MyIDkey : cle USB pour la gestion des mdp

[Galileo]

c'est pas une pub déguisée mais juste pour informer ceux qui comme moi on une foultitude de mdp différent a gérer qu'une petite cie US va lancer (septembre 2013), un clé USB avec des caractéristiques pas bête du tout.

http://myidkey.com/

seul bemol son prix.

[Achille]

seul bemol son prix.

Et un backdoor pour la NSA, vu que c'est une boite US ?

Mots de passe perso + biométrie + reconnaissance vocale. Le rêve...

[Galileo]

faut arrêter la parano un peu, hein

[mrfroggy]

On n est jamais trop parano avec l Oncle Sam
C est con, mais j ai mes MDP sur un petit carnet anodin.

[Galileo]

bah t as de la chance mais bon les miens c est plus du style 30 caractères alphanumérique comme ci dessous (jamais eu un de mes comptes hacke a ce jour)

Vbzy5dGHL55CBaaWfm4yDrutNf9XVi

[Achille]

Juste en piochant un peu au hasard :

http://www.rue89.com/2013/01/10/la-cia-espionne-toutes-vos-donnees-persos-et-leurope-sen-fiche-238473

http://www.businessinsider.com/congress-passes-cispa-cybersecurity-bill-2013-4

http://echelononline.free.fr/pages/suisse.html

https://www.april.org/lotan-impose-microsoft-et-les-backdoors-de-la-nsa-au-ministere-de-la-defense

[Phil67]

C est con, mais j ai mes MDP sur un petit carnet anodin.

Encore mieux que le "carnet anodin" qui peut se perdre : http://www.passwordcard.org/fr

bah t as de la chance mais bon les miens c est plus du style 30 caractères alphanumérique comme ci dessous (jamais eu un de mes comptes hacke a ce jour)

Vbzy5dGHL55CBaaWfm4yDrutNf9XVi

Sauf que tu es OBLIGE de les sauvegarder quelque part (maillon faible du système).

Malheureusement de plus en plus d'entreprises décrètent des règles de mots de passe tellement tordues qu'ils finissent NECESSAIREMENT sur un post-it (sur l'écran, sous le clavier ou dans le tiroir du haut) ou dans un fichier en clair pour les adeptes du copier/coller non experts en informatique : les règles trop contraignantes et arbitraires deviennent contre-productives.



(J'ai au moins une 20aine de mots de passe différents qui peuvent tous se retrouver par des moyens mnémotechniques même après quelques mois d'inutilisation, sauf pour les accès partagés ou les systèmes avec des règles imposées arbitrairement .)

[Phil67]

J'évite de mon coté d'avoir de trop nombreux mots de passe. J'en ai 3:

- un courant (forum, compte Internet divers), moins de 10 caractères, pas du français, et un mot suffisamment rare pour laisser très peu de chance à de la "Brute force".
- un moyennement complexe (tout ce qui permet de faire une opération bancaire, compte admin au boulot), plus de 10 caractères,  langue rare+2 caractères changés+chaine numérique+caractères à la con.
- Un "très costaud", même chose que le précédent mais  et tout ce qui touche à mes données perso, et un hyper costaud, plus de 20 caractères, celui-ci je ne m'en sert que pour crypter le disque dur de synchro de mes données perso, en permanence sur moi.

C'est également une approche valable A CONDITION de réutiliser les mots de passe de niveau 2 et 3 EXCLUSIVEMENT pour des systèmes et applications "de confiance" et de réserver le niveau 1 aux applications non critiques auxquelles on NE DOIT PAS faire confiance (forums -dont celui-ci-, services web...).

Reste le cas de services web critiques, p.ex. GMail / PayPal / eBay / Amazon (surtout qu'ils mémorisent les numéros CB !  ) : dans ce cas seul un mot de passe de niveau 2 mais différent pour chaque service pourra être considéré comme sûr.

Toujours un classique d'XKCD concernant la réutilisation des mots de passe :

[AC]

- un moyennement complexe (tout ce qui permet de faire une opération bancaire, compte admin au boulot)

Donc ta banque connait ton mot de passe professionnel (probablement en violation de la politique de sécurité de ton employeur). Et tous les stagiaires qui passent par le service informatique/réseau de ton boulot ont potentiellement accès à tes comptes bancaires.

Il ne faut jamais réutiliser un mot de passe, un point c'est tout. La meilleure solution, c'est d'avoir un procédé secret pour générer autant de mots de passe que nécessaire. Exemple:

• Je choisis un mot de passe dont je me souviendrai toute ma vie: "beargryllsmonheros31337"
• Je le transforme en chiffres comme si je le tapais sur le clavier d'un téléphone (2=ABC, 3=DEF etc): 23274795576664376731337
• Quand je crée un compte sur www.davidmanise.com, je transforme "wwwdavidmanisecom" en chiffres de la même façon: 99932843626473266
• Je multiplie les deux nombres: 2325916506800932823980839077826094936642
• J'enlève un chiffre pair sur deux: 2359165609322390390772099364 (c'est un exemple - choisir une opération difficilement réversible)
• J'ajoute un smiley pour faire plaisir aux sites qui exigent autre chose que des chiffres: 2359165609322390390772099364:-O

Avec une convention de ce genre, pas besoin d'une clé USB biométrique à 150 euros avec backup dans le Cloud. Une calculette suffit.

Je n'ai jamais eu de compte hacké non plus

Comment peux-tu le savoir ? Les sites que tu fréquentes t'envoient un log des adresses IP qui se sont connectées à tes comptes ? Peut-être que quelqu'un connait tes mots de passe mais attend le bon moment pour les exploiter.

La sécurité en informatique, c'est comme dans la rue.

Attention aux analogies trompeuses. Les attaques sur Internet sont automatisables à grande échelle et à coût quasiment nul. Pour un pirate il est plus rentable de soutirer 1 euro à 10 millions de "grey men" que 1000 euros à 1000 cibles "molles" ou 1 million d'euros à une seule cible "dure".

[AC]

Depuis quand mes stagiaires ont mon mot de passe?
Depuis quand ma banque connait-elle mon mot de passe?

Bah je ne connais pas ta situation exacte, je t'ai juste cité (anonymement) pour faire passer un message général.
Si tu utilises le même mot de passe (le "moyennement complexe") à la fois pour ta banque et pour ton boulot, il faut considérer que la banque connait le mot de passe du boulot et réciproquement. Même si les deux appliquent les bonnes pratiques de la sécurité informatique (mots de passe stockés chiffrés ou salés+hachés), il y a forcément un moment ou les mdp circulent en clair à la portée des admistrateurs informatique/réseau, de leurs stagiaires qui mettent les mains dans le cambouis, et des pirates qui se seraient introduits sur les serveurs.

Donne une règle comme ça à des utilisateurs quels qu'ils soient, et compte le nombre qui vont le faire.

C'est pour ça que les banques et les employeurs qui en ont les moyens imposent des systèmes d'authentification supplémentaires à leurs utilisateurs, et ça crée d'autres problèmes (voir le hack SecurID qui a touché les industriels de la défense US).

Mais essaie avec la calculette de ton téléphone, tu verras que ça ne prend que quelques secondes. Et en pratique tu laisses ton navigateur enregistrer les mots de passe. Le procédé de génération déterministe ne sert que pour récupérer les mots de passe en cas de panne, ou pour se connecter depuis un autre navigateur.

[Phil67]

La meilleure solution, c'est d'avoir un procédé secret pour générer autant de mots de passe que nécessaire. Exemple:

• Je choisis un mot de passe dont je me souviendrai toute ma vie: "beargryllsmonheros31337"
• Je le transforme en chiffres comme si je le tapais sur le clavier d'un téléphone (2=ABC, 3=DEF etc): 23274795576664376731337
• Quand je crée un compte sur www.davidmanise.com, je transforme "wwwdavidmanisecom" en chiffres de la même façon: 99932843626473266
• Je multiplie les deux nombres: 2325916506800932823980839077826094936642
• J'enlève un chiffre pair sur deux: 2359165609322390390772099364 (c'est un exemple - choisir une opération difficilement réversible)
• J'ajoute un smiley pour faire plaisir aux sites qui exigent autre chose que des chiffres: 2359165609322390390772099364:-O

Avec une convention de ce genre, pas besoin d'une clé USB biométrique à 150 euros avec backup dans le Cloud. Une calculette suffit.

Énormes inconvénients outre l'inutile complexité (contre-productive) déjà citée :
   - gros risques de se louper en tapant 36000 chiffres d'affilé en aveugle avec au mieux des astérisques (et rien du tout sur certains systèmes)
   - gros risques de se faire bloquer son compte soit via une temporisation exponentielle à chaque essai soit en atteignant un seuil critique
   - complexification du mot de passe pour l'humain mais paradoxalement simplification pour une attaque "brute force" car l'entropie est plus faible (p.ex. "1234567890" = entropie de 17,4 bits alors que "abcdefghij" = entropie de 38,1 bits)

P.ex. calculateur d'entropie : http://rumkin.com/tools/password/passchk.php

Password strength is determined with this chart, which might be a bit of a stretch for a non-critical password:

    < 28 bits = Very Weak; might keep out family members
    28 - 35 bits = Weak; should keep out most people, often good for desktop login passwords
    36 - 59 bits = Reasonable; fairly secure passwords for network and company passwords
    60 - 127 bits = Strong; can be good for guarding financial information
    128+ bits = Very Strong; often overkill

La méthode type "password card" reste un bon compromis ultra low-tech et utilisable au quotidien par un humain normal (mais il y en a d'autres) : http://www.passwordcard.org/fr

[Phil67]

Donc ta banque connait ton mot de passe professionnel (probablement en violation de la politique de sécurité de ton employeur). Et tous les stagiaires qui passent par le service informatique/réseau de ton boulot ont potentiellement accès à tes comptes bancaires.

C'est pour çà qu'on a précisé qu'il fallait 2 politiques différentes selon que l'on soit sur un système de confiance (sous notre contrôle ou dans un SI répondant à des normes de sécurité standardisées) ou pour le "tout venant" (çàd tout le reste).

Il faut arrêter avec la légende urbaine du stagiaire qui a accès à tous les mots de passe : dans un SI avec des normes de sécurité sérieuses (banques, industries sensibles, entreprises soumises aux normes Sarbanes-Oxley, etc...) les mots de passe critiques ne circulent JAMAIS en clair, ne sont JAMAIS stocké en clair, TOUJOURS dans un format non réversible et ne peuvent JAMAIS être récupéré sans procédure de réinitialisation (tracée par ailleurs).

Il faut donc déjà avoir des accès privilégiés (cf. traçabilité et cloisonnement des systèmes et des données) et même en ayant accès aux fichiers critiques il faut encore une grosse puissance de calcul en mode "brute force". C'est donc totalement hors de portée d'un stagiaire ni à la portée du premier administrateur venu (surtout s'il a envie de continuer à travailler dans le domaine par la suite).

Il s'agit évidemment de SI sérieux (d'où le terme "de confiance") et non pas d'un simple serveur centralisé sous Windows administré à l'arrache et avec les mots de passe par défaut connus par tous...

En revanche par définition sur Internet tout système non clairement identifié est considéré comme douteux et il faut se méfier comme de la peste des systèmes permettant de récupérer son mot de passe sans procédure de réinitialisation (ils sont donc stockés dans un format réversible non sécurisé).


EDIT :

il y a forcément un moment ou les mdp circulent en clair à la portée des admistrateurs informatique/réseau

Tiens c'est nouveau, çà vient de sortir : entre le "forcément" et le "dans certains cas" il y a un monde !
Le "sniffer" sur les accès réseaux pour voir transiter les trames en clair, çà remonte au bon vieux temps : depuis on utilise massivement SSL, HTTPS et autres variantes cryptées (reste les attaques type Man-in-the-middle avec de faux certificats : bon courage pour jouer à çà dans un SI).

de leurs stagiaires qui mettent les mains dans le cambouis

Si les stagiaires arrivent à mettre à ce point les mains dans le cambouis, le SI n'est pas "digne de confiance" car ne répondant pas aux normes modernes de sécurité avec un gros risque de remontage de bretelles au prochain audit de sécurité (en général çà n'est pas des comiques dans le domaine).

des pirates qui se seraient introduits sur les serveurs

En supposant que certains arrivent à rentrer depuis l'extérieur au cœur d'un SI (on parle bien de serveurs cloisonnés en DMZ, pas de machines en frontal sur Internet ou de postes utilisateurs) et à accéder à des fichiers systèmes critiques leurs compétences techniques valent bien plus cher que quelques petits mots de passe pour vider éventuellement le compte courant d'un utilisateur lambda (sachant que de nombreuses banques demandent en plus une validation par SMS pour les opérations non courantes).

Risquer de se faire griller en jouant "aussi petit" c'est un mauvais calcul pour les rares individus d'un tel niveau.

C'est pour ça que les banques et les employeurs qui en ont les moyens imposent des systèmes d'authentification supplémentaires à leurs utilisateurs, et ça crée d'autres problèmes (voir le hack SecurID qui a touché les industriels de la défense US).

Les systèmes de SecureID c'est surtout pour sécuriser des connections itinérantes depuis l'extérieur accédant directement au cœur du SI (cas typique des administrateurs en astreinte qui doivent intervenir d'urgence à distance sur des systèmes critiques ou p.ex. du commercial qui doit accéder ponctuellement aux informations confidentielles stockées dans des applications métier inaccessibles depuis l'extérieur).

Et en pratique tu laisses ton navigateur enregistrer les mots de passe. Le procédé de génération déterministe ne sert que pour récupérer les mots de passe en cas de panne, ou pour se connecter depuis un autre navigateur.

Çà m'avait échappé : mots de passe enregistrés dans le navigateur = FAIL ! 
Même avec un master password : il est plus facile d'attaquer un poste lambda qu'un serveur raisonnablement sécurisé. Il ne manque plus que les sessions non déconnectées et maintenues actives via un cookie...  )


(Désolé pour les digressions techniques... mais c'est un peu mon dada depuis longtemps.  )

[AC]

Il faut arrêter avec la légende urbaine du stagiaire qui a accès à tous les mots de passes [...] totalement hors de portée d'un stagiaire ni à la portée du premier administrateur venu

Dans le SI idéal que tu décris, le stagiaire et la femme de ménage se contenteront de poser un keylogger sur le câble du clavier et de le récupérer le lendemain. Mais bon, si la politique de sécurité spécifie que les employés sont tenus de contrôler l'intégrité physique de leur poste de travail à chaque fois qu'ils reviennent des WC, messieurs Sarbanes et Oxley doivent être satisfaits...
(source)

Tu vas me rétorquer qu'on a inventé la résine epoxy et la saisie des mots de passe sur clavier virtuel aléatoire pour traiter ce risque là. Mais comme ça ne suffit toujours pas, Google, Facebook & co sont en train de déployer l'authentification two-factor qui envoie des codes par SMS. Ça améliorera les choses jusqu'à ce qu'on s'aperçoive que nos téléphones sont largement aussi vérolés que les PC.

2 politiques différentes selon que l'on soit sur un système de confiance (sous notre contrôle ou dans un SI répondant à des normes de sécurité standardisées)

Tu peux me citer un système qui est vraiment sous ton contrôle ?

• Mon smartphone Android sauvegarde automatiquement la clé de mon réseau WiFi dans le cloud de Google pendant que les Google Cars espionnent le même réseau WiFi (dormez tranquilles, c'est juste pour améliorer la précision du système de localisation par SSID qui enregistre "anonymement" les déplacements de mon téléphone afin de mettre à jour les cartes de Google Maps).
• Ma box ADSL, qui voit passer toutes mes communications non chiffrées, est un PC Linux embarqué bidouillé et téléadministré par mon opérateur télécom, déployé à des millions d'exemplaires identiques, donc une cible de choix pour les pirates.
• Mon navigateur fait aveuglément confiance à une cinquantaine d'autorités de certification - certaines domiciliées dans des pays où je refuserais de mettre les pieds - qui ont donc chacune le pouvoir de faire intercepter mes communications HTTPS.

Bref, c'est le bordel. Mais ce n'est pas une excuse pour prendre des mauvaises habitudes avec les mots de passe. Ne soyons pas le maillon faible

mots de passe enregistrés dans le navigateur = FAIL !

Que préfères-tu:

• Des mots de passe aléatoires enregistrés dans le navigateur avec un master password ?
• Ou un mot de passe unique utilisé sur tous les sites Internet sauf la banque ?

J'ai l'orgueil de penser que parmi les serveurs de tous les sites Internet que je fréquente, il y en a au moins un qui est moins bien sécurisé que mon PC. Par conséquent la solution 1 est préférable. Edit: Je ne dis pas que c'est l'idéal, mais c'est un pas dans la bonne direction pour les gens qui utilisent encore le même mot de passe pour tous leurs comptes. Ta "password card" c'est évidemment mieux, mais amha difficile à faire adopter par le grand public.

[Bomby]

Phil67, AC et Kovaks, merci tout d'abord du signal apporté.

Grâce à vos désaccords partiels clairement argumentés, on découvre me semble-t-il plein d'aspects et d'éclairages intéressants sur la sécurité informatique et la conception et sécurité des mots de passe...

Ne serait-ce que, pour ce qui me concerne, l'évidence pourtant oubliée qu'une combinaison de lettres est numériquement moins facile à casser qu'une combinaison de chiffres...

Si je peux me permettre de rajouter cependant deux petits éléments de complexité supplémentaires pour avoir vos avis, plus une question supplémentaire...

Quid, tout d'abord, de la pertinence de varier les identifiants, et non seulement les mots de passe ? Serait-ce s'encombrer inutilement l'esprit, parce que par exemple, le stockage des identifiants sur un serveur répondrait généralement à bien moins de sécurité que celui des mots de passe, ou bien ceci peut-il avoir un réel intéret?

Ensuite, et peut-être le plus important, sur un certain nombre de sites, intranet ou internet, l'utilisateur n'a pas réellement le choix de la structure de son mot de passe... Le nombre de caractères, l'alternance de ceux-ci entre lettres, chiffres et éventuellement autres signes, l'usage de la ponctuation ou d'une ou plusieurs majuscules, un certain nombre de critères peuvent restreindre les possibilités de choix, et donc notamment la possibilité de décliner une formule que l'on aurait personnellement adoptée pour développer des mots de passe différents à partir d'une même formule, de façon à les mémoriser plus facilement...
Dans cette perspective, quelles seraient vos préconisations pour adapter au moindre risque les pistes déjà lancées de structuration des mots de passe ?

Enfin, question supplémentaire et probablement naïve, serait-il éventuellement envisageable, ou au contraire aberrant, d'enregistrer tout ou partie de ses mots de passe, non pas sur un post-it qui traîne à proximité de son PC mais dans un fichier informatique, par exemple Word, Excel,  Pdf ou Gif, en espérant pouvoir camoufler à la fois celui-ci et le contenu de celui-ci dans la forêt de fichiers identiques existant sur le support de stockage (éventuellement carrément le disque du PC concerné) ? La difficulté serait alors de se remémorer de ce camouflage, mais ceci me semblerait une difficulté a priori moins élevée que celle de mémoriser pléthore d'identifiants et mots de passe, appelés à changer relativement régulièrement... Si l'on évite évidemment d'y mentionner les mots "log-in", "identifiant", "password", et toutes autres déclinaisons du même genre, ce devrait a priori être assez compliqué à retrouver pour un tiers, non ?

Cordialement,

Bomby

[AC]

Encore une piste de réflexion pour les partisans d'une dichotomie entre les sites "de confiance" et les autres:

Combien de gens ont créé un jour un compte chez Google avec un mot de passe faible, juste pour sauvegarder leurs préférences de recherche, puis au fil des années ont fini par lui confier leur courrier (gmail), leur carnet d'adresses, leur agenda, leurs trajets (Maps) puis finalement tout le contenu de leur smartphone (Sync) ? Combien ont pris la peine de renforcer leur mot de passe ensuite ?

Idem pour Facebook: On s'inscrit avec un mot de passe bidon juste pour pouvoir consulter le profil d'un pote, puis on finit par y étaler toute sa vie privée.

De plus tous les grands sites sociaux sont en train de passer des accords de "Single Sign-On", ce qui veut dire qu'après s'être authentifié sur un site, on est reconnu sur les autres. Donc avoir un mot de passe faible sur un site qu'on aura classé "tout venant" risque de fragiliser l'accès aux sites "de confiance". (Heureusement pour l'instant le SSO n'est pas activé automatiquement, si j'ai bien compris).

@Bomby:

L'entropie des chiffres, ce n'est pas un problème dès lors qu'on a renoncé à apprendre tous les mots de passe par coeur. Il suffit d'en mettre davantage (3,3 bits par chiffre vraiment aléatoire contre 4,7 bits par lettre vraiment aléatoire). Les sites qui limitent la longueur des mots de passe se font rares.

Varier les identifiants n'apporte pas fondamentalement de sécurité pour les raisons que tu as données, sauf si tu crains une attaque ciblée à la limite du social engineering (exemple: tu publies tes photos de vacances sur un site, et tu utilises le même pseudo sur un autre site où l'on peut récupérer un mot de passe oublié en répondant à une question "secrète" du genre "quelle est votre ville préférée"). C'est utile aussi si tu ne veux pas qu'on sache que tu es inscrit à la fois sur davidmanise.com et sur fanclubdebeargrylls.com.

Cacher les mots de passe dans un fichier: bof bof. Quand un expert de la police scientifique veut faire parler un disque dur, je suppose qu'il commence par regarder la liste des fichiers consultés ou modifiés récemment (soit via le menu ad-hoc de MS Word/Excel, soit en examinant les attributs dans le filesystem), et ton fichier secret y serait à coup sûr. Les spywares doivent faire la même chose.
http://www.securite-informatique.gouv.fr/gp_article45.html:

L’inscription de son mot de passe sur un bout de papier n’est pas toujours à proscrire, et cela dépend de l’environnement dans lequel on se trouve. Par exemple, cela est envisageable voire recommandé chez soi, où l’on est seul à avoir accès à l’ordinateur, mais pas dans un environnement partagé tel que le travail.

[mrfroggy]

Apres avoir lu tout ça, je me dis que mon carnet de note papier n est pas une mauvaise idée(pour le domicile comme dit plus haut)
Pour les plus suspicieux, meme si vos mots de passe sont notés tel-quel, vous pouvez "coder" a votre maniere l énnoncé de celui-ci.
exemple: bordzibzhr    ry  ditbor: 147@78 mi+ <- mot de passe
                vie sauvage et  survie
je tape la lettre a droite(sur le clavier) de celle qu il faudrait.
Et a part un cambriolage, qui peut vous piquer votre carnet de papier ? pas un hackers en tous cas.

[AC]

Et surtout, je n'ai rien à cacher aux bleus, mais plus à un piratin de salon, qui, nécessairement, aura moins de temps à y consacrer. Parce que quand un flic a un os, il le lâche pas. C'est patient, ces  bêtes là. Alors que le boutonnus geekus l'est beaucoup moins. 

Tu as coupé la suite de mon raisonnement: Je suggérais que l'astuce consistant à examiner prioritairement les fichiers consultés ou modifés récemment est tellement triviale qu'elle doit être intégrée dans les procédures de toutes les polices scientifiques du monde. De toute façon la justice n'a pas besoin d'aller fouiller dans ton disque pour accéder à tes comptes en ligne: il lui suffit d'envoyer à Google et Facebook une lettre à en-tête bleu-blanc-rouge avec ton adresse IP et les références aux articles du CPP qui vont bien. (Edit) Et si les réquisitions ne franchissent pas les frontières, elle peut toujours s'adresser à ton opérateur télécom.

Autre argument contre la technique du fichier caché: Si un pirate a pris le contrôle de ton PC à distance, il peut probablement intercepter au moins un de tes mots de passe (par exemple en espionnant le clavier). Si il soupçonne qu'il y en a d'autres quelque part, il va lancer une recherche sur tout le disque pour trouver les fichiers qui contiennent le mot de passe qu'il connait déjà. Donc, un minimum de stéganographie ou de chiffrement s'impose. Mais bon, j'admets que là on est dans un scénario franchement parano d'attaque ciblée par un adversaire persévérant.

[Solstice]

Je reprends un point de phil 67

Il faut arrêter avec la légende urbaine du stagiaire qui a accès à tous les mots de passe : dans un SI avec des normes de sécurité sérieuses (banques, industries sensibles, entreprises soumises aux normes Sarbanes-Oxley, etc...) les mots de passe critiques ne circulent JAMAIS en clair, ne sont JAMAIS stocké en clair, TOUJOURS dans un format non réversible et ne peuvent JAMAIS être récupéré sans procédure de réinitialisation (tracée par ailleurs).

Ben justement, y'a quand même un paquet de boites qui traitent des données potentiellement sensibles qui ont fait de gros fails en ne protégeant pas les dites données... L'exemple le plus parlant selon moi restera TMG (Trident Media Guard), boite qui bosse pour la Hadopi (bossait?) et censée récupérer les adresses IP des "vilains pirates" et qui stockaient ça en clair sur un pauvre serveur Windows... J'ai encore d'autres exemples en tête mais celui là est assez potache je trouve. Y'a énormément de boites, d'institutions publiques, etc... ou il n'y à pas une politique de sécurité sérieuse alors que leurs serveurs contiennent des données sensibles, ce qui donne droit à d'énormes leaks.

Pour en revenir au sujet, les mdp c'est bien, mais il faut surtout penser global. Y'a un paquet d'autres moyens d'obtenir les infos désirées que par un simple brute force. Le meilleur moyen d'éviter de se faire hacker , c'est d'éviter d'utiliser un pc, ou de ne rien faire de sensible avec ;-)

[mag]

mots de passe sur clef usb,ou sinon dans ton crâne c 'est toujours plus fiable