2013-09-29
06:29 Closed ticket [ed4bafe230]: Ne JAMAIS suggérer de mots de passe issus d'un dictionnaire plus 5 other changes artifact: 69ed10c9a7 user: bohwaz
2013-09-28
22:39 New ticket [ed4bafe230]. artifact: bc5e751a0b user: Skippy

Ticket Hash: ed4bafe23089d5c5eac89a5504d44eb34a6fd757
Title: Ne JAMAIS suggérer de mots de passe issus d'un dictionnaire
Status: Closed Type: Code_Defect
Severity: Important Priority: Immediate
Subsystem: Resolution: Works_As_Designed
Last Modified: 2013-09-29 06:29:39
Version Found In:
User Comments:

Skippy added on 2013-09-28 20:39:50:

Bonjour,

On vient d'installer garradin pour une association, ce n'est pas moi qui gère ça donc je n'ai pas grand-chose à en dire, si ce n'est un détail qui m'a fait tiquer : la suggestion de mot de passe.

Sur le principe pourquoi pas, d'ailleurs d'autres logiciels le font, mais la mise en œuvre actuelle est plus nocive qu'utile puisque les mots sont issus d'un simple dictionnaire de français (pire, à partir de 4 caractères seulement !!!), et donc à la merci du premier venu. Quitte à ce que l'utilisateur choisisse un mot de passe non sécurisé, autant lui en laisser l'entière responsabilité.

Il serait infiniment plus sûr de suggérer des mots de passe constitués de caractères (lettres + chiffres + caractères spéciaux) tirés aléatoirement. C'est pas compliqué à coder et en plus ça prend moins de place qu'un dictionnaire. Accessoirement, un seuil minimum de 8 caractères ne serait pas du luxe.

bohwaz added on 2013-09-29 04:29:39:

Hello,

Tu ne connais visiblement pas https://xkcd.com/936/ ni https://en.wikipedia.org/wiki/Diceware

Le principe est que 4 mots choisis au hasard dans un dictionnaire de 2000 mots forment un mot de passe plus fort qu'un mot de passe de 8, 10 ou 12 caractères avec des lettres, chiffres et caractères spéciaux. De plus il sera plus facile à retenir.

Par exemple là Garradin me suggère "déchirer falloir douloureux terrestre" qui offre 221.9 bits d'entropie alors qu'un mot de passe classique comme par exemple "iefo^oge9EiR" (généré au hasard) n'offre que 58 bits d'entropie.

Sur Garradin les mots sont choisis dans un dictionnaire de 4096 mots, soit 4^4096 = 1.0907481E2466 possibilités. Si on générait un mot de passe de 12 caractères basé sur 26 lettres minuscules, 26 lettres majuscules, 10 chiffres et 10 caractères spéciaux, soit 82 caractères cela ne fait que 12^82 donc 3.110729E88 possibilités. Il serait donc quasi impossible de calculer/brute-forcer un mot de passe à 4 mots de Garradin.

Donc ce que tu suggère serait bien moins sécurisé que ce que Garradin implémente et bien plus complexe à retenir/utiliser par les utilisateurs.