PEBKAC #9225

J'ai dû récemment créé une nouvelle adresse e-mail pour une amie. Lors du choix du mot de passe, il est demandé de respecter, entre autres, au moins deux des conditions suivantes quant à sa composition : minuscules, majuscules, chiffres, caractères spéciaux.

Il semble que pour le développeur du formulaire, « au moins 2 des 4 conditions » signifie simplement « les quatre conditions réunies obligatoirement ». Certes c'est plus sécuritaire, mais pour l'information erronée : PEBKAC.

PEBKAC #9225 proposé par Rahariel le 08/01/2014 | 10 commentaires | 👍🏽 👎🏽 +150

Et à tous les coups, c'est limité a 8 caractères ...

Commentaire #124695 écrit par aaaa le 08/01/2014 à 13h20 | 👍🏽 👎🏽

J'ai déjà eu ce genre de cas dans la phase de test d'acceptation mais jamais en prod.

Après si ça avait été en prod, je pense que j'aurais pointé au chomedu.

Commentaire #124699 écrit par Minui le 08/01/2014 à 13h29 | 👍🏽 👎🏽

Idem sur le formulaire de création de compte Origin, à un certain moment.

Même si le nom, le prénom et le mot de passe était obligatoire, il fallait aussi rentrer l'adresse, le code postal, etc ... qui étaient indiqués comme facultatif.
Le plus "marrant" là-dedans était de trouver quelle info était erroné puisque aucune indication sur l'erreur mis à part un message du genre "Veuillez remplir les champs obligatoires".

Commentaire #124702 écrit par Clapiote le 08/01/2014 à 13h33 | 👍🏽 👎🏽

Faut arrêter avec cet argument...

Si on prend 26 lettres en minuscule, 26 en majuscule, 10 chiffres et 10 caractères spéciaux, on arrive à 23 ans pour tester les 72^8 combinaisons possibles (à la louche 700 millions de millions), à raison de 1 million de solution testées chaque secondes. Évidemment, il y a des chances que bon le mot de passe soit trouvé avant ces 23 ans, mais ça me semble tout de même assez sécurisé.

La vrai solution c'est d'empêcher au niveau du serveur qu'il y ait des millions de tentatives de connexion.

Commentaire #124707 écrit par Link le 08/01/2014 à 13h52 | 👍🏽 👎🏽

C'est en effet limité à 8 caractères... minimum :)

Commentaire #124725 écrit par Rahariel le 08/01/2014 à 15h07 | 👍🏽 👎🏽

Ça c'est bien. Sur le site du gestionnaire de lettre officiel en France, il est impossible de créer un mot de passe de plus de 8 caractères pour son e-mail... Mais BEDP pour la formulation erronée...

PS, je viens de retourner sur le webmail dont je causait ci-avant, maintenant, la limite c'est "pas d'accents, juste lettres et chiffres", aumoins 6 caractères. Je viens de tester 13, ça passe.

Commentaire #124741 écrit par ygnobl le 08/01/2014 à 16h50 | 👍🏽 👎🏽

Oui enfin si on est un peu réaliste, on prend le pire des cas : on suppose qu'il va y avoir une attaque offline (base de données hackée), et que derrière c'est du MD5 sans sel et pas du bcrypt, donc on est plutôt à 1 ou 2 milliards par seconde avec du matos classique. Donc tes 23 ans deviennent... 4 jours. Et le serveur ne peut rien y faire.

Commentaire #124785 écrit par FBM le 08/01/2014 à 21h02 | 👍🏽 👎🏽

J'ai vu récemment sur un site un truc qui m'a plutôt faire rire. C'est pas un PEBKAC, mais ça se rapproche du sujet, donc je poste ça ici. Le site demandait de choisir un mdp de 8 caractères minimum, et en petit il y avait ajouté, entre parenthèses "200 maximum".

Commentaire #124803 écrit par Aedis le 09/01/2014 à 00h36 | 👍🏽 👎🏽

Généralement le webmaster s'en rend compte pendant ce temps qu'il y a un gus qui fait le con avec ses serveurs.

Commentaire #124838 écrit par ROB le 09/01/2014 à 10h35 | 👍🏽 👎🏽

Pour éviter de se prendre la tête, Keepass password safe et génération automatique de mot de passes.

Commentaire #125106 écrit par Kadcom le 11/01/2014 à 10h40 | 👍🏽 👎🏽