internet & fixe mon mail Orange

Voir tous les sujets internet & fixe

Bonjour @chris05 

Non. Il n'est pas nécessaire de changer le mot de passe d'application si on change le mot de passe de base du compte orange associé.

Mais en terme de sécurité, les 2 mots de passe sont liés. Il faut s'identifier avec l'adresse et le mot de passe de l'adresse racine pour générer ou modifier un mot de passe d'application...!!!

Pour qu'un pirate ne puisse pas accéder au mot de passe d'application il faut qu'il ne puisse pas accéder au compte racine par son mot de passe de base. Donc il faut impérativement activer Mobile connect avec protection renforcée...

C'est donc une nouveau palliatif de Orange un peu usine à gaz, car Orange ne se décide pas à mettre en place une vraie double authentification 2FA.

Ce n'est que mon avis...!

Le mot de passe d'application : seulement minuscules. Donc 26 puissance 20.

Un mot de passe "classique" de 20 caractères minuscules, Majuscules, chiffres et 5 (par exemple) caractères spéciaux : 67 puissance 20. (26+26+10+5) est donc beaucoup beaucoup plus solide.!!!

Y'a pas photo.

Cdt

Merci @Tanvala 

---

@Tanvala  a écrit :

Bonjour @chris05 

 

.............puissance 20............

 

 

---

et encore ça peut être certainement bien plus de 20 selon le compte ou l'on veut s'identifier et/ou le logiciel que l'on utilise (thunderbird, firefox,....) sans doutes une limite pouvant aller jusqu'à 128 ou 256.

Tout ça pour dire/vérifier qu'il serait plus judicieux de conseiller les gens à utiliser des mots de passe (très) longs sur lesquels on ne revient pas (tant est si bien que l'appli les retient) plutôt que de leur demander sans cesse (et sans explications) de changer leurs mots de passe.

Toutefois rien ne nous dit que demain(en temps informatique) des attaques brute force ne seront pas capable de trouver un mot de passe 100 puissance 256.

Re @chris05 

20 c'est la longueur choisie par Orange pour le mot de passe d'application.

Rien n'empêche bien sûr de prendre un plus long pour ses mots de passe courants de ses différents comptes.😃

Même avec les super calculateurs de la NSA il y a de quoi tenir un moment pour la force brute.

Et un pirate lambda (à défaut de NSA) ne va pas dépenser des sommes folles de coût  minute des supers computers pour craquer le mot de passe de messagerie d'un utilisateur lambda aussi. Le jeu n'en vaut pas la chandelle.

---

@chris05  a écrit :

Merci @Tanvala

...Toutefois rien ne nous dit que demain(en temps informatique) des attaques brute force ne seront pas capable de trouver un mot de passe 100 puissance 256.

 

---

Certainement avec les ordinateurs quantiques déjà en expérimentation en labo.

Mais vu le coût minute de ces engins, il faudra pas mal d'années (décennies) pour s'en servir au quotidien autrement que pour trouver la combinaison du coffre fort de Fort Knox...

Mes arrières arrières petits enfants verront ça. Quant à moi, pour l'instant mes pratiques prudentes d'interface chaise-clavier devraient me permettre de tenir encore un peu sur l'accès à mes divers comptes...

Mais je ne laisse quasiment rien en ligne sur les serveurs d'Orange tant que Orange n'aura pas mis en place la double authentification 2FA. Isn't...?

Cdt

Bonjour @chris05 

@Tanvala 

Il n'y a pas contradiction entre les deux mentions que tu soulignes. Regarde les dates de publication !

Pourquoi m'interdirais-je (ou s'interdirait-on) de conseiller de changer de mot de passe périodiquement quand on voit le nombre de piratages pour cause de mots de passe trop faibles, ne serait-ce que sur ce forum ?

J'ai tapé pour toi "piratage" dans la zone de recherche : Le compteur est bloqué à 7000 résultats.

***********

Le reste n'est que pinaillage et je laisse volontiers ce genre de discussion aux puristes.

Au delà de la longueur du mot de passe, ne pas perdre de vue que l’intérêt principal d'un mot de passe d'application tel qu'il est implémenté par Orange est d'interdire la possibilité de siphonner les mails d'un compte à l'aide d'un courrielleur qui ne connait pas ce mot de passe. Donc le l'interdire aux petites frappes pré-citées.

... que se passe t'il si l'on change notre mot de passe (principal) du compte Orange?

Faut il générer un nouveau mot de passe dédié (comme pour les mdp d'appli gmail) ou pas ?

Pour répondre précisément à tes questions :

Si on change le mot de passe d'un compte ("principal", quoi que cela veuille dire ? Je dirais plutôt "ordinaire"), le mot de passe est changé. Il ne se passe rien d'autre que l'obligation d'utiliser le nouveau mot de passe pour s'identifier sur le portail. Rien n'empêche de le constituer d'autant de caractères qu'on le souhaite si ça peut rassurer.

Le mot de passe d'application reste le mot de passe d'application connu dans tous les courrielleur utilisés par l'abonné.

Pour changer le mot de passe d'application, il faut passer par une révocation et re-génération, comme indiqué dans mon article puis réintroduction dans chaque courrielleur.

Les deux mots de passe d'un compte ("ordinaire" et "d'application") sont indépendants l'un de l'autre.

L'existence d'un mot de passe d'application n'enlève rien à tout ce qui a été dit ou peut encore être dit sur la force des mots des passe "ordinaires" et qui reste valable. Il ne fait qu'ajouter une couche de sécurité supplémentaire et boucher le trou de sécurité laissé béant en son absence.

[Edit : @papou22 merci de respecter les Règles d'Usage du forum]

@moderateur_ 

Qu'est-ce que c'est que cette censure dictatoriale ? Merci de bien vouloir m'expliquer en quoi ce post ne respecte pas les règles d'usage du forum...

https://communaute.orange.fr/t5/premiers-pas-sur-le-forum/R%C3%A8gles-d-usage/m-p/404#M49

Je n'y vois nulle part l'interdiction de mentionner les sources les plus communes de piratages sur le web. Information publique largement relayée ailleurs que sur ce forum !

---

@papou22  a écrit :

Bonjour @chris05 

 

Le mot de passe d'application reste le mot de passe d'application connu dans tous les courrielleur utilisés par l'abonné.

 

---

Bonjour @papou22  @Tanvala 

as tu essayé ?

Si j'ai posé la question, c'est que ce n'est pas indiqué.

@Tanvalasemble dire le contraire et au regard des des autres messageries qui utilisent les mot de passe d'application, notamment celles de microsoft ... un changement de mot de passe "ordinaire" (pour ne pas l'appeler principal) entraine la révocation du mot de passe d'application ... ce qui me paraitrait plus logique.

@chris05 

@Tanvala 

as tu essayé ?

Bah oui, j'ai essayé ! Et toi ?

A défaut, as-tu essayé de lire la doc ? (Paragraphe "Qu'est-ce qu'un mot de passe dédié")

Entre autres, ou y trouve :

"Il ne remplace donc pas le mot de passe de votre compte Orange : vous continuez à vous connecter à tous vos autres services Orange avec votre mot de passe habituel ou votre code Mobile Connect."

Et au sujet de la révocation :

"Si vous aviez généré un mot de passe pour logiciel ou application de messagerie tiers, il suffit de cliquer sur le bouton Révoquer. Pour des raisons de sécurité, les accès à cette boîte mail (protocoles POP/IMAP) depuis un logiciel ou une application de messagerie non fourni par Orange seront désactivés."

Seul l'accès POP / IMAP est désactivé. Le mot de passe ordinaire n'est donc pas impacté. 

En prime, on y trouve aussi une énormité dans le paragraphe "Pourquoi utiliser un mot de passe dédié" :

"Il vous évite de renseigner le mot de passe de votre compte Orange dans un logiciel ou une application non fourni par Orange. Cela réduit considérablement le risque de piratage de votre compte et de votre boîte mail Orange."

Je ne vois pas en quoi renseigner le mot de passe ordinaire d'un compte dans un logiciel de messagerie sur un équipement lui-même protégé des intrusions par le pare-feu de la box et celui de l'OS fait courir des risques considérables de piratage de compte !?

Par contre, je vois très bien pourquoi utiliser un mot de passe faiblard en mode webmail en fait courir aux mails et contacts qui  sont stockés sur le serveur au lieu de l'être sur le PC dans un logiciel de messagerie.

Bonjour @chris05 

---

@chris05  a écrit :

---

@Tanvalasemble dire le contraire

 

---

Non je n'ai pas dit le contraire.

Ce qui j'ai dit c'est que le fait de changer le mot de passe de base du compte ne change pas le mot de passe d'application, mais que si l'on connait le mot de passe de base du compte on a  accès à la gestion du mot de passe d'application. Pour le régénérer éventuellement (mais on ne peut pas le connaître). En ce sens seulement les mots de passe sont liés et j'ai rajouté aussi qu'il est donc important d'activer Mobile connect avec protection renforcée pour sécuriser l'accès au compte.

Ce qu'on a dit, @papou22  et moi, n'est donc pas contradictoire.

Ceci dit, pour moi ça reste de la cuisine Orange, à défaut de sa volonté de mettre en place une vraie double authentification 2FA.

Ce n'est que mon avis.!!

Si l'on aime cette cuisine Orange, le mot de passe d'application renforce la sécurisation de l'accès à un compte orange déclaré dans un logiciel de messagerie. @papou22  a raison sur ce point.

Après, à chacun de décider de l'utiliser ou pas.!

Cdt

@Tanvala 

@chris05 

Ce qui j'ai dit c'est que le fait de changer le mot de passe de base du compte ne change pas le mot de passe d'application, mais que si l'on connait le mot de passe de base du compte on a accès à la gestion du mot de passe d'application. Pour le régénérer éventuellement (mais on ne peut pas le connaître).

Correction votre honneur :

La re-génération d'un mot de passe d'application passe par une authentification à deux facteurs même lorsque Mobile Connect n'est pas activé ou est activé mais pas "renforcé".

Voir la doc :