52 lettres + 10 caractères spéciaux + 10 chiffres = 72 caractères possibles

72^6 = 139'314'069 (139 millions) possibilités de mot de passe

En testant 1000 mots de passes à la seconde, il faudra donc 139 millions de secondes au maximum pour le craquer en bruteforce. Soit 230 semaines, soit un peu plus de 4 ans. Et ça c'est la démo pour 6 caractères, avec 8 il faut alors 221 siècles.

Il est où le problème si on change le mot de passe tous tous les mois ?

edit : faut éviter les pebkacs de ce genre le samedi matin. Je me lève à peine et j'ai autre chose à faire que des maths !

et encore tu te limite à l'alphabet français et 10 caractères spéciaux !

On va rester simple et zapper le cyrillique, mandarin et phénicien. Après si un taré décide d'utiliser la table ASCII étendue, on peut tabler sur 220 bons caractères (toute la table, moins les caractères réservés), c'est qu'il a vraiment pas envie qu'on lui pourrisse ses scores au démineur.

tout en restant simple regarde l'alphabet espagnol avant 2010 contenait 29 caractères on passe à 225 Millards

c'est même plus Link
72^6=139,314,069,504
139 Milliards

Oui, faute de frappe, le reste du calcul est juste. J'ai corrigé un facteur 1000, mais j'ai pas modifié la première ligne de mon commentaire.

Samedi matin, moi aussi le premier coup j'avais mis millions mais j'ai eu le temps d'éditer et mettre milliards

Changer tout les mois c'est tout de même très chiant. C'est un coup à inciter à mettre toujours le même mot de passe suivi du numéro du mois.
Bien sur il y a du CTLP avec, par exemple, "prise en compte de la casse", ce serait un comble de ne pas prendre en compte la casse pour un mot de passe.

C'est clair que limiter vouloir blinder les mots de passe en limitant volontairement le paramètre le plus important, c'est l'idée du siècle !

Les forcer à mettre un mot de passe de 16 caractères, qui sera impossible donc à mémoriser, c'est s'assurer qu'il se retrouvera écrit sur un post-it caché dans le tiroir le plus proche, s'il n'est pas directement collé sur l'écran.

Là tu n'est pas sur ton PC perso mais sur un poste sensible voir très sensible donc la stratégie ne me choque pas et comme dit plus haut il ne faut pas qu'il y ai correspondance avec les 6 anciens (chez nous même si le MDP est différent mais comporte trop de lettres similaire il te le rejette)

Oui mais on sait bien comment ça se passe : "oh ils m'emmerdent à tout le temps me faire changer de mot de passe, je ne m'en souviens jamais, alors je vais l'écrire sur un bout de papier que je laisserai dans le tiroir"

Sauf que généralement dans le monde assurance/banque ils sont assez sensibiliser pour ne pas le faire vu la criticité et l'enjeu de leur carrière.

@Quelqu'un : le #8339 le prouve bien !

AH mince j'avais complétement oublié ce Pebkac pourtant récent.
Je me basait sur mon expérience perso lorsque je vais à la banque ou l'assurance. Login avec MDP perso + carte à puce + je ne sais pas quoi car lorsque les "conseillers" voient que je regarde l'écran il le tourne pour m'empercher de regarder.

Sauf que ton estimation de 1000 mdp testés à la seconde est très très loin de la réalité. Avec un PC classique on est plus proche du Million et en utilisant des technique plus poussé (grappe de serveur, GPU) on atteinds aisement le Milliard de mdp/seconde.

A la limite limiter a 8 caractères maximum c'est bien du pebcak...
Mais le reste est plus que normal (c'est même la stratégie par défaut en w2003)

Et le système qui n'empêche pas des milliards de tentatives de connexions à la secondes, c'est pas un pebkac ça ?

Presque. La duré limite par défaut est de 42 jours.

Je bosse dans une grande banque (qui fait aussi des assurances), et crois moi le niveau de sécurité n'y est pas du tout ! Je ne vais pas trop aller dans le détail, mais c'est tellement effrayant que j'hésite de plus en plus à ne plus être client de ma propre entreprise !
Et non, les gens ne sont pas si sensibilisés que ça. Il n'est pas rare de voir des gens laisser leur mot de passe à des collègues, et même de le mettre dans des mails à destination de tout leur service lors d'un départ en vacances, "au cas où".
Mots de passe changés tous les 3 mois, mais obligatoirement de 8 caractères, sans caractères spéciaux, et uniquement des chiffres ou des majuscules (pas de minuscules : le cryptage moisi du siècle dernier ne le permet pas). On a pas le droit de remettre le dernier mot de passe utilisé, mais on peut changer deux fois de suite pour continuer avec l'ancien pendant trois mois.

J'ajouterais aussi que côté informatique, on a des multitudes de logins techniques assez sensibles, bien souvent donc le mot de passe (qui n'expire jamais) est identique au login, et que de toute façon toute l'équipe connaît et partage.
Les systèmes d'habilitations sur des serveurs sont mal foutus : si on te donne l'autorisation sur un serveur, on te met dans un groupe spécifique ... partagé par beaucoup d'autres serveurs auxquels tu ne devrait pas accéder...

Il avait 29 lettres mais pas 29 caractères. Les lettres supplémentaires sont Ñ, CH, et LL. Les deux derniers sont des digrammes et n'ont pas de caractères spécifiques. Le premier est une lettre accentuée et le français en a plus.

J'ai horreur qu'on me bride sur la longueur de mes Mdp.
Déjà, le fait d'autoriser des mdp de moins de 8 caractère, c'est du PEBKAC directe.

Ensuite, quand vous utilisez des petites phrases pour avoir un mdp simple à retenir, les limites à 20 caractères (fuck-you PayPal) ça complique bien les choses...

@link on dit pas forcer à mettre 16car, mais mini 8.
(car un mdp à 6 quoi que tu en disent, c'est crackable dans la journée si c'est sur un algo de merde)

Et après pas de limite, ça sert à rien (ou alors 255, si tu veux éviter les conneries), si les gens veulent mettre une passe-passe tirée d'un poème, et qu'il change de vers tout les mois, pourquoi leur mettre une contrainte ?

Le fait d'imposer une taille est pou moi la chose qui risque de créer l'utilisation des post-it (trouver un mdp simple à retenir et bien complexe en 6 à 8 perso, j'ai du mal).

HS : PayeTonVBA (oui, je mets des majuscules), ton pseudo m'a fait sourire.

Et, pour te répondre, question sécurité, chez les banques et assurances, il y a de tout.

Et quand on change tous les mois, comment on fait pour les retenir ? Et bien on les met bien en évidence sur un post-it ! /o/ -> donc mot de passe en évidence et facile à craquer !

D'ailleurs les caractères spéciaux ne sont pas pris en compte. C'est pas ce qui était marqué, mais quand j'ai voulu mettre un mot de passe avec caractère spéciaux, il a été refusé ...

blag a répondu à Link à ma place. je n'ai jamais parlé d'augmenter la taille minimale, mais de ne pas mettre de taille maximale (ou alors très grande, pour être boulet proof).

Pas d'accord. En général, on utilise des mots, donc une attaque par dictionnaire est très facile.
Surtout que si on doit changer tous les mois, c'est encore plus PEKBAC parce qu'on tourne avec des mdp connus ou écrits sur un post-it (cf post assez explicite sur la sécurité sur Ars Technica).
Link > Comment créer un mdp efficace de 16 caractères ? Tu prends 4 mots, tu rajoutes quelques chiffres, manuscules et minuscules, et tu te retrouves avec un mdp super facile à retenir mais extrêmement complexe à craquer (cf xkcd)

La plupart des systèmes intelligents prévoient un temps de pause obligatoire tous les X échecs et ça rend quasiment impossible le brute force et à la limite même l'attaque dictionnaire. Donc, j'espère que dans une boite intelligente, c'est le cas.

pour les mots de passe ou on ne peut pas prendre les précédentes, beh, chez nous tout le monde fonctionne ainsi: motdepasse, motdepasse + le chiffre 1 à la fin, motdepasse + le chiffre 2 à la fin, ... et donc à moins d'interdire les dix précédents en réalité, tu ne changes pas vraiment de mot de passe et quelqu'un qui tombe sur un de tes mots de passe n'a que dix essais à faire pour le trouver

Link: 'En testant 1000 mots de passes à la seconde'
Mais il me semble qu'en brute force on est plus près des 1 millions par secondes non?
De mémoire, quand j'en ai fait, un mot de passe de 8 caractère m'avais pris 4h sur un athlon x2
(caractères spéciaux, majuscules, chiffres), sur une authentif windows (donc non salée), pour moi c'est donc un pebkac.

Link: 'Et le système qui n'empêche pas des milliards de tentatives de connexions à la secondes, c'est pas un pebkac ça ?' --> si c'est un pebkac mais c'est vrai. D'autant plus que sur windows quand la connexion à été ouverte une fois (sur le domaine), le mot de passe est copié en local (toujours pas salé).
P.S.: je referai des essais du coup.

Dans une usine asiatique d'un célèbre fabriquant de pneumatiques où j'ai fait un stage, la règle du changement de mot de passe tous les mois était aussi appliquée : du coup tous les techniciens du service avaient comme mot de passe leur nom de famille suivi du numéro du mois !
Avec en prime un intranet qui ne fonctionnait que sur IE6... (oui cette remarque n'a rien à voir)

Quelqu'un a dit : "chez nous même si le MDP est différent mais comporte trop de lettres similaire il te le rejette"

Pardonnez-moi si je dis une connerie, mais je ne vois pas comment c'est possible sans stocker les mots de passe en clair. Comment déterminer si le nouveau mot de passe est trop similaire au précédent si le moindre changement donne un hash complètement différent?

Même si tu interdis de réutiliser les 10 ou même 20 derniers, tu auras des motdepasse + le nombre 10 à la fin, 11, 12, ...
Et encore quand c'est pas le nom de la boite + l'année + le chiffre/nombre...

Edit : j'avais pas vu le post d'Iva en dessous avant d'écrire mon commentaire, du coup ça fait doublon...

J'ai la même histoire avec le père d'un ami.
La norme de sécurité dans sa boite c'est de changer le mot de passe tous les mois par un nouveau, différent de l'ancien.
Ce que fait le père de mon pote? Il change deux fois son mot de passe pour garder l'ancien.

@FlashSoul : Une option possible : Prendre la version claire du nouveau MDP, lui faire subir quelques transformations courantes (décrémentation du nombre à la fin, majuscules vers minuscules et vice-versa), faire un hash des variations, et comparer avec le hash stocké. Ça ne protège que des variations auxquelles les devs ont pensé, mais c'est déjà pas mal (si le gros des users étaient des génies bourrés d'idées inédites, ça se saurait).

C'est une politique de sécurité super mal pensée! De faire tourné sur 7 mot de passe différents en changeant chaque mois c'est bien en théorie...mais en pratique ça amène les utilisateurs à écrire le mot de passe sur un post-it...avec le fait qu'il n'ont la possibilité que d'avoir entre 6 et 8 caractères (et donc relativement peut de choix pour des choses dont ils pourraient se souvenir de tête) Je serai pas étonné qu'entre un quart et la moitié du personnel le fasse...résultat sécurité: 0.

C'est un peu le genre : "trop de sécurité tue la sécurité". Mots de passe courts, mais à changer tous les mois, donc les employés qui mettent un truc bateau et le numéro du mois, sachant que les deux tiers vont noter le mot de passe sur un post-it dans le tiroir à côté du pc. Moi je préfèrerais imposer un plus long à et changer une fois par an, tout en les sensibilisant sur les bonnes techniques de mot de passe (genre utiliser une petite phrase simple à retenir, mais qui fait un mot de passe long et virtuellement impossible à craquer).

je ne comprends pas tous ces votes "CTLP"... Le but d'une politique de mots de passe ne se résume pas au temps qu'il faut pour cracker un mot de passe. Comme l'indique OP, la récpetion auprès des utilisateurs est également très importante. BEDP pour cette politique de mot de passe à la fois incohérente et inefficace...

Ce n'est pas le seul critère pertinent. Cet ensemble de règles est à la fois incohérent et inefficace, BEDP pour moi.

De toute façon en matière de mot de passe, peu importe le critère de sécurité choisi, si l'utilisateur marque String123...Ca en même pas 3 jours c'est trouvé.
Après, nous pour un client la critère de sécurité est que tout ou partie du dossier administratif est identifié et refusé comme la date de naissance, le nom, le prénom etc... Mais nos amis les utilisateurs utilisent leur post-it pour retenir les mots de passe.
Post-it évidemment collé sur l'écran alors qu'il pourrait être rangé dans un tiroir fermé à clé...
En matière de PEBKAC, la sécurité peut faire des perles mais les utilisateurs en font des colliers à la pelle !!!!!

D'autant plus que sur windows quand la connexion à été ouverte une fois (sur le domaine), le mot de passe est copié en local (toujours pas salé).

Ahhh! Je me disais bien qu'il y avait une latence au 1er login qui n'existe plus quand on déverrouille la session par la suite. Et un mystère de résolu, un! ;)

@link: Si tu as réussit à dumper les hash de mots de passes tu as droit à autant de tentatives que tu veux...