Prendre un Café - Tag - security - Commentaires

Demander à restreindre les caractères utilisés dans les mots de passe est idiot - burningHat

burningHat — Fri, 06 Jun 2008 19:00:45 +0200

@Régis jte comprends bien mais jeter des pierres à un site web, ça risque de péter ton écran à la longue (désolé je sors).

@LordPhénix En quoi l'utilisation d'OpenID te dispense d'avoir un mot de passe solide et rend celui-ci obsolète ? à part si ton fournisseur d'OpenID propose de vraies solutions d'authentifications fortes (authentification multifacteurs comme par exemple un certificat SSL + un token, etc.) faudra bien le protéger avec un bon vieux mot de passe ton compte... Et celui-là a intérêt à être du genre bien fort !!! Qui plus est, encore faudrait-il qu'OpenID soit au moins 80x plus répandu sur le net que ça ne l'est actuellement... Ça reste très marginal encore de nos jours.

Demander à restreindre les caractères utilisés dans les mots de passe est idiot - Régis

Régis — Thu, 05 Jun 2008 22:04:33 +0200

En effet, combien de fois ca m'est arrivé... Delicious, par exemple, a de telles limitations et lors de la création de mon compte, j'ai voulu leur jeter des pierres

Demander à restreindre les caractères utilisés dans les mots de passe est idiot - annso

annso — Thu, 05 Jun 2008 15:49:18 +0200

je connais une BANQUE qui oblige a choisir un mot de passe de 6 à 8 chiffres... No comment!

Demander à restreindre les caractères utilisés dans les mots de passe est idiot - pixenjoy

pixenjoy — Thu, 05 Jun 2008 12:36:54 +0200

Il existe des fournisseurs d'OpenId comme Yahoo qui à mon avis ne sont pas prêt de fermer.

Cependant si des sociétés comme Yahoo s'intéressent à la fourniture d'OpenId c'est pour mieux suivre tes habitudes de navigation sur la toile. Le saint Graal pour les sociétés de marketing et pleins de $$$ pour Yahoo et autres fournisseurs.

Le mieux est d'être sont propre fournisseur avec un outil type phpMyID : http://siege.org/projects/phpMyID/

Demander à restreindre les caractères utilisés dans les mots de passe est idiot - NiKo

NiKo — Thu, 05 Jun 2008 12:35:01 +0200

LordPhoenix> De toute façon à l'authentification, ton provider OpenID te demande... un mot de passe. La vie est une tartine de merde.

Pierre> La spec OpenID te permet de définir ton propre site comme gateway, ce qui te permet de changer de fournisseur quand tu le souhaites de façon totalement transparente. Regarde la source de la page d'accueil de ce blog, par exemple

Demander à restreindre les caractères utilisés dans les mots de passe est idiot - Pierre

Pierre — Thu, 05 Jun 2008 11:12:37 +0200

Je n'avais jamais pensé à utiliser un passphrase au lieu d'un password... c'est pourtant une idée très simple, mais j'ai tellement été conditionné avec des mots de passe de moins de 8 caractères, sans espace, etc. que j'utilise des mots de passe mélangeant chiffres et lettre, et basta.

À propos d'OpenID, je ne sais toujours pas sur quel critère choisir le fournisseur d'OpenID... Si j'en choisis un qui disparaît au bout d'un an, comment je fais ?

Demander à restreindre les caractères utilisés dans les mots de passe est idiot - LordPhoenix

LordPhoenix — Wed, 04 Jun 2008 19:04:31 +0200

De toute façon utiliser des mot de passes est idiot. C'est complètement obsolète. Il faudrait plutôt utiliser des solutions comme OpenID : http://www.openid.net

Demander à restreindre les caractères utilisés dans les mots de passe est idiot - burningHat

burningHat — Wed, 04 Jun 2008 16:42:26 +0200

je plussoie, c'est totalement crétin mais tu sais quoi ? y a pire, y avait un site de mail gratuit qui n'autorisait que 4 à 8 CHIFFRES en guise de mot de passe... autant pas mettre de mot de passe quoi !

Demander à restreindre les caractères utilisés dans les mots de passe est idiot - Nimwendil

Nimwendil — Wed, 04 Jun 2008 14:26:35 +0200

Tiens, je me suis fait avoir aussi sur le même site... En tout cas, si je compare ce que tu dis avec ce que j'ai vu dans mon boulot, j'aurais bien une explication : la gestion des mots de passe est mal programmée, les gars savent pas échapper une chaîne de caractère correctement et ont peur que des caractères spéciaux viennent foutre le bronx... Au lieu de résoudre leur problème proprement, ils restreignent aux alphanums.
Tu me diras, une fonction de hash correcte s'en fout d'avoir un espace ou un ampersand... oui mais là ça suppose déjà qu'ils utilisent un hash et qu'ils stockent pas le mdp en clair en base. Ouais, j'ai vu ça dans mon boulot >_<

Demander à restreindre les caractères utilisés dans les mots de passe est idiot - giz404

giz404 — Wed, 04 Jun 2008 13:56:09 +0200

J'avais pour coutume de mettre des espaces dans mes mots de passe, j'ai fini par laisser tomber tant ça m'a agacé.
Le pire étant sur un site marchand, où après m'être inscrit, je n'arrivais pas à me connecter.
J'avais alors contacté le service technique, qui m'avait renvoyé mon mot de passe par mail. Et là, stupeur, leur système remplaçait tout simplement un espace par la chaîne [_ESPACE_] sans prévenir...
Il va sans dire que je n'ai jamais remis les pieds sur le site.

Demander à restreindre les caractères utilisés dans les mots de passe est idiot - Chty

Chty — Wed, 04 Jun 2008 13:54:36 +0200

Je ne peux qu'approuver ce billet tellement ca m'est arrive de nombreuses fois.

Demander à restreindre les caractères utilisés dans les mots de passe est idiot - NiKo

NiKo — Wed, 04 Jun 2008 13:53:50 +0200

David> Il s'agit de TinEye : http://tineye.com/ (en beta privée pour le moment)

C'est d'autant plus dommage que le service est intéressant.

Demander à restreindre les caractères utilisés dans les mots de passe est idiot - David, biologeek

David, biologeek — Wed, 04 Jun 2008 13:46:31 +0200

Tiens j'avais jamais eu ça, en effet c'est totalement crétin. Et comme le précise TheRec, une faille XSS ne devrait pas être possible.

C'était quel service que je ne l'utilise pas ?

Demander à restreindre les caractères utilisés dans les mots de passe est idiot - TheRec

TheRec — Wed, 04 Jun 2008 13:30:43 +0200

Très juste. D'ailleurs une faille XSS serait difficilement envisageable car un champ de mot de passe ne devrait jamais être en clair ou chiffré de manière réversible et encore moins être affiché où que ce soit en toute logique (à l'exception éventuellement d'un courriel de confirmation... et encore c'est risqué car on n'est pas assuré de la fiabilité de la protection mise en œuvre pour accéder à ce courriel).

Ces simples "consignes" de sécurité écartent toute éventualité de faille XSS sur le mot de passe et également de révéler un mot de passe à une autre personne que son "propriétaire", après il est de la responsabilité de l'utilisateur de se souvenir de cette information. Elle appartient à l'utilisateur seul (elle n'a aucune utilité, bienveillante en tout cas, à d'autres utilisateurs), s'il veut un nouveau mot de passe il est aisé de le réinitialiser avec un simple moyen de vérification d'identité plus ou moins fiable (Courriel, SecurID, etc.).