Renforcer définitivement la sécurité ?

[BAK]

Dans ce cas la, pourquoi ne pas obliger à une longueur de mot de passe de 2 fois plus long ?

Au lieu de demander 2 mot de passe de 6 caractères minimum, tu n'en demande qu'un de 12 caractère.

Sinon, je partage ton avis pour les captcha, c'est horrible et les bots arrivent parfois mieux qu'un humain.

[Ter Rowan]

Dans ce cas la, pourquoi ne pas obliger à une longueur de mot de passe de 2 fois plus long ?

Au lieu de demander 2 mot de passe de 6 caractères minimum, tu n'en demande qu'un de 12 caractère.

c'est tellement évident

[Xenos]

Beaucoup de gens ont des mdp de 6-8 caractères. En les obligeant à prendre 12 caractères, ils seront forcés de changer de mot de passe, et du coup, beaucoup vont en prendre un très simple à retenir, et donc, moins sécurisé que le mdp de 6 caractères ("Ujd7H5" est bien plus sûr que "anticonstitutionnel")... Donc je ne pense pas que ce soit une bonne solution.

Celle que je préfère consiste à indiquer la "complexité" du mot de passe que l'utiisateur est en train de définir. Quand l'utilisateur voit "Password: weak / medium" à coté du champ "Set a password", il va avoir tendance à le complexifier, surtout si, en plus, un petit smiley lui tire la tête

Je ne comprends pas la procédure

- Je me suis trompé de mot de passe et souhaite débloquer mon compte : Je me connecte et débloque mon compte.

...
Est-ce que celka veut dire:
- je fais trop d'essais de mdp, donc le compte est bloqué
- je rentre chez moi
- je retrouve mon mdp
- je l'entre
- le compte est alors accessible
- je dois le débloquer dans mes paramètres
?

[Argorate]

Dans ce cas la, pourquoi ne pas obliger à une longueur de mot de passe de 2 fois plus long ?

Au lieu de demander 2 mot de passe de 6 caractères minimum, tu n'en demande qu'un de 12 caractère.

Encore une fois, dans l'absolue je suis d'accord, c'est le plus intelligent, sauf que deux petits mots distinct sont plus facile à retenir pour un lambda qu'un long mot (et comme le fait remarqué Xéno, c'est pas forcement mieux niveau sécurité dans certains cas).

D'un point de vu mémoriel, ça peut donc être plus facile de retenir kvx332 et plutonium que ap568troubadour. (et même visuellement)

Alors vous allez me dire: "mais non! tu prends ton long mot et tu le sépare en deux, c'est pareil!"
Oui, sauf que je pense que pour les non informaticiens qui ne connaissent vraisemblablement pas le mot "concaténation", cela ne leur viendra jamais a l'esprit! (même si ça nous parait évident pour nous, je suis pas sur que pour la mamie ou les lambdas ce soit le cas)
Le fait d'avoir deux mots de passe est donc purement "graphique" certes, mais au moins ça marcherait, il y aurait bien deux mots de passe potentiellement court (et donc simple a retenir) et on les distingueraient bien, deux pass qui vont de paire mais différent formant ainsi comme un seul et long mot de passe (plus sécurisé donc).

[Sephi-Chan]

Comme tu le dit, les non-initiés ne sont pas forcément sensible à la sécurité.
Si tu veux vraiment sécuriser, il faut leur faire mémoriser une phrase de passe (avec sa ponctuation, ses majuscules, etc.).

[Argorate]

Oui sauf qu'ils ne le feront pas... alors que si tu as deux champs a remplir sur leur page de login d'accès a leur compte bancaire par exemple, ils y seront obligé (même s'il trouve ça chiant), alors qu'en leur laissant le choix (1 mdp), ils ne font pas ce qu'il faut.

[Sephi-Chan]

Je pense que ce n'est pas la bonne façon d'éduquer les gens. Ils mettront probablement le même mot de passe. Et si tu les forces à en utiliser un différent, ils utiliseront le même à un caractère près.

Bref, à mon sens ce n'est pas viable car ça agace et frustre l'utilisateur sans rien lui apporter.

D'un autre côté, les sites de banques ne donnent pas toujours le bon exemple. Chez le Crédit Mutuel, le mot de passe ne peut excéder 8 caractère… -_- Et parfois on t'interdit même certains caractères ! Pourtant, un petit caractère UTF-8, ça sécurise bien.

[Ter Rowan]

Perso lorsqu on me force des mdp compliqués sur des sites sans info critique, je me barre, ça va pas plus loin

[Argorate]

Vous êtes sur de bien lire mes messages les gars? :p

Je pense que ce n'est pas la bonne façon d'éduquer les gens. Ils mettront probablement le même mot de passe. Et si tu les forces à en utiliser un différent, ils utiliseront le même à un caractère près.

Bref, à mon sens ce n'est pas viable car ça agace et frustre l'utilisateur sans rien lui apporter.

Ensuite pour le cas du "ils vont mettre le même", il suffit de l’interdire en le vérifiant (et pas juste un "==", on peut faire une comparaison pour voir la similarité des mots de passe, pour pas que ce soit "toto" et "toto2", c'est facile a faire).

Donc avec cette interdiction combiner a une taille minimal exigé, le fait de mettre deux mots de passe doublerait donc la taille de tout les mots de passe de tout le monde, alors qu’espèrer que les gens vont mettre un mot de passe long est juste illusoire.

Perso lorsqu on me force des mdp compliqués sur des sites sans info critique, je me barre, ça va pas plus loin

Bonjour,

il m'est venu une idée en tête récemment, toute bête et j'avais envie d'en parler, concernant la sécurité dans les accès aux données sensible.

^^

[Xenos]

Une bonne grosse bannière, une fois connectée, marqué "Votre mot de passe est faible... Si vous vous faites voler votre compte, on vous aura prévenu" aura plus d'impact qu'un double mot de passe (en plus, l'utilisateur est déjà inscrit, donc laisser tomber, ca l'embêtera car il se sera inscrit pour rien, ducoup, il y a de grandes chances qu'il édite son mdp pour en mettre un plus complexe).

Et ne te sens pas... "pas lu", Argorate, je suis d'accord avec les deux points soulignés (enfin, en gras).
Mais quand on se connecte... Il faut 2 mot de passes à rentrer... Et là, ca risque de gonfler un peu les gens...

Ou alors, il faut mixer les deux: ne mettre qu'un mot de passe pour une grande partie du site, et ne mettre le 2nd mot de passe que pour la partie "sensible".
Après, faut pas non plus oublier que, probablement, 99% des gens utilisent le gestionnaire de mot de passe de leur navigateur, donc, s'il y a deux mots de passe ou un seul, cela ne changera pas grand chose si l'utilisateur a stocké ces mot de passes sur son PC (et que le "pirate" lui pique son PC avec ou sans son accord).