Renforcer définitivement la sécurité ?

[Argorate]

Bonjour,

il m'est venu une idée en tête récemment, toute bête et j'avais envie d'en parler, concernant la sécurité dans les accès aux données sensible.

Pourquoi ne pas demander deux mots de passe au lieu d'un (en plus d'un login)?

D’après le DCRI (Direction centrale du renseignement intérieur) il faut 50 heures pour cassé un code à 6 chiffres par exemple.

L'idée d'avoir deux mots de passe, même de 6 chiffres chacun augmente déjà énormément l’efficacité puisqu'il faut que les deux mots de passe soit valide en même temps et on ne peux pas les tester un par un.
(j'en profite d'ailleurs pour vous sensibilisez sur l'insécurité des smartphones pour ceux qui ne le saurais pas déjà: http://www.lepoint.fr/chroniqueurs-du-po...75_506.php )

Ce serait clairement très puissant contre les brutes force, d'autant plus que sur le net a la différence des code PIN, on est pas limité aux chiffres.

Du coup, c'est vrai que ça peut être "chiant" d'avoir deux mot de passes à retenir et à taper, mais qu'es-ce que c'est comparé à l’assurance de la sécurité de nos données?


Enfin voilà, petite réflexion qui m'est venu, a vous de me dire vos avis

[Sephi-Chan]

Qu'est-ce que tu inclus dans les données sensibles ?

[Amrac]

Comme du Sephi, ça dépend des données ...

Personnellement, je suis trop fainéant pour retenir deux mots de passe a moins d'avoir une excellente raison.

[Xenos]

Deux mots de passe de 6 chiffres ou 1 mot de passe de 12 chiffres auront exactement la même sécurité.
Deux mots de passe, s'ils sont au choix de l'utilisateur, déboucheront dans beaucoup de cas sur un mot de passe utilisé deux fois, ce qui donc ne sera pas plus sécurisé.
Il ne faut pas forcer les utilisateurs à retenir 2 mots de passe, car à mon avis, l'utilisateur va appliquer le principe de la poubelle et de la porte...
La porte symbolise une sécurité. On lui mets une super serrure, un ferme-porte au dessus, des gonds inviolables, et on laisse un panneau marqué "cette porte doit rester fermé". Deux jours après, on retrouve une poubelle calée en travers de la porte pour qu'elle arrête de se fermer quand les gens passent avec les bras chargés...

En théorie, l'internet et tous les réseaux sont déjà sécurisés, mais les 3/4 des failles viennent des utilisateurs (si ce n'est même 99%).

Aussi, très souvent, le mot de passe est stocké dans le navigateur, donc un double mot de passe ne changera rien si la personne laisse trainer son PC.

En conclusion, je pense que deux mots de passe ne sera clairement pas la solution (bien que je n'ai pas de solution en tête), car:
- Les deux mdp seront surement les mêmes si l'utilisateur les choisis
- C'est une sécurisation un peu exotique, mais pas assez pour que l'utilisateur "joue" le jeu, au sens propre du terme, c'est à dire qu'il va prendre ce double mot de passe comme une contrainte et la rejetter (alors que s'il l'avait prise comme un jeu, il aurait pu l'accepter)
- La sécurisation n'est pas meilleure que si on avait demandé un mot de passe 2 fois plus long ou bien plus complexe
- Cela requiert de stocker 2 mdp, chacun devant être stocké de façon sécurisé, autrement dit, cela double la quantité de "choses" à mettre dans une BDD sécurisé

Je vote donc non.

[keke]

(j'en profite d'ailleurs pour vous sensibilisez sur l'insécurité des smartphones pour ceux qui ne le saurais pas déjà: http://www.lepoint.fr/chroniqueurs-du-po...75_506.php)

Quote du site : "La page que vous recherchez n'existe pas"

[Sephi-Chan]

(j'en profite d'ailleurs pour vous sensibilisez sur l'insécurité des smartphones pour ceux qui ne le saurais pas déjà: http://www.lepoint.fr/chroniqueurs-du-po...75_506.php)

Quote du site : "La page que vous recherchez n'existe pas"

C'est parce qu'elle est super sécurisée. :p

[Roworll]

Plutôt que d'utiliser deux mots de passe, je pense qu'un système de lock est moins contraignant et bien plus efficace pour protéger un compte.

Le "Brute force" implique de multiples tentatives pour trouver le mot de passe.
Si au bout de trois essais infructueux le compte est verrouillé et considéré comme inaccessible t'as beau avoir toute la puissance que tu veux, jamais tu ne pourras réessayer de casser le mot de passe sans que le compte n'ai été débloqué au préalable.
Ce déblocage peut se faire simplement à la demande de l'utilisateur avec un mécanisme proche de la récupération de mot de passe (token/email/accusé de réception).

[php_addict]

trop chiant pour l'utilisateur...eventuellement pour ton interface d'admin...

[Argorate]

(j'en profite d'ailleurs pour vous sensibilisez sur l'insécurité des smartphones pour ceux qui ne le saurais pas déjà: http://www.lepoint.fr/chroniqueurs-du-po...75_506.php)

Quote du site : "La page que vous recherchez n'existe pas"

Alalala, pour des informaticiens, il vous en fait peu :p

il y a une parenthèse qui s'est glissé dans l'url (merci jeuweb ), je corrige ça
PS: si j'étais vilain je ferais un mega troll en citant ce qui est dit sur apple et sa "sécurité" :p


Sinon, je parlais de ça pour les site bancaire marchant, voir certains adresse mail de travail.

[BAK]

Je ne pense pas non plus que ce soit une bonne idée.

Les utilisateurs qui s’intéressent aux problématiques de sécurité ont déjà un mot de passe correct, tandis que les autres feront tout pour contourner le système (en mettant 2 fois le même mot de passe, par exemple)

Et cela ne résout que le problème du bruteforce. Ça n'empêche pas les mots de passe identiques sur tout les sites, le vol de mot de passe, ...

En plus de cela, on a d'autres solutions qui sont plus efficace pour contrer le bruteforce. La solution de Roworll en est un exemple.
On peut se contenter de définir un temps minimale en 2 tentatives, par exemple 1 seconde d'attente après plus de 3 essais.
Même des mots de passe de 3 caractères prennent alors des années à trouver.

Pour finir, aucun mot de passe n'est mieux qu'une passphrase.