En gros, le site t'interdit d'avoir un compte trop protégé, sinon personne n'arrivera à te cracker ton accès...

laposte.net, dans le même genre, interdit tout caractère spécial dans les pass. o/

En tout cas, c'est bien de le dire à la volée, au lieu de devoir valider ton formulaire et attendre le chargement de la page avec message d'erreur.

Et tu as tenté avec d'autres caractères spéciaux ?

Je n'ai qu'une chose à dire : correct horse battery staple.

Erreur : la longueur du mot de passe doit être comprise entre 4 et 8 caractères.

Je n'ai jamais compris pourquoi des gens s'emmerdent à rajouter du code pour limiter les mots de passe, que ce soit en longueur ou en caractères autorisés.

C'est amusant ça, j'ai exactement le même mot de passe !

XKCD ftw. Je n'ai toujours utilisé que des pwd alphanumériques, mais simplement longs et compliqués pour autre chose que mon petit cerveau tordu ! :)

C'est pour la base de donnée je pense, quand elle a été conçue pour ne contenir que huit caractères parmi l'ensemble lettre-chiffres, on est obligé de s'y tenir à moins de la convertir.
À moins que ce soit l'algorithme de chiffrement du mdp qui ne puisse accepter que des lettres-chiffres. En supposant qu'ils ne soient pas stockés en clair bien sûr...

Parce que sinon c'est trop compliqué pour la base de données voyons (taille de texte ou encodage).
Ce qui implique que les mots de passe sont stockés en clair, bien évidemment...

EDIT : Ah, Gné? a été plus rapide que moi ; et moins ironique aussi...

À mon avis c'est par peur de Bobby Tables

Normalement, le mot de passe une fois chiffré fait bien plus de 8 caractères. Et l'algo, ben si t'es un minimum intelligent, tu prends ce qui existe déjà. Et tout vrai algo s'en fout des caractères qu'on lui donne.

C'est pas très sécurisé de mettre ton prénom comme mot de passe...

À moins que tu sois proche de lui, appelle-le par son vrai prénom, « Robert'); DROP TABLE students;-- »

Un assemblage de mots du dico n'est pas "solide" (et oui je connais la référence cité, et je suis justement contre ce raisonnement simpliste).

Pour ton mdp même si il est l'assemblage de 3 mots, ça reste que 60 000³ combinaisons d'un dico classique, un mdp de 7 caractères avec 112 touches basique d'un clavier, soit 112⁶, est déjà plus solide (pas besoin de te dire pour un >8car)...
Si tu ajoute que tu peut discriminer une partie des mots qui on de très faibles probabilité d'apparaitre, ta résistance au brute-force s'en prend un sacré coup dans la mesure où ce n'est pas l'élévation à une haute puissance qui joue, mais le nombre de combinaisons.

Les rainbow-table et autre table pré-calculé sur des bot-net/serveur/cluster sont pas là pour faire joli, donc attentions quand même a pas finir en PEBKAC~

edit : je voulais répondre à ton ../ c'est raté :P

<echo class=tipiak>Merci !</echo>

C'est marrant, chez moi, 112^7, c'est du même ordre que 60000^3. D'autant plus qu'en général, tu n'a pas 112 caractères potentiels dans un mot de passe.

Certes, dans le deuxième cas, tu ne prendra pas non plus tout les mots, mais même comme ça (et avec quatre mots), tu as mieux qu'un mot de passe majuscule/minuscules/chiffres/caractères spéciaux raisonnablement mémorisable.

Au passage, tu peux me dire en quoi le raisonnement de Randall est simpliste ?

Je dois reconnaître que non, mais le point c'est quand même assez classique... Et comme dit plus bas, le minimum c'est de crypter/hasher le password avant de le mettre en base, donc en théorie j'aurais bien pu lui fourrer un ☺, selon moi ça devrait marcher.

Blag : C'est ton raisonnement qui est de loin le plus simpliste.

Commençons par les erreurs de maths :

1) "correct horse battery staple" = 4 mots
2) (et celle-ci était pourtant à ton désavantage), 112 caractères possibles pour un mot de passe de 7 caractères => 112^7 possibilités

Enfin, les approximations :

1) La langue anglaise contient plus de l'ordre de 100 000 mots

2) Les gens ne choisissent jamais un mot de passe constitué de caractères réellement aléatoire : tu as presque toujours des trucs du type nom ou mot du dictionnaire + chiffres à la fin.

3) Faire appel à un générateur de mots de passe automatique (et il en existe plein) garantis une probabilité égale pour tous les mots du dictionnaire d'être choisis. (la question d'aux quels peut-on faire confiance, par contre, est un autre débat)

TL ; DR :

100 000^4 = 10^20, et un mot de passe mémorisable qui finira pas sur un post-it ou un .txt sur le bureau
112^8 = 2*10^16

Ouh pu... je suis fatiguée j'ai lu "Nutella" Oo

Danarmk : La simplicité du raisonnement de Munroe (dont il s'excuse en <label></label>, d'ailleurs) est sans doute que le strip assume suppose (j'ai du mal avec les transitions français-anglais-allemand, désolé) qu'un algorithme de craquage de mot de passe va procéder caractère par caractère, aléatoirement, alors que un bon algo sera côté en tenant compte des tares des utilisateurs, et va chercher à retrouver des caractères alphanumériques courants et des chaînes évidentes.

(Je dis je suppose parce que je n'ai jamais bien compris quelles prémisses il utilise pour déterminer le nombre de bits d'entropie.)

<ironie>
C'est pourtant logique quand il y a des caractères spéciaux, la secrétaires ne sait pas toujours les énoncer à la police alors que les lettres et chiffres cela reste gérable. (bon si vous utiliser un vrai mot c'est quand même plus gentil pour elle).
</ironie>

Au contraire, Randall Munroe suppose que l'attaquant connait le format du mot de passe, et va donc essayer uniquement les mots de passes correspondant au format.

Dans le premier cas : mot d'usage non fréquent (pris aléatoirement dans un dictionnaire d'environ 65000 mots), plus quelques bidouilles...
Dans le deuxième cas : 4 mots courants (pris dans un dictionnaire d'environ 2000 mots).

(Les petits carrés représentent les bits d'entropie.)

Dans les deux cas, si on essayait caractère par caractère, et même en tenant compte du fait qu'il y a plus de caractères possibles dans le premier cas, on trouverait une entropie trop haute (pas réaliste).

Par contre, dans le deuxième cas, j'imagine que si on tient compte du fait que les lettres ne sont pas aléatoires, mais viennent de mots, on doit retrouver (a peu près) le même résultat (mais bon, je ne suis pas expert là dedans).

PS : Ce dont s'excuse l'auteur, c'est des argument « discussions animées » autour de ce sujet entre personnes comprenant la théorie de l'information et la sécurité et les autres. (Je ne suis pas complétement dans le premier groupe, mais j'ai quand même quelques bases.)

J'ai bien compris la signification des petits carrés, mais à chaque fois que j'essaie de les faire matcher avec un système, je me lasse en cinq minutes. (Bon, y a sans doute un rapport avec le fait qu'il soit cinq heures du matin à chaque fois.)
(Tiens, cette fois, ça a marché. Ah, mais : Il est pas cinq heures du mat'. Tout s'explique.)

Hem. Le raisonnement est quand même assez limité en matière d'applications, puisqu'il n'étudie que deux constructions de mots de passe. Les miens sont full aléatoires (enfin, si on considère que choisir des caractères les uns après les autres selon mes préférences du moment l'est, ce qui n'est pas vraiment le cas - c'est du chaos déterminé).

P.S. : J'avais compris le label comme des excuses envers les gens qui, connaissant la théorie de l'information et de la sécurité, prendront le strip avec le recul qu'il mérite, et se trouveront à discuter avec des noobs débutants qui s'enflammenront au premier degré. Oui, cinq heures du mat', encore.

C'est vrai qu'il ne considère que deux formats possibles... Mais c'est pour l'exemple. Considérant qu'il y a quelques variations possibles du format « tordu », Randall Munroe indique qu'on peut rajouter quelques bits dans la première estimation pour tenir compte de ça (mais ça n'en rajoutera pas 16).

Si ton mot de passe est aléatoire (enfin, le cerveau humain étant franchement nul quand il s'agit de générer de l'aléatoire, l'entropie n'est pas maximale, mais bon...), il peut effectivement être plus robuste que les mots de passes suivant le second format. Mais plus difficile à retenir. Le message principal que veux faire passer Randall (enfin, si j'ai bien compris), c'est qu'a difficulté de mémorisation égale, une suite de mots courants est (bien) meilleure que les autres formats usuels.

PS : je me demande comment se comporte le format « prendre les premières des mots d'une phrase » ; il faudrait estimer le nombre bits par première lettre de mots d'une phrase... Quelqu'un a une idée ?

mutuelle => nutella ? Si c'est le cas t'es surtout affamé ! :D

http://xkcd.com/936/

Hard to remember, easy to hack ..