+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Général (https://jeuweb.org/forumdisplay.php?fid=36)
+--- Forum : Blabla (https://jeuweb.org/forumdisplay.php?fid=42)
+--- Sujet : Avez-vous déjà utilisé des phrases secrètes à la place des mots de passes ? (/showthread.php?tid=6069)
Avez-vous déjà utilisé des phrases secrètes à la place des mots de passes ? - Sephi-Chan - 07-04-2012
Hello,
Depuis quelques mois, j'ai remplacé mes mots de passes les plus critiques par des phrases secrètes telles que :
- Mon frère a 6 ans de plus que moi, il s'appelle Christophe.
- Mon premier neveu est né le 2 juillet 2009.
- J'ai beaucoup apprécié les romans de Roger Zelazny, notamment les Princes d'Ambre.
- Je suis né le 18 août 1989, c'était un Vendredi.
- J'adore le pâté !
L'avantage de telle phrases, c'est qu'elles sont très faciles à retenir tout en étant plus résistantes que n'importe quel mot de passe. Pour une efficacité optimale, il faut inclure des informations comme des noms propres et des dates, mais aussi prendre soin d'écrire correctement : majuscules, ponctuation, accents, apostrophes, etc.
Le seul désavantage que je vois à cette pratique, c'est la saisie de ces mots de passes sur un clavier différent (qwerty, par exemple), mais peu de gens sont concernés par ce problème et ce n'est alors qu'une question de temps. Le temps de saisie peut aussi jouer, notamment sur un smartphone ou une tablette.
Qu'en pensez-vous ? Avez-vous déjà essayé ? Qu'est-ce qui vous pousse à garder vos mots de passe ?
RE: Avez-vous déjà utilisé des phrases secrètes à la place des mots de passes ? - supermeganono - 07-04-2012
Personnellement je génère mes mots de passe en php avec un boucle qui m'enchaine lettre et chiffre. Un truc qu'on ne peut retenir. Mais avec le temps j'ai fini par les mémoriser, et jusqu'à aujourd'hui, je n'ai jamais eu à me plaindre, personne ne les as trouvé ( parfois même moi je les retrouve pas
)Mais l'idée est sympa, sauf que tous les site n'accepte pas les espace ou caractères de ponctuation par exemple.
RE: Avez-vous déjà utilisé des phrases secrètes à la place des mots de passes ? - Hideaki - 07-04-2012
Citation :Qu'en pensez-vous ?C'est une bonne idée, il y a des avantages et des inconvénients (Ils ont tous été cité).
Citation :Avez-vous déjà essayé ?J'utilise ce système depuis plus de trois ans.
Citation :Qu'est-ce qui vous pousse à garder vos mots de passe ?C'est relativement amusant et peut être un bon exutoire, suivant les phrases choisis.
Je garde ce système tant que je le peux ( suivant la longueur des mots de passe ) et varie avec des langues étrangères pour le contenu des phrases.
RE: Avez-vous déjà utilisé des phrases secrètes à la place des mots de passes ? - Sephi-Chan - 07-04-2012
(07-04-2012, 11:49 AM)supermeganono a écrit : Mais l'idée est sympa, sauf que tous les site n'accepte pas les espace ou caractères de ponctuation par exemple.
Il ne faut pas fréquenter de tels sites : un site qui refuse certains caractère dans un mot de passe est forcément un site de merde. Après tout, le contenu du mot de passe ne le concerne pas : il le hash et c'est tout.
Il faudrait établir une liste des sites de la honte : ceux qui t'envoient ton ancien mot de passe quand tu dis que tu as oublié le tiens (ça veut dire qu'ils le stockaient en clair ou — mais c'est improbable — de manière réversible) et ceux qui interdisent certains caractères dans les mots de passes.
RE: Avez-vous déjà utilisé des phrases secrètes à la place des mots de passes ? - Murthy - 07-04-2012
(07-04-2012, 12:39 PM)Sephi-Chan a écrit : Il ne faut pas fréquenter de tels sites : un site qui refuse certains caractère dans un mot de passe est forcément un site de merde.
Plus facile à dire qu'à faire
iffle:J'utilise aussi des phrases quand c'est possible. Je trouve cela plus simple à retenir et plus secure.
RE: Avez-vous déjà utilisé des phrases secrètes à la place des mots de passes ? - supermeganono - 07-04-2012
Citation :un site qui refuse certains caractère dans un mot de passe est forcément un site de merde.
Actuellement mon site n'accepte que les caractère alphanumérique. Car je dois encore faire évoluer mon script
Faut dire que ça date de l'époque ou c'était le seul moyen viable et surtout simple ( quel flemmard ) que j'avais trouvé ( et surtout compris ) pour sécuriser les enregistrements dans la BDD contre les injections SQL.
Faut pas être si dur avec les noobs :$
Ça va évoluer, ne t'inquiète pas
Citation :Il faudrait établir une liste des sites de la honteÇa va être très très long et dur à mettre à jour ^^
RE: Avez-vous déjà utilisé des phrases secrètes à la place des mots de passes ? - quentin01 - 07-04-2012
(07-04-2012, 12:39 PM)Sephi-Chan a écrit : ceux qui t'envoient ton ancien mot de passe quand tu dis que tu as oublié le tiens (ça veut dire qu'ils le stockaient en clair ou — mais c'est improbable — de manière réversible) et ceux qui interdisent certains caractères dans les mots de passes.
Je voudrais pas dire mais il y a des méthodes qui permettent ce genre de système en stockant quand même le mot de passe pas en clair en BDD. Par exemple la méthode de Vernam
Après bon c'est peut être pas aussi efficace qu'un hashage en SHA-256 mais c'est toujours efficace.@supermeganono : Sécuriser contre les injections SQL O_O ? Si tu stockes ton mot de passe hashé en BDD il y a normalement aucun moyen de faire une injection avec. Tu les stockais donc en clair ?
RE: Avez-vous déjà utilisé des phrases secrètes à la place des mots de passes ? - Sephi-Chan - 07-04-2012
(07-04-2012, 01:06 PM)supermeganono a écrit :Citation :un site qui refuse certains caractère dans un mot de passe est forcément un site de merde.
Actuellement mon site n'accepte que les caractère alphanumérique. Car je dois encore faire évoluer mon script
Faut dire que ça date de l'époque ou c'était le seul moyen viable et surtout simple ( quel flemmard ) que j'avais trouvé ( et surtout compris ) pour sécuriser les enregistrements dans la BDD contre les injections SQL.
Pourtant, le plus simple est encore de ne faire aucun contrôle : tu insères directement le hash du mot de passe, sans aucun risque.
(07-04-2012, 01:06 PM)supermeganono a écrit : Faut pas être si dur avec les noobs :$
Ça va évoluer, ne t'inquiète pas
Bien sûr qu'on peut passer ce genre d'erreurs à un débutant en phase d'apprentissage, mais pas d'un site sérieux en production.
(07-04-2012, 01:33 PM)quentin01 a écrit :(07-04-2012, 12:39 PM)Sephi-Chan a écrit : ceux qui t'envoient ton ancien mot de passe quand tu dis que tu as oublié le tiens (ça veut dire qu'ils le stockaient en clair ou — mais c'est improbable — de manière réversible) et ceux qui interdisent certains caractères dans les mots de passes.
Je voudrais pas dire mais il y a des méthodes qui permettent ce genre de système en stockant quand même le mot de passe pas en clair en BDD. Par exemple la méthode de Vernam
D'où mon bémol sur les méthodes réversibles. Mais le plus souvent je gage que c'est bien un stockage en clair (pour l'avoir déjà vu de sociétés a priori respectables).
À ce jour, c'est le hashage via Bcrypt qui a l'air de tirer son épingle du jeu.
RE: Avez-vous déjà utilisé des phrases secrètes à la place des mots de passes ? - archANJS - 07-04-2012
Sephi-Chan a écrit :Qu'en pensez-vous ? Avez-vous déjà essayé ? Qu'est-ce qui vous pousse à garder vos mots de passe ?
C'est une bonne idée, mais je ne l'ai jamais essayé. Il faut dire que j'ai l'habitude de choisir des mots de passe longs et complexes, assez dur à retenir par contre. Je vais essayer ça ^^
Pour relancer le débat en utilisant ce topic, que pensez-vous du cryptage réversible (méthode de Vernam par exemple)? Il y a peu j'ai fait des recherches sur le sujet, pour choisir si j'utiliserai cette méthode ou la redéfinition de mot de passe. Qu'est-ce qui est mieux selon vous?
À priori selon moi, la première méthode est plus "user-friendly" mais la deuxième plus sécuritaire.
RE: Avez-vous déjà utilisé des phrases secrètes à la place des mots de passes ? - quentin01 - 07-04-2012
Des sociétés stockent les mots de passes en clair ? C'est pas très pro' tout ça.