comme ma banque :)

Ah non ! Pas de mots de passe trop compliqués ! Après ça file du boulot aux crackers, étouhétou...

J'ai eu ceci sur un site marchand en ligne. (Donc qui dit vente en ligne, dit coordonnées bancaire et postales et nom complet et tout le tintouin.)

Je vous le retranscris en brut: "LE MOT DE PASSE NE PEUT CONTENIR QUE DES CHIFFRES ET DES LETTRES, ET NE DOIT PAS COMPORTER DE MAJUSCULES ET DOIT FAIRE ENTRE 4 ET 12 CARACTERES".

J'ai envoyé un mail à l'équipe du site, ils n'ont pas compris ou était le problème, au vu que mes données étaient protégés par mot de passe.

J'ai acheté mon truc et me suis désinscrit.

Plus vicieux à mon école (déjà dit dans un autre PEBKAC je crois, mais celui-ci est plus à propos).

On a un mot de passe par défaut, et on a le droit de le changer. Lors du changement de mdp, aucun problème si on met des caractères spéciaux (j'avais mis un $).
Par contre, pour se connecter, c'est autre chose... Obligé de se rendre physiquement au SI de l'école, qui est pas au même endroit que là où j'ai mes cours...
De plus, celui-ci a une longueur obligatoire de 8 caractères, ni plus ni moins.

Idem.

C'est un jeu Blizzard ?
La politique de sécurité chez Blizzard est... étrange.

Par exemple, leurs mots de passe ne sont pas sensibles à la casse. Oui oui, ils ont bien ajouté du code pour convertir le mot de passe en minuscules avant de calculer le hash quand on se log.

Et... C'est une feature. Je paraphrase ce qu'un gars de blizz avait dit : "C'est pour éviter que les joueurs ne puissent pas s'identifier si leur mot de passe est correct mais que la casse est incorrecte, ce qui est une expérience dérangeante".

Oui. Problème : ça marche aussi pour les gens qui veulent hacker un compte, et se faire hacker son compte, c'est aussi une expérience dérangeante.

Vous connaissez tous sûrement : http://xkcd.com/936/

Nope, il me semble que c'est sur le site Gpotato ou un truc dans ce genre, j'aime pas les jeux de Blizzard ;D

Sinon, j'ai lu le PEBKAC, mais ne me suis pas rendu compte que c'était le mien, je l'ai vu que lorsque j'ai lu mes notifications ^^

Ce n'est pas CA qui va te faire hacker ton compte. Si le mec a entré la bonne chaîne de caractère, casse ou pas casse, ton mdp a un problème...

Oui c'est vrai, mais malheureusement, plein de joueurs ont des mots de passe de 4 ou 5 caractères.

Si en plus tu réduis le charset, ça fait quand même des cibles très simples.

12 caractères avec majuscules, minuscules + chiffres ça fait déjà pas mal quand même.
Même si on était capable de tester 1 milllard de mot de passe par seconde il faudrait quand même plus de 100 000 ans pour faire toutes les possibilités.
En plus il y a moyen que le site bloque au bout d'un certain nombre d'essais donc même 5 caractères (plus de 900 millions de possibilités) pourrait être suffisant.
Après c'est sur, si l'utilisateur utilise "azerty", "password" ou le nom de son animal de compagnie...

Je comprend pas la logique dans la tête de ces développeurs de limiter la taille des mots de passe ?
Franchement, quel intérêt pour eux ? C'est plus de boulot pour eux de gérer des long mot de passe ?

Ça n'a aucune réelle logique autre que le "jenairienàfoutre" et le "enfaitjemencognedelasécu". Rassure-toi, moi non plus je ne comprends pas. D'autant que ce n'est pas réellement plus coûteux (en temps, perf, argent, etc.) de bien faire le boulot… Au contraire, puisqu'on s'expose à moins de risques qui eux peuvent être très très coûteux. Bref, c'est débile.

Et même là, ça veut dire que quelqu'un a pris du temps pour volontairement mettre un nombre de caractères max. On peut même pas mettre ça sur le dos de négligence, d'incompétence ou de jmenfoutisme vu qu'il y a volonté de réduire la longueur du mot de passe.

Vous avez dit Blizzard, comme c'est Blizzard !

Et après, s'ils ne trouvent pas, impossible de les attaquer en justice pour faire croire aux clients qu'on se soucie de leur sécurité.

Quand il s'agit d'un jeu, un mot de passe simple ne me paraît pas gênant ... Ce qui l'est, c'est de trouver "un mot de passe de 4 à 8 caractères" pour un compte en banque ou un site marchand.

Personnellement, ma bête noire, c'est "le mot de passe doit OBLIGATOIREMENT commencer par un chiffre" (fonctionne aussi avec une majuscule). Histoire de faciliter la vie aux hackers en réduisant drastiquement les possibilitsé pour le premier caractère dudit mot de passe... -_-

Tiens, ça me rappelle les règles du mot de passe à la fac :
- Ton mot de passe comportera au moins une lettre.
- Ton mot de passe comportera au moins un chiffre.
- Ton mot de passe comportera au moins un caractère spécial.
- Ton mot de passe fera huit caractères, pas plus, pas moins. Huit sera le nombre de caractères, et le nombre de caractères sera huit. Tu n'en taperas pas neuf, ni sept, excepté pour en taper un huitième ensuite. Dix est beaucoup trop. Une fois tapés les huit caractères, au nombre de huit, tu cliqueras sur valider.

Avec la limitation des caractères spéciaux (14 disponibles seulement), ça laissait ~10^14 possibilités... Un mot de passe de 9 caractères avec uniquement des lettres (maj et min) est deux fois plus sécurisé.

Et le p'tit xkcd qui va bien avec : http://imgs.xkcd.com/comics/password_strength.png

J'ai toujours pensé que ce strip particulier (de XKCD qui envoie en général ♥) devrait être considéré d'intérêt publique.
Les "Votre mdp doit contenir un caractère spécial, un chiffre en majuscule et une tirade complète de Hamlet" m'ont toujours donner envie d'étrangler le premier poussin ou chaton qui passe...

Perso j'ai déjà eu un problème avec ma banque, j'avais rentré un code trop long, et le champ pour ce connecter n'acceptait pas mon mot de passe en entier...

Je n'aurais même pas acheté. Qu'est-ce qui te dit qu'en te désinscrivant tes données bancaires ont été supprimées ?

Peut-être pour mettre une colonne de taille limitée dans la base de données qui va stocker le mot de passe en clair ?

Des mots de passe insensibles à la casse ? Il faudra que j'essaie ça sur Diablo 3.
Ceci dit leur politique de sécurité est en effet étrange. Ils ont un site internet qui te permet de voir tes personnages, ceux de tes amis, ... C'est sympa mais le jour où j'ai essayé de me connecter depuis le boulot Blizzard a bloqué mon compte, avec débloquage possible uniquement depuis chez moi... A croire que si te te connectes depuis une autre ip c'est interdit.

Ouai, je pense que la seule raison d'une limitation du mot de passe, c'est que ça sent le password en clair.

Parce qu'avec un hash, ça rend tout suite l'idée d'une limitation un peu caduque...

si c'est Gpotato, m'étonnerai qu'il stock en clair les mdp.

Au fait, je ne résiste plus à te poser la question, au risque de me faire moinssoyer pour hors-sujet : Yorgl, le Yorgl dont je lisais régulièrement les guides de classes du temps où je jouais avec assiduité à un jeu en ligne ?

En réalité j'avais besoin du produit pour le travail et seul cette entreprise le fournissait (matériel de costume de scène), donc je ne pouvais pas ne pas acheter. Mais ça m'a bien saoulé quand même. Et effectivement, rien ne me le disait.

DK toute pourrie / Moine tout bourré, selon. En effet. ;)

Cool, ça me donne l'occasion de te remercier, pour m'avoir permis de passer du "kické à vue en donjon" au "réclamé pour tanker en raid", et surtout pour m'avoir rendu capable de poutrer du roi liche ! ^^

// Désolé pour ceux qui sont soit largués soit allergiques à ce jeu !

/bow

Bof, je voit pas le PEBKAC là, certe limiter

(désolé erreur de validation)
Bof, je voit pas le PEBKAC là, certes limiter le choix de l'utilisateur est stupide mais 12 lettres et chiffres vraiment aléatoires perment d'atteindre une entropie largement suffisante, surtout pour un jeu !

https://dl.dropbox.com/u/209/zxcvbn/test/index.html

Le vrai point important serai que certains sites (ou autre) vérifient que le mdp n'est pas un mot ou un mdp dans la liste des 100 plus utilisé.

Édit: bon en faite l'obligation d'utiliser des caractères autres que des lettres limite les mots du dictionnaire.

Oui enfin là y a aussi une limite de 12 caractères ^^'

T'as raison, azerty1234 c'est tellement mieux :p

S'il y a un petit intérêt potentiel, c'est d'éviter que quelqu'un utilise une collision pour se connecter.
Je m'explique, si quelqu'un récupère les hash des mots de passe dans la bd d'une façon où d'une autre (ou si le site n'ajoute pas de grain de sel et que l'attaquant à récupérer le hash du mot de passe de l'utilisateur depuis un autre site).
Il peut exister pour les algos de hashages (pour md5 mais potentiellement on pourrait sans doute découvrir la même chose pour d'autre algo) des algorithmes pour générer assez rapidement une chaîne qui aura le même hash que le vrai mot de passe de l'utilisateur. En général ces algos fonctionnent en construisant des chaînes assez longue. Si on limite la taille de l'entrée utilisateur, on réduit le nombre de collision produisant le même hash.
Mais bon limiter à 30 caractères au lieu de 12 ça ne doit pas changer grand chose.

<troll = bien velu>
Je vois pas où est le soucis, nous au travail notre mot de passe c'est notre nom de famille sans possibilité de le changer </troll>

ne me chercher pas j'ai honte et je suis déjà dehors

==>[]