internet & fixe mon mail Orange

Voir tous les sujets internet & fixe

Bonjour Bof92

Tu te présente comme "dinosaure" mais tu as quand même un côté "geek" (prononcer guique) vu l'utilisation d'un outil de génération de mots de passe.

Dans la suite je me base sur une longue expérience professionnelle (+ de 40 ans).

Si on suit à la lettre les consignes de "experts en sécurité" on aboutit à une perte de sécurité.

Partout (et c'est vraiment partout, je n'ai jamais vu d'exception) où des règles strictes ont été mises en place, les utilisateurs ont fini par noter sur un papier leur paramétrage d'accès sécurisé.

La règle du changement périodique, surtout si elle est assortie d'une intrediction de réutiliser les N derniers mot de passe étant l'une des pires.

Ce que j'ai pu observer pour s'en sortir :

Les acractères utilisables sont à prendre dans des sous ensembles très limités :

• les lettres minuscules non accentuées
• les lettres majuscules non accentuées
• les chiffres
• l'espace (certains systèmes refusent ce caractère)
• les symboles et ponctuation simples comme les accolades, le "plus', ...

Les caractères à éviter :

• tout caractère appartenant à un sous ensemble lié à une langue (cédilles, trémas,tilde, ...)

Un mot de passe doit être long mais pas trop (autour d'une dizaine) et contenir un mélange de caractères pris dans au moins deux des catégories ci-dessus (avec 3 ça commence à aller mieux).

La meilleure procédure pour créer un mot de passe et le retenir :

utiliser une phrase connue du créateur du mot de passe

un juron familier, une phrase typique d'une tierce personne connue, une réplique culte d'un film, ...

et prélever la première lettre de chaque mot

On termine en ajoutant un caractère de ponctuation ou un ou plusieurs chiffres

Exemple :

Je reprends ton mail en supposant que ta dernière phrase soit rituelle :

"On vit une époque formidable ! (dixit Reiser)"

va me donner "ovuef!dR"

Je vais pouvoir alors référer ta phrase culte par ton identifiant bof92 parce que je connais bien ton habitude à utiliser cette phrase (en l'occurrence, c'est faux mais ça pourrait être réel)

Je n'ai même pas besoin de rajouter quoique ce soit , j'y ai trouvé minuscules, majuscule et caractère spécial, si cette phrase était vraiment caractéristique de ta personne ce mot de passe ovuef!dR serait un bon mot de passe.

Si je l'utilisais pour ma messagerie Orange je pourrait écrire (sur papier ou dans un fichier excel dans une clé USB)

Messagerie Orange - bof92

L'utilisation d'un générateur de mot de passe peut s'avérer dangereuse :

- les mots de passe produits sont trop complexes, donc incitent à les noter en clair

- le logiciel risque de reproduire toujours les mêmes séquences (l'une des problématique de base de la cryptographie est d'obtenir un générateur de nombre aléatoire qui ne soit pas seulement capable de produire des nombres statistiquement aléatoire, les fonctions de type random() y arrivent toutes, mais encore il faut obtenir que si on reboote le système et qu'on force l'horloge interne à une valeur initiale donnée, on obtienne des séries de nombre distinctes et ce n'est pas gagné).

- la connaissance du code source du générateur peut s'avérer utile à un pirate ...

Bonjour Phil,

Merci pour ta réponse.

Tout d'abord, la question de l'appellation "dinosaure" ne concernait que la vision que pouvait avoir une grosse partie de la population (et assez probablement les décisionnaires d'Orange en charge de la sécurité de récupération des identifiants) sur le le fait de ne pas posséder de téléphone portable, avec pour conséquence ici de devoir ainsi attendre plusieurs jours avant de récupérer ses identifiants.

Sur la question des gestionnaires de mots de passe je crois que le déterminant essentiel est la quantité de mots de passe à retenir.

Si on pratique (et je connais un certain nombre de personnes dans ce cas...) l'universalité d'un seul mot de passe appliquée à l'ensemble des sites où il en faut un, la question ne se pose pas, du moins côté mémorisation... mais l'aspect sécurité d'une telle pratique est quelque peu "dans les choux", non ?

Avec la faille Heartbleed et la "joie" d'avoir à regénérer ses mots de passe, j'en ai eu un peu assez des limitations de Firefox concernant la gestion des mots de passe, comme celle consistant à ne pas pouvoir les éditer "manuellement", ni avoir de générateur de mots de passe, ni encore moins d'avoir un historique si on le désire.

Certes, je sais qu'il doit exister une ou plusieurs extensions permettant d'éditer ses mots de passe, mais qu'en est-il de leur fiabilité (aspect important concernant la gestion des mots de passe...) et, plus accessoirement, leur "durée de vie" en terme de suivi des évolutions d'un logiciel comme Firefox.

Par contre, l'exemple que tu expliques très bien sur les initiales des mots d'une phrase est, selon moi, fort pertinent si tu as un, deux, voire trois ou quatre mots de passe à retenir : en gros, applicable pour un ou des mots de passe "principaux".

Mais quand tu es inscrit sur plus d'une centaine de sites (forums, magasins etc...), c'est impossible de les mémoriser tous.

Donc, j'apprécie KeePass car avec plus d'une centaines de mots de passe à gérer, c'est nettement moins galère... du moins tant qu'il ne se plantera pas, où que je ne ferais pas une grosse bourde avec.

Quant aux limitations techniques d'un gestionnaire de mots de passe, telle la qualité des séquences (pseudo-) aléatoires de caractères générées, code source connu etc..., je pense que je suis nettement moins "sur" que KeePass (ou un autre un tant soit peu fiable) lorsque je génère moi-même des mots de passe qui se veulent "aléatoires".

Mais pour revenir à l'objet initial de mon message, il ciblait surtout le fonctionnement actuel fort regrettable de l'outil de changement de mot de passe de messagerie d'Orange.

En effet, celui-ci prend "son nombre" de caractères maximal (actuellement 16 caractères), quand bien sur ceux-ci sont valides de son point de vue et soit ne vous averti pas, soit je n'ai pas fais attention à l'éventuel message m'en informant.

Je pense fortement qu'il vaudrait mieux que dans tous les cas où cet outil ne peut prendre en compte l'ensemble des caractères proposés par l'utilisateur, il refuse le mot de passe proposé et informe clairement pourquoi : caractères non valides, trop peu ou trop grand nombre de caractères etc...

L'utilisateur corrige ensuite sa proposition tout en sachant sans ambiguïté que son mot de passe n'a pas été encore modifié.

Bien cordialement,

Pascal

Je souhiate mettre à jour mon mot de passe et orange refuse un chiffre. Le message dit qu'il contient un caractère spécial?

En contradiction avec la consigne ou dysfonctionnement?

Bonjour Pedro2

-> "Bonjour" ne résout aucun problème, ce n'est qu'humanité et convivialité
---> C'est pour ça que c'est absolument nécessaire.

Reprends dans mon post du 14 mai à 14h20

Si tu as des difficultés avec les caractères contenus dans le nouveau mot de passe

Essaye de ne pas utiliser d'espace ni de caractères de type symboles et ponctuation

arrange toi pour que ton mot de passe contienne un caractère au moins de chacune des catégories suivantes :

les lettres minuscules non accentuées

• les lettres minuscules non accentuées
• les lettres majuscules
• les chiffres

Déjà ça devrait aller mieux

PhilDur