La Californie veut bannir les mots de passe les plus triviaux, Réactions à la publication du 20/09/2018

[Lionel]

Chaque étude réalisée montre que malgré les attaques de plus en plus incessantes, les mots de passes les plus simples du genre 111111, 000000, ou encore azerty ont encore la vie dure.
Certes, les fabricants d'appareils électroniques incitent de plus en plus souvent leurs utilisateurs à mettre en place des mots de passe "forts", mais ce n'est souvent qu'une incitation.
Des législateurs de Californie songent à faire passer un texte de loi qui obligera les fabricants à bannir les mots de passe trop simples ou trop faciles à deviner.

Elle fera certainement référence dans le monde et d'ici 2020 il ne sera probablement plus possible de sacrifier sa sécurité au nom de son confort, ce qui est devenu dans tous les cas une aberration.

Lien vers le billet original

[iAPX]

À ce sujet les spécifications du NIST aux USA (National Institute of Standards and Technology) pour les mots-de-passe mémorisés oblige déjà les organismes gouvernementaux à avoir un dictionnaire des mots-de-passe interdits (des mots-de-passe usuels ou des partis de passes interdits), ce qui est une très bonne pratique, outre les systèmes cryptographiques proposés pour les mots-de-passe ont du sens, sans être parfaits.

Les recommandations du NIST pour les systèmes gouvernementaux et les mots-de-passe mémorisés devrait être la base pour la sécurité de tout site.

[LordJohnWhorfin]

Le problème c'est que plus on sécurise les mots de passe et qu'on demande aux utilisateurs de faire des efforts surhumains pour se souvenir de mdp compliqués et de les changer régulièrement, plus on augmente les risques que soit l'utilisateur oublie ou perde le mdp en question, soit qu'il le note quelque part (en général sur un post-it collé sous le clavier). Font chier ces pirates.

[claps]

'azerty' en Californie ce serait amusant !

[malloc]

Elle fera certainement référence dans le monde et d'ici 2020 il ne sera probablement plus possible de sacrifier sa sécurité au nom de son confort, ce qui est devenu dans tous les cas une aberration.

Ah bon? Il me semble que c'est pourtant tout à fait la nature humaine que d'échanger de la sécurité contre du confort!
Prendre un 2-roues pour aller chercher le pain plutôt que marcher à pieds, numérisation de nos vies pour en faciliter le stockage et accélérer la recherche quitte à tout perdre sur un crash de DD, prise de médicaments "de confort" avec des effets secondaires non-nuls...

On fait ce compromis en permanence Légiférer, pourquoi pas, mais sans oublier que ce ne sera pas une loi "de bon sens contre les étourdis", mais bien contre une tendance humaine fondamentale!

Edit: revu les exemples suites aux remarques de kwak-kwak

Ce message a été modifié par malloc - 21 Sep 2018, 06:12.

[Baradal]

Le problème c'est que plus on sécurise les mots de passe et qu'on demande aux utilisateurs de faire des efforts surhumains pour se souvenir de mdp compliqués et de les changer régulièrement, plus on augmente les risques que soit l'utilisateur oublie ou perde le mdp en question, soit qu'il le note quelque part (en général sur un post-it collé sous le clavier). Font chier ces pirates.

C’est vrai. Mais pour ma part j’ai fait il y a quelques mois une refonte complète de pes mdp. 1 par compte. Caractères alphanumérique avant majuscules et minuscules et caractères spéciaux. Via un simple générateur de mdp. Souvent 8 à 12 caractères. Tout ça stocké dans un tableau Numers lui même stocké dans un dmg chiffré en AES 256 bits (le plus fort proposé par l’UDD). C’est le seul moyen que j’ai trouvé simple et relativement fiable de m’en souvenir sans trace papiee et tout en protégeant cette liste. Ça fait 10 ans que je fonctionne comme ça et ça me convient.

[Tom25]

Et pourquoi interdire ? Qu'un petit dessin du genre d'une barre de progression de couleur comme on en voit parfois indiquant la "note Fort" de notre mot de passe soit obligatoire, pourquoi pas. Mais bannir les mots de passe jugés simple ??? Pour les ordis commandant les trucs sensibles oui, mais pour l'ordi de Mme Michu ?


Edit : Baradal, je fais comme toi depuis aussi longtemps.

Ce message a été modifié par Tom25 - 20 Sep 2018, 07:17.

[Licorne31]

À ce sujet les spécifications du NIST aux USA (National Institute of Standards and Technology) pour les mots-de-passe mémorisés oblige déjà les organismes gouvernementaux à avoir un dictionnaire des mots-de-passe interdits (des mots-de-passe usuels ou des partis de passes interdits), ce qui est une très bonne pratique, outre les systèmes cryptographiques proposés pour les mots-de-passe ont du sens, sans être parfaits.

Les recommandations du NIST pour les systèmes gouvernementaux et les mots-de-passe mémorisés devrait être la base pour la sécurité de tout site.

[Docmib]

Ha ha ha ! Y'a qu'en France qu'on peut mettre azerty... dans le reste du monde c'est plus du qwerty ou qwertz !!!

[shawnscott]

Ha ha ha ! Y'a qu'en France qu'on peut mettre azerty... dans le reste du monde c'est plus du qwerty ou qwertz !!!

Nous utilisons aussi les claviers azerty en Belgique. Qwertz est utilisé dans les pays germanophones.

[_Panta]

Ha ha ha ! Y'a qu'en France qu'on peut mettre azerty... dans le reste du monde c'est plus du qwerty ou qwertz !!!

Ca tombe bien, MB est un site français avec un public à prédominance française (si j'oublie les quebecois et l'Afrique francophone, je vais me faire souffler dessus)

[renan35]

Le problème c'est que plus on sécurise les mots de passe et qu'on demande aux utilisateurs de faire des efforts surhumains pour se souvenir de mdp compliqués et de les changer régulièrement, plus on augmente les risques que soit l'utilisateur oublie ou perde le mdp en question, soit qu'il le note quelque part (en général sur un post-it collé sous le clavier). Font chier ces pirates.

... le risque est qu'à avoir des mots de passe complexes, on est obligé d'utiliser le même pour beaucoup de sites pour le retenir facilement.

[sinbad21]

Le gestionnaire de mots de passe de macOS/Safari/iOS avec le trousseau dans le Cloud est vraiment pratique, on attribue un mot de passe différent à chaque site web visité et on n'a pas besoin de s'en souvenir, que ce soit sur Mac ou sur iOS.

[Lionel]

Ha ha ha ! Y'a qu'en France qu'on peut mettre azerty... dans le reste du monde c'est plus du qwerty ou qwertz !!!

Je me suis adapté à mon lectorat.

[ericb2]

Comment qualifie-t-on un pays dans lequel on pense pour les autres déjà ?

[yponomeute]

[DefKing]

Quand on sait que le mot de passe de l'Iphone c'est 6 chiffres et celui de la carte SIM, 4 chiffres... Déjà que je ne sais jamais où j'ai noté cette p... de numéro de SIM à chaque mise à jour de l'iPhone.
Quant au code de la carte bancaire... 5 chiffres.

J'entendais à l'instant à la radio que malgré'absence du code envoyé par téléphone, un paiement en ligne par CB a quand même été effectué.

Quand j'aurai un mon mot de passe de 256 caractères alphanumériquesignesbizaroïdes généré par Generate, je vais le stocker dans mon iMac pour ne pas avoir à le retaper. Bref, va falloir trouver autre chose.

Ce message a été modifié par DefKing - 20 Sep 2018, 09:40.

[ekami]

- Pour que cette loi fonctionne, elle devra cibler en priorité les milliers d'entreprises de la Silicon Valley qui permettent la création de comptes numériques via leurs sites respectifs, qui devront ensuite relayer les contraintes techniques aux utilisateurs.
- Apple n'a toujours pas fusionné les comptes Apple Store et les comptes iCloud/App Store/iTunes Store. Je peux comprendre que pour des raisons de sécurité il soit préférable de séparer les achats couteux des plus faibles, mais c'est toujours perturbateur quand on passe d'un store à l'autre.
- L'utilisation du mot de passe iCloud comme mot de passe admin du Mac est une bonne chose, sauf quand on change ce foutu MDP iCloud et que du coup le MDP du Mac change par la même occasion.
- J'avais synchronisé mon trousseau sur iCloud en pensant naïvement que je pourrais retrouver si besoin mes MDP sur www.icloud.com mais ce n'est pas le cas, ce qui est bien compréhensible pour des questions de sécurité.
- Dommage, il n'y a donc pas de solution simple pour pouvoir accéder à tous ses MDP facilement depuis n'importe quel terminal connecté à internet (sauf peut-être à passer par une application tierce genre 1Password (mais je refuse toute surchouche et autre "tiers de confiance" concernant mes MDP)).
C'est peut-être mieux ainsi, qui sait ?

Ce message a été modifié par ekami - 20 Sep 2018, 10:14.

[malloc]

snip

tellement vrai

[STRyk]

Quand je vois encore dans nos entreprises que certains affichent leur mot de passe sur une post it sur l'ecran...
Ou encore mieux : tout le monde les connait car "on ne sait jamais si quelqu'un s'absente"

[Cekter]

Quand je vois encore dans nos entreprises que certains affichent leur mot de passe sur une post it sur l'ecran...
Ou encore mieux : tout le monde les connait car "on ne sait jamais si quelqu'un s'absente"

+1

J'ai vécu ça à l'hopital où je demandais (faussement naïvement) pourquoi les mots de passe permettant d'accéder à l'appli des dossiers patients était joliement mise sur un post-it à coté du poste principal (avec marqué dessus : mot de passe souligné 3 fois histoire qu'on ne se trompe pas sur la nature du post-it) et surtout, si c'était pour le noter sur un post-it collé sur l'écran, pourquoi avoir fait aussi compliqué (un mdp à 12 caractères quand même !). Réponde : "ah ben oui mais on a pas mal de personnel qui va et qui vient donc si on doit leur donner le mot de passe à chaque fois, on s'en sort plus."

Donc rassurez vous bonnes gens, vos dossiers médicaux sont entre de bonnes mains.

Ce message a été modifié par Cekter - 20 Sep 2018, 11:07.

[Sardequin]

[yponomeute]

"ah ben oui mais on a pas mal de personnel qui va et qui vient donc si on doit leur donner le mot de passe à chaque fois, on s'en sort plus."

C'est une situation où l'accès protégé par mot de passe n'est pas une solution viable. Ils ont donc mis en place une solution de contournement parce que le système est mal conçu à la base.

[iAPX]

"ah ben oui mais on a pas mal de personnel qui va et qui vient donc si on doit leur donner le mot de passe à chaque fois, on s'en sort plus."

C'est une situation où l'accès protégé par mot de passe n'est pas une solution viable. Ils ont donc mis en place une solution de contournement parce que le système est mal conçu à la base.

Exactement, le type de cas où je conseillerais un Token physique, mais quand-même d'en avoir un par personne pour avoir du suivi et pouvoir les révoquer en cas de perte/vol/etc sans interrompre le service.

[ekami]

"ah ben oui mais on a pas mal de personnel qui va et qui vient donc si on doit leur donner le mot de passe à chaque fois, on s'en sort plus."

C'est une situation où l'accès protégé par mot de passe n'est pas une solution viable. Ils ont donc mis en place une solution de contournement parce que le système est mal conçu à la base.

J'ai travaillé comme professionnel de santé durant 30 ans.
Quand tu as des intérimaires qui viennent bosser un à 7 jours jours (et ce, durant des années !), la direction ne se prend pas la tête à mettre en place un système complexe de scannage biométrique et de lecteur biométrique sur chaque ordinateur. On utilise donc un bon vieux MDP classique pour accéder aux logiciels de bases de données (locales ou sur le web).
Seule la psychiatrie fermée impose des scanners biométriques (de la main entière), essentiellement pour l'ouverture des portes de l'établissement, mais pas pour l'accès aux ordinateurs.

Ce message a été modifié par ekami - 20 Sep 2018, 12:14.

[iAPX]

...
Seule la psychiatrie fermée impose des scanners biométriques (de la main entière), essentiellement pour l'ouverture des portes de l'établissement, mais pas pour l'accès aux ordinateurs.

Je me demandais où on c'était croisé

C'est quand-même un constat attristant en terme de sécurité pour des données extrêmement sensibles!

[Cekter]

C'est affligeant oui !

Surtout qu'en plus maintenant tout ces dossiers sont bien sûr en intra ET extranet (ça existe comme mot ça ?) pour que les medecins puissent consulter de chez eux. Avec des mots de passe sur un post-it dans le poste de soin accessible à tous. La fête du slip.

petit rajout :

Ce n'est pas tellement mon domaine de compétences, mais on pourrait pas imaginer une simple puce rfid sur un badge par exemple ? Avec un simple reset du mdp entre chaque passage d'intérimaires ?



Ce message a été modifié par Cekter - 20 Sep 2018, 13:03.

[Patounet1]

Bonjour,
Je distinguerais deux situations :
°°°Professionnelle : oui il est normal de demander un effort pour sécuriser les mots de passes.
°°°Personnel : qu'on nous foute la paix ! À quoi ça sert, si pour s'en souvenir soit on utilise partout le même MdP, ou si on garde à portée de main, sur le bureau, un cahier avec tous les MdP ?
Je ne cesse pas de dire aux amis qui débutent, de noter leurs MdP, (souvent des personnes âgées, 78 ans, et qui n'avaient jamais eu d'ordinateur). Ils me proposent un MdP, mais il faut rajouter un chiffre, une majuscule, un signe, bref c'est impossible à retenir.
Déjà, dès que la présentation change, (Gmail par exemple), ils sont perdus, ils viennent me voir, je n'essaie pas de leur proposer un gestionnaire de MdP.
Pour leur sécurité je préfère qu'ils utilisent un MdP ≠ à chaque fois, même s'il est simple, et attirer leur attention sur les tentatives hameçonnage, qui me semble plus dangereuse.
Bref le mieux est l'ennemi du bien

[Baradal]

Le gestionnaire de mots de passe de macOS/Safari/iOS avec le trousseau dans le Cloud est vraiment pratique, on attribue un mot de passe différent à chaque site web visité et on n'a pas besoin de s'en souvenir, que ce soit sur Mac ou sur iOS.

Je préfère gérer mes mdp moi-même.

[SartMatt]

Attention, il ne s'agit à priori pas d'obliger les utilisateurs à mettre des mots de passe compliqués, mais juste d'interdire aux constructeurs de mettre un mot de passe par défaut commun à tous les appareils (même s'il est très complexe) sans obliger l'utilisateur à le changer.

Les constructeurs devront soit :
* mettre un mot de passe unique propre à chaque appareil (ce que font déjà certains constructeurs, par exemple les derniers répéteurs Wi-Fi que j'ai achetés avaient chacun un mot de passe différent),
* imposer à l'utilisateur de définir un mot de passe lors de la première utilisation (et là l'article ne parle pas d'interdire à l'utilisateur de mettre un mot de passe faible).

Bref, le but est juste d'éviter que des centaines de milliers d'appareils connectés soient exposés parce que l'utilisateur n'a pas changé le mot de passe par défaut.

Cf le texte de la loi:

(a) A manufacturer of a connected device shall equip the device with a reasonable security feature or features that are all of the following:
[...]
(b ) Subject to all of the requirements of subdivision (a), if a connected device is equipped with a means for authentication outside a local area network, it shall be deemed a reasonable security feature under subdivision (a) if either of the following requirements are met:
(1) The preprogrammed password is unique to each device manufactured.
(2) The device contains a security feature that requires a user to generate a new means of authentication before access is granted to the device for the first time.