Faut bien que les équipes sécurité informatique justifient leurs postes.
snksnksnk on
Aucune idée. Mais en tout cas, je préfère un truc qui me prévient, genre “mot de passe minable” / “mot de passe bof” / “mot de passe pas mal” / “mot de passe au top” qu’un truc aussi borné, paternaliste et casse-couilles que dans ton exemple à 10 critères là…
Rien ne vaut l’authentification multifacteur, type sms (de moins en moins conseillé tout de même) ou application tierce, voire l’authentification par Jeton.
Edit : des sites & services en ligne se font pirater tout les jours et ne proposent pas spécialement de MFA.
Je vous invite à vérifier si vos identifiants se baladent en ligne, via le site ci-dessous et à modifier vos mots de passe le cas échéant :
Non, probablement pas. C’est possible que c’est une risque de sécurité, par-ce que il faut changer le mot de passe trop fréquemment et c’est possible d’oublier le nouveau mot.
navetzz on
C’est le meilleur moyen pour forcer l’utilisateur à le noter sur un bout de papier, comme ça quand on parvient à entrer par infraction on est certain d’avoir accès à tout ce qu’on veut sans avoir besoin de forcer la salle serveur.
WillDabbler on
Je vous conseil tous d’utiliser un gestionnaire de mot de passe (bitwarden, lastpass, 1password, keepass et tant d’autres).
1. C’est safe
2. Chaque nouveau compte c’est un nouveau de mot de passe. Si ce service est compromis, pas de dommage collatéraux (normalement)
3. Créer un mot de passe se résume à cliquer sur “généré un mdp” sur une extension navigateur et c’est plié.
4. Ca saisie automatiquement les mdp dans les formulaire de connexion, donc gain de temps dans la durée
Ca ne vient pas à la place du MFA, c’est EN PLUS du MFA.
BlihBlehBlah on
r/surdev cette page
TheSonOfThurim on
J’avais lu un rex de sécurité / gestion des mots de passe il y a quelques années.
Plus la politique de changement des mdp est relou, plus tu as un risque que les gens les notent sur des post it, ce qui représente une énorme faille de sécurité.
Du coup, ils disaient que si l’on ne peut pas faire du multifacteurs, mieux vaut demander des mots de passe très longs, mais facile à retenir, et ne pas les changer (l’exemple c’était un truc du genre “LesPommesDeTerreAdorentDanserAvecDesKnackyAprès0h00”).
On va pas se mentir, les keylogger c’est devenu hyper rare en terme d’attaque. C’est avant tout de la faille située entre le clavier et l’écran…
Non. Même Microsoft a cessé de recommander cette pratique qui n’apporte plus rien avec les 2FA. De toutes façons les gens finissent par adopter des stratégies du type monmotdepasse&1 (puis 2 et ainsi de suite) ou bien par stocker leur mots de passe de manière plus ou moins propre.
DeeeLiteIsInTheHeart on
Mais quel enfer la liste de ce que doit contenir ou non le mot de passe !!!!
IdoCyber on
Leur modèle de menace remonte à 1992 quand les ordinateurs étaient partagés et les mots de passes stockés sur des post-its.
FocusDKBoltBOLT on
Non nivellement par le bas tout ça merci les
Boomers
Zakushin on
C’est comme ça qu’on trouve des post-it avec les mots de passe sur les ordi du taf…
>Verifiers and CSPs SHALL NOT require users to change passwords periodically. However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.
Tarteetbalayette on
La bonne pratique de l’ANSSI en matière de renouvellement de mot de passe c’est tous les 90 jours il me semble.
20 Comments
Faut bien que les équipes sécurité informatique justifient leurs postes.
Aucune idée. Mais en tout cas, je préfère un truc qui me prévient, genre “mot de passe minable” / “mot de passe bof” / “mot de passe pas mal” / “mot de passe au top” qu’un truc aussi borné, paternaliste et casse-couilles que dans ton exemple à 10 critères là…
Demander symboles + maj + chiffre…
https://xkcd.com/936/
En vrai, non. C’est même contre productif.
Rien ne vaut l’authentification multifacteur, type sms (de moins en moins conseillé tout de même) ou application tierce, voire l’authentification par Jeton.
[https://fr.wikipedia.org/wiki/Jeton_d%27authentification](https://fr.wikipedia.org/wiki/Jeton_d%27authentification)
Edit : des sites & services en ligne se font pirater tout les jours et ne proposent pas spécialement de MFA.
Je vous invite à vérifier si vos identifiants se baladent en ligne, via le site ci-dessous et à modifier vos mots de passe le cas échéant :
[https://haveibeenpwned.com/](https://haveibeenpwned.com/)
Non, probablement pas. C’est possible que c’est une risque de sécurité, par-ce que il faut changer le mot de passe trop fréquemment et c’est possible d’oublier le nouveau mot.
C’est le meilleur moyen pour forcer l’utilisateur à le noter sur un bout de papier, comme ça quand on parvient à entrer par infraction on est certain d’avoir accès à tout ce qu’on veut sans avoir besoin de forcer la salle serveur.
Je vous conseil tous d’utiliser un gestionnaire de mot de passe (bitwarden, lastpass, 1password, keepass et tant d’autres).
1. C’est safe
2. Chaque nouveau compte c’est un nouveau de mot de passe. Si ce service est compromis, pas de dommage collatéraux (normalement)
3. Créer un mot de passe se résume à cliquer sur “généré un mdp” sur une extension navigateur et c’est plié.
4. Ca saisie automatiquement les mdp dans les formulaire de connexion, donc gain de temps dans la durée
Ca ne vient pas à la place du MFA, c’est EN PLUS du MFA.
r/surdev cette page
J’avais lu un rex de sécurité / gestion des mots de passe il y a quelques années.
Plus la politique de changement des mdp est relou, plus tu as un risque que les gens les notent sur des post it, ce qui représente une énorme faille de sécurité.
Du coup, ils disaient que si l’on ne peut pas faire du multifacteurs, mieux vaut demander des mots de passe très longs, mais facile à retenir, et ne pas les changer (l’exemple c’était un truc du genre “LesPommesDeTerreAdorentDanserAvecDesKnackyAprès0h00”).
On va pas se mentir, les keylogger c’est devenu hyper rare en terme d’attaque. C’est avant tout de la faille située entre le clavier et l’écran…
D’après notre ami Bill Burr qui est à l’origine de ce type de recommandation en 2003 : [NON C’EST UNE IDÉE A LA CON](https://www.wsj.com/articles/the-man-who-wrote-those-password-rules-has-a-new-tip-n3v-r-m1-d-1502124118)
Non. Même Microsoft a cessé de recommander cette pratique qui n’apporte plus rien avec les 2FA. De toutes façons les gens finissent par adopter des stratégies du type monmotdepasse&1 (puis 2 et ainsi de suite) ou bien par stocker leur mots de passe de manière plus ou moins propre.
Mais quel enfer la liste de ce que doit contenir ou non le mot de passe !!!!
Leur modèle de menace remonte à 1992 quand les ordinateurs étaient partagés et les mots de passes stockés sur des post-its.
Non nivellement par le bas tout ça merci les
Boomers
C’est comme ça qu’on trouve des post-it avec les mots de passe sur les ordi du taf…
Non, [https://arstechnica.com/security/2024/09/nist-proposes-barring-some-of-the-most-nonsensical-password-rules/](https://arstechnica.com/security/2024/09/nist-proposes-barring-some-of-the-most-nonsensical-password-rules/)
>The latest NIST guidelines now state that: […]
>Verifiers and CSPs SHALL NOT require users to change passwords periodically. However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.
La bonne pratique de l’ANSSI en matière de renouvellement de mot de passe c’est tous les 90 jours il me semble.
[https://bouletcorp.com/rogatons/2024/01/30](https://bouletcorp.com/rogatons/2024/01/30)
La sécurité, c’est très souvent du théâtre.
un gestionnaire de mot de passe et plus de souci pour s’en rappeler et changer lorsque c’est demandé