Mots de Passe : Générer et vérifier la force

Partagez ici vos Trucs et vos Astuces.
Répondre
Avatar du membre
dezix
Modérateur
Modérateur
Messages : 659
Enregistré le : 04 juin 2016, 14:50
Diaspora* : dezix@framasphere.org
Status : Hors ligne

12 févr. 2020, 12:07

Générateur aléatoire de MdP

Source => https://www.zem.fr/generateur-de-mots-d ... ous-linux/




CODE
Ajouter ce code à la fin de votre fichier : ~/.bashrc

Code : Tout sélectionner

# Générateur de MdP (https://www.zem.fr/generateur-de-mots-de-passe-sous-linux/)
passgen() {
        local l=$1
        [ "$l" == "" ] && l=8
        tr -dc A-Za-z0-9_ < /dev/urandom | head -c ${l} | xargs
}
où :

passgen est le nom de la (nouvelle) commande ; ce nom est modifiable mais attention à ne pas choisir une commande déjà existante.

l=8
fixe la longueur par défaut du MdP généré

les caractères utilisés sont définis par : A-Za-z0-9_ (63 caractères)

ce script utilise le bloc /dev/urandom du système comme source aléatoire.



Usage

La commande sans argument génère un MdP de longueur par défaut (8) :

Code : Tout sélectionner

$ passgen
6Jx6WiDI
ou de longueur explicite p.ex = 16 avec :

Code : Tout sélectionner

$ passgen 16
hEduWTTC39ywMomu

Alias
pour un alias :

Ajouter p.ex. dans : ~/.bash_aliases ou dans : ~/.bashrc
une ligne comme :

alias mdp='passgen'

pour obtenir :

Code : Tout sélectionner

$ mdp 6
vQQ_7Y

Calcul de la "Force" d'un Mot de Passe

Le site de l'Agence nationale de la sécurité des systèmes d'information
propose cet outil :

Calculer la « force » d’un mot de passe
Debian testing/stable - XFCE
Avatar du membre
piratebab
Site Admin
Site Admin
Messages : 3093
Enregistré le : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors ligne

13 févr. 2020, 09:18

Dezix, l'aspect aléatoire n'est qu'une partie de la solution (éviter les attaques par dictionnaire). L'autre aspect est la longueur. 8 caractéres, c'est un peu juste actuellement.
Il faut aussi augmenter le nombres de caracteres utilisés, il faut inclure les caracteres spéciaux.
je me méfie des MDP aléatoire impossible à retenir. On fini par les écrires sur un bout de papier, ou pire, dans un fichier en clair ou mal sécurisé!
Je prefere associer 3 mots sans aucun lien logique (on évitera table chaise banc), séparés par des caractéres spéciaux. On arrive rapidement à plus de 12 caractéres, et plus, et c'est facile à retenir.
Avatar du membre
dezix
Modérateur
Modérateur
Messages : 659
Enregistré le : 04 juin 2016, 14:50
Diaspora* : dezix@framasphere.org
Status : Hors ligne

13 févr. 2020, 10:45

piratebab a écrit :
13 févr. 2020, 09:18
Je prefere associer 3 mots sans aucun lien logique (on évitera table chaise banc), séparés par des caractéres spéciaux. On arrive rapidement à plus de 12 caractéres, et plus, et c'est facile à retenir.
Cette méthode est tentante effectivement.



J'avais lu qu'il faut éviter les mots existants dans les dictionnaires voire existant tout-court ???
Car les pirates peuvent les utiliser
... bon au delà 3 mots sans rapport évident ça doit être plus long
mais au niveau difficulté 3 mots formant 12 caractères est sans aucun doute plus facile à trouver que 12 lettres aléatoires.

Personnellement, ce que j'ai du mal à comprendre,
c'est cet acharnement au piratage des sites anodins et finalement sans grand intérêt.

C'est juste pour le bonheur de nuire ?
Debian testing/stable - XFCE
Avatar du membre
piratebab
Site Admin
Site Admin
Messages : 3093
Enregistré le : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors ligne

13 févr. 2020, 14:30

non, c'est pour revendre l'info!

Les dictionnaires travaillent par association et occurences (ils commencent par chercher 1234, password car ce sont les plus tuilisés)
avec des mots sans liens, c'est un peu commed el'aléatoire.
L'énergie mise à casser un mot de passe est proportionelle à la valeur de l'info qu'il cacche.
A contrario, si tu as un mot de passe fort, c'est que tu dois cacher un secret important, donc ça vaut le coup de le casser!
C'est comme les personnes qui envoient des emails chiffrés. Comme quasi personne ne le fait, ceux qui sont chiffré doivent contenir des informations importantes ...
J'ai déja vu des emails chiffré me revenir en disant que c'était un malware!
Avatar du membre
dezix
Modérateur
Modérateur
Messages : 659
Enregistré le : 04 juin 2016, 14:50
Diaspora* : dezix@framasphere.org
Status : Hors ligne

13 févr. 2020, 15:06

piratebab a écrit :
13 févr. 2020, 14:30
L'énergie mise à casser un mot de passe est proportionelle à la valeur de l'info qu'il cacche.
A contrario, si tu as un mot de passe fort, c'est que tu dois cacher un secret important, donc ça vaut le coup de le casser!
:017: Du coup c'est un vrai casse-tête ... ça donne presque envie de : 1234

Je vais tout de même continuer à utiliser des MdP assez fort même si je n'ai pas de grandes valeurs à cacher.

Mais force est de reconnaître que la "faute" une fois de plus est aux utilisateurs,
car si la majorité des MdP demandait un gros effort
alors les attaquant devraient cibler mieux pour éviter de perdre leur temps
ou se chercher une autre activité.

Enfin, c'est encore une chose bien lamentable :bad:
Debian testing/stable - XFCE
Avatar du membre
piratebab
Site Admin
Site Admin
Messages : 3093
Enregistré le : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors ligne

14 févr. 2020, 10:02

Hé oui, on donne des outils trés puissants à des personnes non formées ..
C'est comme donner une voiture de course à quelqu'un qui n'a pas le permis ..
Avatar du membre
Dunatotatos
Membre
Membre
Messages : 422
Enregistré le : 11 mai 2016, 20:56
Localisation : Arabie Saoudite
Status : Hors ligne

18 févr. 2020, 13:38

dezix a écrit :
13 févr. 2020, 10:45
J'avais lu qu'il faut éviter les mots existants dans les dictionnaires voire existant tout-court ???
Car les pirates peuvent les utiliser
... bon au delà 3 mots sans rapport évident ça doit être plus long
mais au niveau difficulté 3 mots formant 12 caractères est sans aucun doute plus facile à trouver que 12 lettres aléatoires.
C'est un problème de combinatoire. Pour garder un mot de passe de complexité suffisamment raisonnable pour être mémorisé, on peut imaginer 8 caractères aléatoires, ou 4 mots aléatoires.

Dans la première situation, chaque caractère peut être majuscule, minuscule, chiffre ou symbole (disons caractère imprimable ASCII), soit 95 possibilités. Il y a donc 95^8 ~= 7e15 possibilités de mots de passe.

Dans la deuxième situation, chaque mot peut être un parmi 63500. Pour une phrase de passe de 4 mots, on arrive à 63500^4 ~= 2e19 possibilités, soit 10 000 fois plus que dans la première situation.

Et quelques ajouts :
  • Pour générer des mots de passe aléatoires, il existe déjà `pwgen`, avec pas mal d'options pour inclure ou non des symboles, ne pas utiliser de caractères trop similaires (comme 'l' et 'I' ou 'O' et '0') et tout le tralala.
  • Pour générer des passphrase, il existe `xkcdpass` (`apt-get install xkcdpass`) qui imprime des mots aléatoires du dictionnaire anglais. Je pense qu'il doit y avoir moyen de changer la langue, mais on peut du moins indiqué un fichier contenant une liste de mots à utiliser.
  • Le nom xkcdpass vient d'ici. Et c'est parfaitement adapté à ce fil de discussion !
Never trust Windows output.
Avatar du membre
lol
Site Admin
Site Admin
Messages : 3134
Enregistré le : 04 avr. 2016, 12:11
Localisation : Madagascar
Contact :
Status : Hors ligne

18 févr. 2020, 15:04

Salut,
Un petit coup de troll ???

Sans titre.png

:194:
Vous n’avez pas les permissions nécessaires pour voir les fichiers joints à ce message.
Debian SID. XFCE.
C'est curieux chez les marins ce besoin de faire des phrases (Les tontons flingueurs).
Générateur de sources.list!
Avatar du membre
piratebab
Site Admin
Site Admin
Messages : 3093
Enregistré le : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors ligne

18 févr. 2020, 21:06

duna, ce n'est pas tout à fait exact. Le biais humain vient fausser le résultat. C'est ce biais qu'utilisent les algo pour accelerer la découverte.
cas classique: on impose une majuscule, un chiffre, et un caractère spécial.
L'humain étant ce qu'il est, il fausse la répartition aléatoire:
- la majuscule est au début
- puis les minuscules
- puis le caractère spécial
- et le chiffre est à la fin ..
Cela réduit drastiquement le nombre de combinaisons à tester en priorité
Avatar du membre
Dunatotatos
Membre
Membre
Messages : 422
Enregistré le : 11 mai 2016, 20:56
Localisation : Arabie Saoudite
Status : Hors ligne

20 févr. 2020, 09:57

En effet, mais je parle ici de génération réellement aléatoire. Ce que toute personne responsable respecte, et tous les membres de ce forum bien évidemment :033:
Never trust Windows output.
Avatar du membre
piratebab
Site Admin
Site Admin
Messages : 3093
Enregistré le : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors ligne

20 févr. 2020, 16:46

Bien évidement, comment peux tu en douter!
et pour s'en rappeller on l'écrit sur un post it collé sur l'écran.
Avatar du membre
lol
Site Admin
Site Admin
Messages : 3134
Enregistré le : 04 avr. 2016, 12:11
Localisation : Madagascar
Contact :
Status : Hors ligne

22 févr. 2020, 07:04

... Et on utilise le même partout ... :good:
Debian SID. XFCE.
C'est curieux chez les marins ce besoin de faire des phrases (Les tontons flingueurs).
Générateur de sources.list!
Avatar du membre
vv222
Modérateur
Modérateur
Messages : 366
Enregistré le : 18 avr. 2016, 20:14
Localisation : Bretagne
Contact :
Status : Hors ligne

23 févr. 2020, 09:58

Pour ma part je fais confiance à pwgen (paquet du même nom sur Debian) pour générer des mots de passe, que je ne cherche ensuite pas à retenir.
Sur la plupart des sites permettant la ré-initialisation du mot de passe, j’en utilise un nouveau à chaque connexion.

Un exemple d’utilisation :

Code : Tout sélectionner

$ pwgen -sy 50
FtWy31,Nh#f73+0kMNSjCLJNO5t[k1d*fEwzrRF#QU4E0Fec`|
4^KS4g#g(poScz!w7ch.eH6.]#mQp"aUgGxv^#Pki5ZN^[;02.
Fvh\M:aOn/p@aY1~Bo01J=G,rpjrJDhJVDr4n}s'@)/tKf@(pj
AGweh$WR:Mp,}{\YK2G&}v<6`K^IWg76$`vZP0%j7?SO&+VA`5
VhqEP@vFMAyR-{.>DjZ7nzLgYD`$Kvu_-qTFciprphAM%cd!n8
~JKB6X!7UIeX(q'v>(r,bjcM.jtQAbE![xK?ERu$m\nL6\^y^W
:x^rCN$h[?Q:|FEF'r*;DJfHIE|*;xbIUN.?FIt-xGrYQJ=SG6
4c3H+OjIMZWmDIbl2N"g+P|LJ`7;xs7{U&I\JAUz,^q<l2}!M2
.63YMI!4{JMStM2RxP8MLV/.WnK0vTlGm?B+j3g0X!1XZkZ6!E
vOqDwtwh_r^#<MHH?SoR~q[@ww(1LaaVUmAasbA/uDN.")O+5a
!4*A5fOFdk:cv>]`GB/$UZl^-WC}Iak|K$MKcm<'d'8H@Yu&/m
3S3~5olD0SJj@<Z~ilV4>HK}?'_AHz2!{F)[KyKCkFw63\O{:u
}g-fW|smOr#iFQ:\S4!gBi}$;+o{8AqN^ul|A]3t*MZt`*TZyT
}t]bu5]?.BL!xe%S1&&'hvzYsp>=w3qHFLg.7eQFdTv5\[)d|G
vF4vM8v;(]lxM21bC>2Bd2A.{^/@:I<~n0apky>K](z>g{p-NX
JUX\oz)FGWo<KeE%c/ElFq+]_*Iefj^.f*+_I[aQ2nXpS[o<ok
AN%R)!<gkm1"](&rs@AHyJJ=u)`%yo#0B=lzO/~vYj7=_Q1|%_
J8Z]*l6t@w9NK}>:NO{/~z=h%&QBw[b@i(V|?8XSU47[#>&g;:
z|fG2$a3hQb1<AV/23J!vp8%eK7$"&S%0bi4T\!/Q_C+PHU`$e
HO6'l%+k)2t(FB{uc>4RhOXOgRa\B![GL>Xi0-FkH4K+|HrUwF|
Et la version pour les systèmes d’authentification développés par des incompétents, limitant les caractères spéciaux utilisables :

Code : Tout sélectionner

$ pwgen -s 50
k8Cq7W27ddQbhbDd7YdARP96EykBqZfRrLMsHUn8IINqsZPHI1
DOnueQPrHB9fGylxL5klctlUt6WgsaiGJRC9hnXigZv3tI0cUO
ZapUEg4ZgFCxP4BhpmqcsHJ3dSFwbvuqjT12Ue0dmDqzCi3sAC
UScixpSuJ0I1tpCRCiKtQVSSr2Eo6N7VmlRma877kxFscZHK3r
VsJgNhTLfZ6HGrTmhnJkuB9fJw1uZ2c21imCD1W3PWuXARwnGg
Tp5JAVfCEWpyAeWGtKJDhdBsRSpc7uhKbm2fbD4BRbdUjXv4k6
kmLjl0dhU2xBbooUZOtzHBXWMRWpzPrqcJeLApgCFl4evq0rL5
wFuJt5fbSZMen3NIVfDsMprtEuY7eAomL1hfjOyjTLOEAptxj6
Nt3RnF9EwBDFSv928UQcvPWPhry7wsOoAxhVORUKR7AeNAryPm
rqPOn60ymUQRdQbDTafCDsePAVPtXqisMLkZDjmRZR2wC6d8re
GzIOpWRxDRpVIYNqVTxZI1NsNbeXEsxnul3EjluEt5bkl75hpZ
bdu2G6k2hBc319qbodFAsHw56WeAUq3fNSZRlkFjF8vYfhEB3d
HYeZtZlWrw7DjPhzocjhuwosYwcC9stGJkF80OgIS0WHMzgXcV
3K0D8sUaF3bqClD9WYGhQFaTjC6J0AFfvTSG8nXhtIaPoZtWe3
YgeMTnc7AqjDexac4D6NULB3OPgoM5pVsJbJksP4qej5qzyusv
1aSQVzH1GlfqW60DgAuRshDhpsO4MwX0Si6lLcAkBtolWzHhRr
yvsg58pHm8LAY2v9fojEwhGDQVAxpIquQaUjQV9G18SkdlSKz9
Bkuq1XMJJEXN5MAiOHsjs5NNx3AsJoVLpo20AnbQO15fMN4tH0
G1FJ96E70rYz4mlVf2sGm0bdp8DjpW581WcmWBZ7Gkip6aHyW6
37WfcZnpqX4IiVW4pZt7NyVNAvXEVz8nhw70QII9jWLNK04hO6
Dernier exemple, pour un mot de passe qui va devoir être dicté à l’oral :

Code : Tout sélectionner

$ pwgen 20
seefoh2Ce2cheiChaewi aeTous4Eeyaic6nohMei aiquouC0ke9nai9ba2ae
ceeRoo9oox4Deejaiz4w mochohjeiw6Ohngoh8Ga Ahz6IepahKie8apaich1
pheigheiGozai5Oac3on aewohpie0Lahch3fieso eizeeYeekuph8phauvee
aiv2uk6aekaiShoofieD eideiPheizoh6ausaewi Ood0ahW9Ahs0apah4see
nuuj9quohNgohchaep5n esai9xaepooWoochie0a tio3ookei3quieghieH7
chohpaeS1Saawi1lohm4 xeefei5Ja0ep9ietah3k eingoh3cheNg3ohyooc9
aeyi7EquamiuShaideej eex5mootieboon7agoGi moshet9Zeif4aezei2ae
abaiJ4aefepoo3iok3ai oof2aiF3OhG5ughei6Ni taBeolei9thaiquah3Ee
fei2Iejahph0lu0pibae Mah0SaapaiReizee2pha hohghaic9viXohj1alei
SheiPhohqu2eituexeef deebeajaeLeigah1eich ahsood0Lahquei1sheiK
bieCh1chuch4saice6Ph zae6cieTeePh7haepha5 shoh2rah3eisohNoepho
dohroubeeH8pug7ef8oo Epa6ohbu5siujuc2io2u OorovoobiekooshooZ9j
aik2Sahwieph8wahz2go eeHoo6nah9shexohdoh6 soupiese9Ouvi6oequ6j
aephahzoh5queiT3Ohch zah9Aibiofee8ahreeca luoR1sieW4SieJ9thae1
ooGe8Quee8Leechiefiz FoopiuT5oZaeca1Aegho Oowahquuzooy9sah5phe
au2So8eiPedoe8Uelaik dur6adoosh5Ohy4ohwae Em3phoogheavie4ughah
EeweiW0ahh5Na7iatooM gahai8igaiZi2ageitoh aecaghin3ku6qui0Hohh
ahnaij1Thiek3ahxie4k oithohM0ishaesothee4 cou1aetei0Toh7gohnga
Eech6rezee9phieNioto YeeBahfei6chaeQueola EeMuethee0aMae6raeth
aepoo1EeceeFahmeeQuo Xeeloh1ugheiC5Shoire via2oeNgieyaque2ielo
---

Oups, je n’avais pas vu que Dunatotatos avait déjà cité cet outil.
Avatar du membre
dezix
Modérateur
Modérateur
Messages : 659
Enregistré le : 04 juin 2016, 14:50
Diaspora* : dezix@framasphere.org
Status : Hors ligne

23 févr. 2020, 10:40

Au risque de passer pour une truffe :040:
vv222 a écrit :
23 févr. 2020, 09:58
Pour ma part je fais confiance à pwgen (paquet du même nom sur Debian) pour générer des mots de passe, que je ne cherche ensuite pas à retenir.
Sur la plupart des sites permettant la ré-initialisation du mot de passe, j’en utilise un nouveau à chaque connexion.

... tu te réfères à des sites web et c'est ton navigateur qui retient les MdP pour toi ?
ou
tu penses à d'autres situations plus spécifiques/générales ?
Debian testing/stable - XFCE
C2G9
Messages : 5
Enregistré le : 23 févr. 2020, 14:45
Status : Hors ligne

23 févr. 2020, 16:44

Je me suis fait un alias avec

Code : Tout sélectionner

mdp() {
           </dev/urandom tr -dc '12345!@#$%^&*()_A-Z-a-z-0-9'| fold -w15 | head -5
    }
qui me donne par exemple
Kp$Khnli)xq-X6&
n!#_2&^%oqDcihB
rdf@ZSU8YS8hxej
k!4wtU*JvOPiMn$
YnzcDfUcfQa1nUF

Par contre, je ne connaissais pas pwgen et je trouve pas mal aussi. Et contrairement à ma fonction, on peut modifier ce qu'on veut facilement.
Avatar du membre
dezix
Modérateur
Modérateur
Messages : 659
Enregistré le : 04 juin 2016, 14:50
Diaspora* : dezix@framasphere.org
Status : Hors ligne

23 févr. 2020, 16:58

@C2G9 Salut et bienvenue à bord !


@tous


La commande pwgen est effectivement parfaite donc pourquoi se compliquer les choses (sauf par plaisir :dirol: )

Je vais à partir de maintenant utiliser :

Code : Tout sélectionner

$ pwgen -s1 16
nxHRAClXsDohS92i
sans symboles


ou

Code : Tout sélectionner

$ pwgen -sy1 16
0Y0:v7mq,%(I`E"*
si les symboles sont acceptés
Debian testing/stable - XFCE
Avatar du membre
piratebab
Site Admin
Site Admin
Messages : 3093
Enregistré le : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors ligne

24 févr. 2020, 12:17

et pour stocker les mots de passe, l'incontournable keepass
Que je n'ai toujours pas mis en oeuvre ...
Avatar du membre
dezix
Modérateur
Modérateur
Messages : 659
Enregistré le : 04 juin 2016, 14:50
Diaspora* : dezix@framasphere.org
Status : Hors ligne

24 févr. 2020, 12:41

piratebab a écrit :
24 févr. 2020, 12:17
et pour stocker les mots de passe, l'incontournable keepass
Que je n'ai toujours pas mis en oeuvre ...
Effectivement, c'est plus pratique et économique => 1 unique post-it est suffisant :lol:
Debian testing/stable - XFCE
Avatar du membre
lol
Site Admin
Site Admin
Messages : 3134
Enregistré le : 04 avr. 2016, 12:11
Localisation : Madagascar
Contact :
Status : Hors ligne

24 févr. 2020, 14:11

Salut,
piratebab a écrit :
24 févr. 2020, 12:17
et pour stocker les mots de passe, l'incontournable keepass
Que je n'ai toujours pas mis en oeuvre ...
Incontournable. :good:
Je l'utilise depuis des années.


Et
Bienvenue @C2G9
:006:
Debian SID. XFCE.
C'est curieux chez les marins ce besoin de faire des phrases (Les tontons flingueurs).
Générateur de sources.list!
Avatar du membre
vv222
Modérateur
Modérateur
Messages : 366
Enregistré le : 18 avr. 2016, 20:14
Localisation : Bretagne
Contact :
Status : Hors ligne

01 mars 2020, 00:56

dezix a écrit :
23 févr. 2020, 10:40
... tu te réfères à des sites web et c'est ton navigateur qui retient les MdP pour toi ?
ou
tu penses à d'autres situations plus spécifiques/générales ?
Ici je pensais bien à des sites Web, mais ni moi ni mon navigateur ne retenons les mots de passe. À la place je passe systématiquement par la réinitialisation du mot de passe à chaque nouvelle connexion (sauf pour quelques exceptions).
Répondre