La Californie veut bannir les mots de passe les plus triviaux, Réactions à la publication du 20/09/2018

[iAPX]

C'est un très bon pas en avant pour protéger les gens, les constructeurs ou ceux diffusant du matériel OEM après branding devront s'adapter et forcément ils appliqueront à terme sur tous les marchés, exactement comme les lois Californiennes des années 80 ont redéfini de-facto les normes de pollution automobile aux États-Unis.

[roseau]

Le problème c'est que plus on sécurise les mots de passe et qu'on demande aux utilisateurs de faire des efforts surhumains pour se souvenir de mdp compliqués et de les changer régulièrement, plus on augmente les risques que soit l'utilisateur oublie ou perde le mdp en question, soit qu'il le note quelque part (en général sur un post-it collé sous le clavier). Font chier ces pirates.

je travaille dans une entreprise disposant de pléthore de serveur SAp et d'outilS à mdp non unifié changeant régulièrement, j'ai une mémoire d'éléphant mais pas pour me rappeler les n mdp à 8 caractères cabalistiques bref c'est dans un cahier sur mon bureau, à une page quelconque mais la sécurité n'y est plus je vois souvent des utilisateur qui ont leur mdp sur le bord de leur écran bien visible.
A mon avis trop de sécurité tue la sécurité

ceci étant le SSO arrive, avec connexion avec le badge c'est vraiment pratique

Ce message a été modifié par roseau - 20 Sep 2018, 15:40.

[mouillette]

Elle fera certainement référence dans le monde et d'ici 2020 il ne sera probablement plus possible de sacrifier sa sécurité au nom de son confort, ce qui est devenu dans tous les cas une aberration

Lien vers le billet original

Je me demande qui sacrifie mon confort et à quel niveau s'en est une aberration ...

[kwak-kwak]

Elle fera certainement référence dans le monde et d'ici 2020 il ne sera probablement plus possible de sacrifier sa sécurité au nom de son confort, ce qui est devenu dans tous les cas une aberration.

Ah bon? Il me semble que c'est pourtant tout à fait la nature humaine que d'échanger de la sécurité contre du confort!
Voyages en voiture et en avion plutôt que marche à pieds, numérisation de nos vies pour en faciliter le stockage et accélérer la recherche quitte à tout perdre sur un crash de DD, prise de médicaments "de confort" avec des effets secondaires non-nuls...

On fait ce compromis en permanence Légiférer, pourquoi pas, mais sans oublier que ce ne sera pas une loi "de bon sens contre les étourdis", mais bien contre une tendance humaine fondamentale!

- L'avion est plus sécuritaire que la voiture qui est plus sécuritaire que la marche à pied.
- Le stockage numérique (quand il est fait dans les règles : 3 copies sur 3 support différents dont au moins 1 sur un lieu géographique distant ) est bien plus sécuritaire que le stockage papier.
- Les médicaments "de confort" évitent un stress et un handicap inutile lui aussi très délétère pour la santé

La société actuelle n'a jamais été aussi sécuritaire, où voulez-vous en venir ?

[rimshot]

Elle fera certainement référence dans le monde et d'ici 2020 il ne sera probablement plus possible de sacrifier sa sécurité au nom de son confort, ce qui est devenu dans tous les cas une aberration.

Ah bon? Il me semble que c'est pourtant tout à fait la nature humaine que d'échanger de la sécurité contre du confort!
Voyages en voiture et en avion plutôt que marche à pieds, numérisation de nos vies pour en faciliter le stockage et accélérer la recherche quitte à tout perdre sur un crash de DD, prise de médicaments "de confort" avec des effets secondaires non-nuls...

On fait ce compromis en permanence Légiférer, pourquoi pas, mais sans oublier que ce ne sera pas une loi "de bon sens contre les étourdis", mais bien contre une tendance humaine fondamentale!

- L'avion est plus sécuritaire que la voiture qui est plus sécuritaire que la marche à pied.
- Le stockage numérique (quand il est fait dans les règles : 3 copies sur 3 support différents dont au moins 1 sur un lieu géographique distant ) est bien plus sécuritaire que le stockage papier.
- Les médicaments "de confort" évitent un stress et un handicap inutile lui aussi très délétère pour la santé

La société actuelle n'a jamais été aussi sécuritaire, où voulez-vous en venir ?

nul part, mais c'était bien drôle a lire tellement c'était vide de sens...

[malloc]

Elle fera certainement référence dans le monde et d'ici 2020 il ne sera probablement plus possible de sacrifier sa sécurité au nom de son confort, ce qui est devenu dans tous les cas une aberration.

Ah bon? Il me semble que c'est pourtant tout à fait la nature humaine que d'échanger de la sécurité contre du confort!
Voyages en voiture et en avion plutôt que marche à pieds, numérisation de nos vies pour en faciliter le stockage et accélérer la recherche quitte à tout perdre sur un crash de DD, prise de médicaments "de confort" avec des effets secondaires non-nuls...

On fait ce compromis en permanence Légiférer, pourquoi pas, mais sans oublier que ce ne sera pas une loi "de bon sens contre les étourdis", mais bien contre une tendance humaine fondamentale!

- L'avion est plus sécuritaire que la voiture qui est plus sécuritaire que la marche à pied.
- Le stockage numérique (quand il est fait dans les règles : 3 copies sur 3 support différents dont au moins 1 sur un lieu géographique distant ) est bien plus sécuritaire que le stockage papier.
- Les médicaments "de confort" évitent un stress et un handicap inutile lui aussi très délétère pour la santé

La société actuelle n'a jamais été aussi sécuritaire, où voulez-vous en venir ?

- Les pionniers de l'aviation (j'aurais dû préciser) ont connu des crash. Ceux qui montaient dans les premiers avions ne sont pas tous redescendus vivants! L'exemple n'était pas le plus heureux, je le remplace par l'analogie: prendre le 2-roues pour aller chercher le pain plutôt que marcher
- L'écrasante majorité des particuliers ne stocke pas dans les règles. Les news incessantes sur MB le répètent assez. Dans mon entourage, la plupart des gens ont déjà perdu (certains même plusieurs fois) toutes leurs photos de vacance suite à un crash de HDD.
D'autres, plus rares, ont perdu des boîtes à chaussure remplies de diapo, des albums, dans des déménagements, oui... mais je ne connais personne qui ait perdu TOUTES ses photos physiques sur un seul événement.
- Votre 3ème point illustre parfaitement mon propos, merci. Les médicaments de confort apportent certains avantages, donc ils sont utiles. MAIS ils ont des risques d'effets secondaires.

... et on peut en trouver d'autres à la pelle. Rester confortablement toute la journée sur un canapé plutôt que de se bouger est TRES risqué pour la santé.

Toutes les actions humaines ont une part de risque, même si elles améliorent notre confort!
Je vous rejoins sur le fait que la société évolue dans une phase de plus en plus réticente au risque. On place les curseurs bien plus prudemment aujourd'hui qu'il y a 50 ans sur un tas de sujet (accidents de la route, sécurité des enfants, etc).

Mais dire que "sacrifier sa sécurité au nom de son confort, [est] devenu dans tous les cas une aberration." est curieux. Parce que c'est ce que l'on fait en permanence dans nos choix quotidiens.

Et je me suis permis de le relever (même si c'est très annexe au sujet) parce que ça participe au discours du moment qui est qu'il existe de "bonnes" pratiques de confort qui n'amènent aucun risque.
Eh bien non, même si comme vous le dites nous sommes plus sécuritaires que jamais, le Risque Zero n'existe pas.

Reprenons votre exemple de la sauvegarde de données.
Outre le fait qu'en pratique, personne ne fait de sauvegardes triples (et court donc un grand risque de perte intégrale de données), même la triple redondance ne met pas le risque de crash à zéro. Il devient très faible, certes, mais pas zéro.

Quand vous décidez de votre politique de sauvegarde numérique individuelle, vous avez le choix entre plein d'options qui vont de l'absence totale (très dangereuse, très pratique et confortable) à la paranoïa aigüe (plus sécurisée même si jamais à 100%, mais inconfortable). Et vous avez en plus la certitude que vos données ne seront plus lisibles à long terme contrairement à de la pierre taillée.

TL;DR Le risque zéro n'existe pas. Chaque action, y compris celles qui améliorent notre confort, présente un risque. Nous faisons des comparaisons bénéfice/risque TOUS LES JOURS même inconsciemment. Il n'y a donc rien d'aberrant là dedans, contrairement à ce qui conclue la news.

Ce message a été modifié par malloc - 21 Sep 2018, 06:45.

[Licorne31]

Attention, il ne s'agit à priori pas d'obliger les utilisateurs à mettre des mots de passe compliqués, mais juste d'interdire aux constructeurs de mettre un mot de passe par défaut commun à tous les appareils (même s'il est très complexe) sans obliger l'utilisateur à le changer.

Les constructeurs devront soit :
* mettre un mot de passe unique propre à chaque appareil (ce que font déjà certains constructeurs, par exemple les derniers répéteurs Wi-Fi que j'ai achetés avaient chacun un mot de passe différent),
* imposer à l'utilisateur de définir un mot de passe lors de la première utilisation (et là l'article ne parle pas d'interdire à l'utilisateur de mettre un mot de passe faible).

Bref, le but est juste d'éviter que des centaines de milliers d'appareils connectés soient exposés parce que l'utilisateur n'a pas changé le mot de passe par défaut.

Cf le texte de la loi:

(a) A manufacturer of a connected device shall equip the device with a reasonable security feature or features that are all of the following:
[...]
(b ) Subject to all of the requirements of subdivision (a), if a connected device is equipped with a means for authentication outside a local area network, it shall be deemed a reasonable security feature under subdivision (a) if either of the following requirements are met:
(1) The preprogrammed password is unique to each device manufactured.
(2) The device contains a security feature that requires a user to generate a new means of authentication before access is granted to the device for the first time.

Donc, quand on achètera, par exemple, un routeur Ethernet d'occasion, on devra demander le MdP courant et le MdP par défaut au vendeur (qui ne le connaitra pas parce que ce n'était pas l'utilisateur, ou qui l'aura oublié depuis le temps qu'il ne l'utilise plus, ou qui balancera portnawak pour ne pas louper la vente), sous peine de se retrouver avec une brique?
L'intérêt du constructeur est évident : tuer le marché de l'occasion!
Deux appareils d'occasion vendus en moins = un appareil neuf vendu en plus!

Et tout ça sans plus de sécurité pour l'utilisateur...
Tout ce qui est connecté est tellement "passoire" sur le plan de la sécurité qu'obliger l'utilisateur à boucher le petit trou du mot de passe ne sert à rien tant qu'on ne force pas le fabriquant à boucher les cratères béants des softs codés avec les pieds!

[Docmib]

Ha ha ha ! Y'a qu'en France qu'on peut mettre azerty... dans le reste du monde c'est plus du qwerty ou qwertz !!!

Je me suis adapté à mon lectorat.

Oui je me suis bien douté Travaillant pour des organisme internationaux j'ai rarement affaire aux claviers azerty c'est pour ca que ca m'a bien fait rigoler de penser qu'en Californie ils s'inquiètaient de ce genre de mot de passe.

[johnstone]

Le problème c'est que plus on sécurise les mots de passe et qu'on demande aux utilisateurs de faire des efforts surhumains pour se souvenir de mdp compliqués et de les changer régulièrement, plus on augmente les risques que soit l'utilisateur oublie ou perde le mdp en question, soit qu'il le note quelque part (en général sur un post-it collé sous le clavier). Font chier ces pirates.

je travaille dans une entreprise disposant de pléthore de serveur SAp et d'outilS à mdp non unifié changeant régulièrement, j'ai une mémoire d'éléphant mais pas pour me rappeler les n mdp à 8 caractères cabalistiques bref c'est dans un cahier sur mon bureau, à une page quelconque mais la sécurité n'y est plus je vois souvent des utilisateur qui ont leur mdp sur le bord de leur écran bien visible.
A mon avis trop de sécurité tue la sécurité

ceci étant le SSO arrive, avec connexion avec le badge c'est vraiment pratique

Dans ce cadre là, c'est une faute professionnelle grave, surtout si la politique de sécurité de ton entreprise (et de ses clients) le banni (par exemple dans le cadre SSAE/ISAE) Tu devrais faire attention à toi et changer tes habitudes

Le SSO avec carte PKI est effectivement la solution la plus efficace aujourd'hui. Cela fait plus de 20 ans que cela existe...

[Licorne31]

je travaille dans une entreprise disposant de pléthore de serveur SAp et d'outilS à mdp non unifié changeant régulièrement, j'ai une mémoire d'éléphant mais pas pour me rappeler les n mdp à 8 caractères cabalistiques bref c'est dans un cahier sur mon bureau, à une page quelconque mais la sécurité n'y est plus je vois souvent des utilisateur qui ont leur mdp sur le bord de leur écran bien visible.
A mon avis trop de sécurité tue la sécurité

ceci étant le SSO arrive, avec connexion avec le badge c'est vraiment pratique

Dans ce cadre là, c'est une faute professionnelle grave, surtout si la politique de sécurité de ton entreprise (et de ses clients) le banni (par exemple dans le cadre SSAE/ISAE) Tu devrais faire attention à toi et changer tes habitudes

Le SSO avec carte PKI est effectivement la solution la plus efficace aujourd'hui. Cela fait plus de 20 ans que cela existe...

Exact, par contre, il ne dit pas s'il les note "en clair" et de manière évidente, ou de manière plus ou moins cryptée (stéganographie, codage par rotation alphabétique ou par position sur le clavier, etc...) auquel cas, je ne suis pas sûr qu'il risque grand chose.

[iAPX]

je travaille dans une entreprise disposant de pléthore de serveur SAp et d'outilS à mdp non unifié changeant régulièrement, j'ai une mémoire d'éléphant mais pas pour me rappeler les n mdp à 8 caractères cabalistiques bref c'est dans un cahier sur mon bureau, à une page quelconque mais la sécurité n'y est plus je vois souvent des utilisateur qui ont leur mdp sur le bord de leur écran bien visible.
A mon avis trop de sécurité tue la sécurité

ceci étant le SSO arrive, avec connexion avec le badge c'est vraiment pratique

Dans ce cadre là, c'est une faute professionnelle grave, surtout si la politique de sécurité de ton entreprise (et de ses clients) le banni (par exemple dans le cadre SSAE/ISAE) Tu devrais faire attention à toi et changer tes habitudes

Le SSO avec carte PKI est effectivement la solution la plus efficace aujourd'hui. Cela fait plus de 20 ans que cela existe...

Exact, par contre, il ne dit pas s'il les note "en clair" et de manière évidente, ou de manière plus ou moins cryptée (stéganographie, codage par rotation alphabétique ou par position sur le clavier, etc...) auquel cas, je ne suis pas sûr qu'il risque grand chose.

Oui mais on est en 2018, les gestionnaires de mots-de-passe existent et fonctionnent très bien pour la plupart et je recommande leur usage, de préférence localement car certains ne sont visiblement pas sécuritaires quand partagés en ligne entre plusieurs ordinateurs/smartphone (hackés d'une façon ou d'une autre dans ce cas d'usage).
Et leur génération locale de mot-de-passe aléatoires est un outil fantastique pour sortir l'humain, le clavier et les doigts de l'équation

Je recommande aussi le chiffrement complet du stockage avec FileVault 2, qui est excellent, et qui -pour moi- devrait être activé par défaut sur nos Mac comme il l'est sur un iPhone!

On peut aller plus loin, beaucoup plus loin, mais avec juste ces deux mesures combinées on a normalement monté de deux crans le niveau de sécurité local et en-ligne, incluant le vol/perte de son ordinateur.