VALIDATION DE LA FORCE D'UN MOT DE PASSE
cs_eren
Messages postés
38
Date d'inscription
vendredi 3 janvier 2003
Statut
Membre
Dernière intervention
27 novembre 2008
-
28 déc. 2009 à 09:07
verdy_p Messages postés 202 Date d'inscription vendredi 27 janvier 2006 Statut Membre Dernière intervention 29 janvier 2019 - 12 mars 2010 à 00:26
verdy_p Messages postés 202 Date d'inscription vendredi 27 janvier 2006 Statut Membre Dernière intervention 29 janvier 2019 - 12 mars 2010 à 00:26
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
https://codes-sources.commentcamarche.net/source/51011-validation-de-la-force-d-un-mot-de-passe
https://codes-sources.commentcamarche.net/source/51011-validation-de-la-force-d-un-mot-de-passe
12 mars 2010 à 00:26
Autre idée: vous pouvez aussi utiliser MSKLC pour modifier votre clavier standard afin d'y ajouter un ou deux "jolis" caractères symboliques (Wingdings, signes typographiques rares), sans avoir à basculer de langue temporairement avec la barre de langue (des signes que vous pourrez alors inclure dans vos mots de passe Unicode). Recherchez ces caractères avec Charmap et une police "riche" (comme 'Segoe UI', ou Arial Unicode si vous avez Office). Testez ces caractères d'abord en essayant de vous les envoyez par email via un compte webmail (par exemple Gmail), afin de vous assurer que votre clavier fonctionne de façon correcte avec des sites connus et raisonnablement fiables, mais aussi avec les réglages de votre/vois navigateurs (y compris sur votre smartphone si vous voulez recevoir les mots de passe par SMS en cas d'oubli).
N'hésitez pas non plus sur un nouveau site à tester les possibilités de mots de passe autorisés et fonctions de renvoi de mots de passe oublié avant d'y confier vos données sensibles : passez un peu de temps dans vos préférences en ligne, et vérifiez plusieurs fois vos options de confidentialité (notamment sur FaceBook, qui veut tout partager avec un nombre d'amis et d'amis d'amis beaucoup trop important ; Facebook est le PIRE de tous les sites que j'ai jamais vu pour la confidentialité : une horreur à paramétrer, ses options de partage par défaut sont très mauvaises, les options de visibilité par "seulement moi-même" sont accessibles et disponibles uniquement en mode avancé dans un sous-dialogue, à rechercher pour chacune de ses nombreuses fonctions, et il faut constamment retourner dans les préférences pour voir si de nouveaux partages d'infos ont été activés sans que vous en ayez conscience, d'autant plus qu'il veut absolument que vous soyez y identifié avec votre nom réel, et toutes sortes d'indices sur vous que tout le monde n'a pas à connaitre !).
11 mars 2010 à 23:58
À cela, l'utilisateur peut aussi ajouter quelques caractères ou conventions ne figurant pas dans la question posée, mais définie habituellement dans ses mots de passe. La langue (ou l'orthographe) utilisée peut aussi aider: penser à inclure un mot dans un style Leets, ou SMS (pas forcément dans tous les mots de la réponse), et à créer un moyen permettant de varier les mots de passe en fonction du site demandeur (ne pas mettre son mot de passe personnel identique entre tous les sites, notamment les sites hautement ciblés par les attaques comme Gmail, Yahoo, Facebook, MSN/Live.
Pour vos comptes bancaires en ligne, utilisez les mots de passe recommandés par votre banque, et gardez-les en lieu sûr en supprimant le document à l'entête de la banque et en le notant ailleurs dans un agenda de l'année passée, au milieu de notes, sous une forme déguisée dans des pages déjà bien remplies (si le mot de passe est numérique, par exemple piochez un nom au hasard dans l'annuaire, d'une personne que vous ne connaissez pas et saurez reconnaitre facilement parmi les autres nombreux noms, et notez la comme si c'était certains chiffres d'un numéro de téléphone mobile, d'un code de porte d'entrée, une date ou heure de rendez-vous, un prix réaliste pour un produit courant du marché qui ne vous intéresse habituellement pas...
Ne planquez pas trop ce calepin, mettez le plutôt parmi vos "paperasses" d'usage courant ou restant à classer, et pas dans un endroit saugrenu (dans le frigo par exemple) où il risquerait en plus d'être détruit pas accident. Pour les étudiants, pensez à vos notes de cours de l'an passé vous aurez bien un cahier bien rempli avec des tas de gribouillis, et notes persos, ou autres exercices, mais pas trop encombrant pour que vous puissiez le garder en relativement bon état, rappelez-vous juste du sujet du cours, trouvez un gribouillis sur une page que vous aimez bien... Petit à petit vous retiendrez une bonne méthode pour retrouver plus facilement le mot de passe par un raisonnement cohérent, en vous passant même de ces notes, que vous pourrez sécuriser davantage, tout en augmentant raisonnablement la complexité de vos mots de passe.
Ne vous précipitez pas tout de suite vers un mot de passe compliqué que vous ne retiendrez pas. Augmentez en la complexité après avoir bien mémorisé celui de base. Vous pouvez aussi utiliser un mot de passe connu par coeur complété d'un mot de passe spécifique pour le site que vous noterez (ne noter que cette seconde partie). Mais ne réutilisez jamais vos mots de passe très sensibles (et d'usage plus rare et strictement personnel) avec ceux de sites sociaux en ligne (notamment les forums). Si un nouveau site vous propose la connexion avec OpenID, utilisez la: ça évite de fournir un mot de passe connu directement à ce site dont vous ne connaissez pas encore le niveau de confiance, mais n'utilisez pas non plus le mot de passe de votre compte email principal (celui que vous utilisez pour vos communications les plus privées avec des sites importants).
11 mars 2010 à 23:19
Function IllegalChar(avar) As String
'**********************************************************************************************************************
'Fonction IllegalChar
'Vérifie s'il y a des caractères hors normes (33 à 126) dans la cellule sélectionnée.
'**********************************************************************************************************************
For N = 1 To Len(avar)
If Asc(Mid(avar, N, 1)) >= 33 And Asc(Mid(avar, N, 1)) <= 126 Then IllegalChar = "Caractères légaux" Else IllegalChar = "Caractères illégaux"
Next
End Function
En effet, elle retourne dans IllegalChar uniquement le statut du DERNIER caractère dans le paramètre, et ne positionne pas la variable si le mot de passe est vide...
La fonction devrait être :
Function IllegalChar(avar) As String
'**********************************************************************************************************************
'Fonction IllegalChar
'Vérifie s'il y a des caractères hors normes (33 à 126) dans la cellule sélectionnée.
'**********************************************************************************************************************
IllegalChar = "Caractères légaux"
For N = 1 To Len(avar)
If Asc(Mid(avar, N, 1)) < 33 Or Asc(Mid(avar, N, 1)) > 126 Then IllegalChar = "Caractères illégaux"
Next
End Function
Et d'une façon générale, il y a trop de variables globales dans tout ce programme, les variables locales (de contrôle de boucles par exemple) devraient être toutes locales dans les fonctions.
Trop de fonctions également, qui parcourent cent fois la chaine, et emploient Mid() avec trop de répétition pour scanner la chaine et allouer et copier des nouvelles sous-chaines de 1 caractère pour finalement utiliser Asc() encore pour en extraire le code. Toutes ces boucles qui parcourent la chaine du début à la fin devraient être factorisées dans la même boucle "For N = 1 To Len(avar) ... Next", alors qu'il suffirait de déclarer un seul objet contenant les différents compteurs d'évaluation en tant que membre, avec une fonction contructeur prenant le mot de passe et effectuant l'analyse une fois avec une méthode statique publique référençant l'instance d'objet en paramètre qui sera mise à jour, puis consultée avec des méthodes d'instance publiques retournant la valeur du type d'évaluation demandée: même écrit comme ça, le code serait beaucoup moins long, et plus propre à réutiliser.
D'autres évaluations manquent, comme une fonction vérifiant certaines valeurs connues de mots de passe par défaut, depuis une ébauche de dictionnaire (par exemple "admin", "root", "pass", "password", "0000", "1234" sont détectés comme faibles, mais il y en a plein d'autres à considérer, en ignorant aussi les différences de casse et d'accents avec une collation de niveau 1 pour les mots courants de cette langue pour cette recherche), en ajoutant aussi ceux qui sont fonction de la locale courante de l'utilisateur (sa langue, et l'anglais souvent en fallback) ou celle du projet su site, de son nom ou pseudonyme sur le projet, et du nom du projet ou site pour lequel un mot de passe est demandé.
Il n'est pas inutile de consulter les codes sources de certains Password-crackers pour savoir comment ils peuvent trouver un mot de passe en quelques millisecondes. A mon avis, l'évaluation devrait consister plutôt à utiliser un de ces password-crackers connus (dont les sources sont largement disponibles sur Linux/Unix et Windows), en analysant le nombre de combinaisons (ou le temps) qu'ils ont essayé avant de trouver le mot de passe.
C'est ce que Google a fait sur son site pour renseigner les utilisateurs sur la sécurité relative du mot de passe de leur compte personnel pour Gmail, iGoogle, Google Docs, Google Groups, Google Gears, au moment où ils définissent leur mot de passe sur ce compte; cette évaluation devrait aussi être réeffectuée avec le temps et si le site stockant les mots de passe change de politique et décide de renforcer les seuils ou doit palier à des attaques en prévenant les utilisateurs d'un problème potentiel sur un mot de passe moyen devenu faible ou la cible d'attaques...
15 janv. 2010 à 22:04
US_30, j'ai finalement fait l'ajout des Fonctions : PassWrdStrgSymb, ConsecSymb et RevConsecSymb.
Avec cette suite de caractères "!"#$%&'()*+,-./01" ont obtient sans les nouvelles fonctions 194 - Très Fort et avec les nouvelles fonctions 116 - Bon.
La différence en comparaison avec "ABCDEFGHIJKLMNOP" qui lui obtiens un score à 0 est dans le système de pointage de SymbolCount =(n*6) et de MidNumSymb = (n*2) comparativement aux chiffres et lettres qui ont un pointage moindre.
Dans la fonction PassWrdStrgSymb, ont pourrait rétablir l'équilibre en diminuant le poids du multiplicateur a 2.
PassStrg PassStrg + (SymbolCount(avar) * 6) 'deviendrait PassStrg PassStrg + (SymbolCount(avar) * 2)
Avec cette seule modification, le résultat tomberait à 56 - Faible.
J'avais déjà mis en ligne ma révision du programme lorsque j'ai eu cette dernière idée, si tu crois que cela en vaux la peine je ferai une nouvelle mise à jour.
Donc en résumé, les deux fonctions PassWrdStrg (194) et PassWrdStrgSymb (116) sont disponibles, les gens n'auront qu'à choisir celle qui leur convient.
Cordialement,
DanielGT
10 janv. 2010 à 10:19
DanielGT, je comprends bien ta position... tu penses d'abord aux mots de passe qu'humainement on pourrait faire pour en donner une évaluation... La suite ASCII avec des caractères non alphabétiques représentent alors pour toi une chose qu'un humain ne peut (ne voudra ou ne sera) pas faire comme mot de passe. Mais c'est pourtant avec ces derniers qu'on obtient la meilleure évaluation... d'où une forme de "paradoxe"...
Pour l'exemple que j'indiquais, j'ai précisé "si c'est un programme qui tente de casser un mot de passe", donc un extension à ce que tu imagines (ce n'est plus humain)... mais on casse rarement un mot de passe autrement que par un programme... De plus, que ce soit un programme ou pas, si l'évaluation accorde trop d'importance aux caractères spéciaux, alors cela veut aussi dire que ces derniers deviennent des caractères privilégiés, donc restreint la recherche du mot de passe avec ces derniers (ou les rends plus probables)... Bref, J'insisterai pas plus.
Pour l'histoire des claviers, cela serait une bonne chose t'en tenir compte, comme tu le dis...
Néanmoins, je reste sur mon 10/10... même si je pense qu'on peut essayer d'aller plus loin, cela reste une bonne base. Bravo et merci.
Amicalement,
Us.
10 janv. 2010 à 02:08
2 points à mon intervention d'aujourd'hui.
Premier point:
En réponse à SDSDSDSDSD.
Pour utiliser mon programme AddIns: copier le fichier 'Password Meter_Functions.xla' dans le dossier :
Documents and Setings/(votre nom d'usager Windows)/Application Data/Microsoft/AddIns
Par la suite, dans Excel, aller dans le Menu Tools(Outils) et sélectionner AddIns, à ce moment vous aurez un autre Menu affichant vos fonctions déjà activées, si 'Password Meter_Functions.xla' ne se trouve pas dans la liste, faire une recherche (Browse), ce Menu devrait vous amenez directement au dossier ou se situe tous les fichiers XLA, sélectionner le fichier 'Password Meter_Functions.xla' et cliquer sur OK. Assurez-vous que le AddIns Password Meter_Functions soit décoché. Vous pourrez par la suite utiliser les fonctions du module dans tous vos programmes Excel. Référer vous au document 'Description des Fonctions de Password Meter.doc' pour l'utilisation et la compréhension des fonctions, mon fichier 'Password Meter_AddIns Demo.xls' en démontre la plupart.
Deuxième point:
En réponse à US_30
1. Dans les faits je suis jusqu'à un certain point d'accord avec la mnémotechnique, mais comme dans mon intervention du 30/12/2009, vers la fin je donne en exemple une façon de crypter un mot de passe, échangeant des lettres par des chiffres ou des symboles, alterner majuscule et minuscule serait aussi un atout. Mais comme je le mentionnais aussi, l'être humain recherche toujours dans son entourage proche pour ses mots de passe, ce qui en font des mots de passe faible en soient.
2. Dans la séquence que tu proposes, il est de soi que l'on doit connaitre par coeur les codes ASCII des symboles, ce qui est peu probable pour la plupart des personnes. Les gens connaissent leurs alphabets, l'ordre des chiffres de 0 à 9, en ordre croissant et décroissant. Voilà pourquoi la raison des quatre fonctions ConsecChar, RevConsecChar, ConsecNum et RevConsecNum. Je n'ai pas cru qu'il était nécessaire de la faire pour les symboles étant donné que l'ordre ASCII ne correspond pas au clavier. (voir le tableau ci-bas).
Il aurait été plus logique selon moi de créer une fonction qui suivrait l'ordre des touches du clavier de droite à gauche et vice-versa, par contre, comme le montre le tableau ci-bas, il y a plusieurs configurations de clavier QWERTY (Amérique et UK), et AZERTY (Europe), je n'en ai listé que deux de chaque.
Étant donné la diversité des claviers, il me semblait presque impossible de couvrir les différentes combinaisons dans un simple programme.
Je suis ouvert à toute suggestion.
DanielGT
Clavier Shift et 1 2 3 4 5 6 7 8 9 0 - =
QWERTY - US ! @ # $ % ? & * ( ) _ +
ASCII 33 64 35 36 37 63 38 42 40 41 95 43
QWERTY - Cdn FR ! " / $ % ? & * ( ) _ +
ASCII 33 34 47 36 37 63 38 42 40 41 95 43
AZERTY - FR & é " ' ( - è _ ç à ) =
ASCII 38 233 34 39 40 45 232 95 231 224 41 61
AZERTY - BEL & é " ' ( § è ! ç à ) -
ASCII 38 233 34 39 40 167 232 33 231 224 41 45
3 janv. 2010 à 20:37
2 janv. 2010 à 10:32
2 janv. 2010 à 00:49
La source n'est pas sans me rappeler celle de Renfield dans l'idée...
Comme je me suis déjà posé la même question, je pense que l'approche n'est pas mauvaise... D'ailleurs, j'aime beaucoup son résultat dans l'ensemble et donne une classification assez cohérente... mais... 2 petites remarques :
1. Remarque d'ordre très général : Un mot de passe doit aussi être retenu... Donc aussi un peu mnémotechnique. Or, ici la moindre "mnémotechnicité" sera sanctionnée par un mauvais score. C'est logique, mais pas humain !? Equation difficile à résoudre, j'en conviens...
2. Comme j'aime bien pousser à fond le raisonnement, il me semble pas logique que les caractères spéciaux, du type "$/%" etc., se voit attribués d'un bon score, voir très supérieurs aux simples lettres... Ceci amène finalement un défaut dans un certain sens, puisqu'on classe alors le mot de passe "!"#$%&'()*+,-./01" comme "Très Fort" avec un score à 194 ! ... Or ce dernier n'est rien d'autre que la suite des valeurs croissantes Ascii de 33 à 49... Or, si c'est un programme qui tente de casser un mot de passe, il pourrait essayer des suites simples... Ainsi, je n'ai fais qu'un décalage... A mon avis, j'aurai dû avoir un score similaire à la suite croissante des Ascii de 65 à 81, soit "ABCDEFGHIJKLMNOP" qui lui obtiens un score à 0 !
A la réflexion, je pense que seuls les mélanges des caractères alphabétiques avec qlqs caractères spéciaux devraient obtenir les scores les meilleurs...
Amicalement,
Us.
31 déc. 2009 à 09:21
30 déc. 2009 à 20:12
Ce qui suit n'est pas seulement une réponse à Patrice99, mais une synthèse de mes démarches pour en arriver au programme que j'ai mis en ligne, en espérant que ces explications sauront satisfaire l'ensemble des intervenants.
J'ai effectué une recherche sur la façon de calculer la complexité d'un mot de passe. Voici ce que j'avais trouvé sur Kolmogorov;
http://fr.wikipedia.org/wiki/Complexité_de_Kolmogorov et http://www.research.rutgers.edu/~troyjlee/thesis.pdf, etc. En bref, il ne semble pas y avoir de formule valable pour le cas d'un mot de passe, du moins assez simple si on veut éviter les Intégrales et Différentiels.
J'ai donc créé la fonction suivante:
Fonction PassReq
Cette Fonction valide si les 5 paramètres minimum sont respectés.
Le mot de passe doit contenir au moins une majuscule, une minuscule, un chiffre, un caractère spécial,
et soit un chiffre ou caractère spécial au milieu du mot de passe.
Les deux fonctions suivantes ne font pas partie de l'analyse d'un mot de passe, mais sont une référence visuelle des probabilités en fonction des caractères utilisés et de la longueur du mot de passe. Prenons par exemple un mot de passe utilisant les 5 critères de la fonction PassReq et d'une longueur de 16 caractères:
Fonction CombProb - ANALYSE COMBINATOIRE - ARRANGEMENTS AVEC RÉPÉTITION : 37,157,429,083,410,100,000,000,000,000,000 probabilités.
Le même caractère peut-être utilisé a plusieurs reprises.
Fonction CombProbUni - ANALYSE COMBINATOIRE - COMBINAISONS SIMPLES SANS RÉPÉTITION :458,929,076,023,638,000 probabilités.
Le même caractère ne peut-être utilisé qu'une seule fois.
ref.: http://www.sciences.ch/htmlfr/arithmetique/arithmetiqueprobabilites01.php
Si on regarde mes fonctions PassLettersOnly, PassNumOnly, etc., dans l'ensemble je m'assure de la complexité du mot de passe, mais la probabilité n'est pas retenue comme critère.
Disons que abcDEF123456&*() est mon mot de passe, 16 caractères, remplit les 5 conditions de PassReq et les probabilités sont tel que décrit plus haut. Score du mot de passe:126, Bon. Cause: Suite de caractère.
Maintenant, aaaBBB111222&&&&, rempli les 5 conditions de PassReq et les probabilités sont tel que décrit plus haut. Score du mot de passe: 0 Très Faible. Cause: Répétition de caractère.
Dernier exemple:(aFcEbD&615*243), mêmes caractères que le premier exemple, mais sans suite et rempli les 5 conditions de PassReq et les probabilités sont tel que décrit plus haut. Score du mot de passe: 182 Fort.
Le mot de passe Fort, selon la Fonction CombProbUni, serait le plus faible, cela est vrai dans le cas d'une attaque par logiciel, mais dans le cas d'une attaque humaine, j'en doute fort. Nous avons tendance a chercher des mots relatifs a notre entourage, date d'anniversaire, etc., ce qui en fait des mots de passe faibles même si selon la Fonction CombProb, la probabilité serait la plus élevée, n'oublier pas que la personne qui cherchera a découvrir votre mot de passe utilisera aussi des références a votre entourage pour le découvrir.
Une façon de rendre un mot de passe plus complexe est de la crypté, par exemple : PassordMeter deviendrait p@$$0£dm3t3£, on change des lettres par des symboles ou des chiffres, mais attention, rien d'évident comme dans mon exemple ou a=@, s=$, e=3, etc.
DanielGT
30 déc. 2009 à 09:14
Peut être ici, avec le calcul de Kolmogorov : Théorie algorithmique de l'information :
http://fr.wikipedia.org/wiki/Th%C3%A9orie_algorithmique_de_l%27information
28 déc. 2009 à 17:27
Merci pour vos commentaire,
C'est une erreur de typographie de ma part car j'utilise les fichiers de compression RAR sur mon ordi, par contre on doit mettre en ligne des fichiers ZIP sur VBFrance. Password Meter.Rar est en fait le fichier Password Meter.zip.
DanielGT
28 déc. 2009 à 15:17
Je trouve l'ensemble des fonctions tres intéressant.
j'airais cependant aimé voir le contenu du fichier rar mais il est absent.
Serait-ce possible de faire une mise a jour et d'ajouter le fichier ?
hal
28 déc. 2009 à 09:07
Très intéressant, mais où est le fichier RAR ?
Salutations