index php,
emule,
redtube video downloader,
torrent,
adobe flash player,
montage video,
bittorrent emule islande,
Accès rapide :
eMule (et mods eMule) |
Photo numérique |
Outils Réseau |
Codecs et plugins |
Nettoyeurs |
Optimisation |
Navigateur Web |
|
Si vous avez suivi cette année l'actualité concernant 
