Communauté Orange
Recherchez dans la Communauté

Vous avez une question ?

Interrogez la communauté

internet & fixe protéger mes données et mon accès internet
Voir tous les sujets internet & fixe

Caractères spéciaux interdits dans les mots de passe... wtf ?

L_DUVAL
contributeur occasionnel
Posté le
‎14-03-2019 12h45
3 822  

Caractères spéciaux interdits dans les mots de passe... wtf ?

Bonjour,

 

ce message n'est pas une demande d'assistance, mais un billet d'humeur à l'attention des gens qui gèrent la sécurité des comptes mail Orange.

 

Aujourd'hui, je me connecte sur un compte mail @wanadoo.fr que j'utilise rarement (une à deux fois pas mois). On me demande de changer mon mot de passe car le précédent n'est pas suffisamment sécurisé. J'entre un nouveau mot de passe, 8 caractères minimum, au moins une majuscule, une minuscule et un chiffre, jusqu'ici tout va bien. Mais au moment de passer au champ suivant, message d'erreur : Mon mot de passe contient des caractères interdits. Après quelques essais, il s'avère que le système de mots de passe d'Orange n'accepte pas (ou plus) les caractères tels que ~éà%çù$¨^ etc.

 

Aux nuls qui ont mis ça en place : Avez-vous la moindre notion en matière de sécurité informatique ? Avez-vous la moindre connaissance mathématique du fonctionnement d'une attaque par force brute ? En réduisant le nombre de caractères des mots de passe à 62 (26 minuscules + 26 majuscules + 10 chiffres), vous faîtes un véritable cadeau aux hackeurs...

 

Juste en prenant les caractères non-alphanumériques présents sur un clavier azerty (j'en ai compté 45) pour un mot de passe de 8 caractères :

62^8   =           2,18 * 10^14 possibilités.

(62+45)^8 = 171,81 * 10^14 possibilités.

 

Cela signifie qu'il faut 80 fois moins de travail pour casser par force brute les mots de passe de 8 caractères avec votre interdiction des caractères spéciaux (et plus le mot de passe est long, plus l'écart se creuse). Magnifique exemple de sécurité informatique, bravo...

 

Voir le sujet
Répondre
0 Top
4 RÉPONSES 4
PhilDur
#TopMembre
#TopMembre
Posté le
‎22-03-2019 12h48
Modifié le
24/03/2019
3 725  

Re: Caractères spéciaux interdits dans les mots de passe... wtf ?

Salut  @L_DUVAL 

 

Je suis assez d'accord avec toi.

 

Mais on peut s'en tirer simplement

 

@L_DUVAL  a écrit :

 

Juste en prenant les caractères non-alphanumériques présents sur un clavier azerty (j'en ai compté 45) pour un mot de passe de 8 caractères :

62^8   =           2,18 * 10^14 possibilités.

(62+45)^8 = 171,81 * 10^14 possibilités.

 

Même si ce n'est pas X^8 qu'il faut considérer mais le nombre de combinaisons de x caractères pris dans un ensemble de Y caractères, tu as raison le paramètre longueur du mot de passe est le déterminant principal de la "force" d'un mot de passe.

 

 

Si on regarde ce que ça donne en faisant varier les paramètres X et Y avec  :

  • Y qui vaut 95 (environ si on n'interdit rien) ou 62 (si on s'en tient à la restriction Orange)
  • X est la longueur du mot de passe

alors on obtient le tableau suivant :

Longueur du mot de passe Jeux de caractère utilisé
Orange 65 car. utilisables
   Tous 95 car. utilisables
8 318 644 812 890 625   6 634 204 312 890 625
9 20 711 912 837 890 600   630 249 409 724 609 000
10 1 346 274 334 462 890 000   59 873 693 923 837 900 000
11 87 507 831 740 087 900 000   5 688 000 922 764 600 000 000

J'ai obtenu ces chiffres avec la fonction  PERMUTATIONA du tableur de Libreoffice

 

On voit ainsi que l'impact du nombre de caractères utilisés est largement compensé en allongeant la préconisation sur la longueur à au moins 10 caractères.

Avec un mot de passe de 8 caractères et le jeu complet de caractères,

on obtient         6 634 204 312 890 625 possibilités

Avec un mot de passe de 10 caractères et le jeu Orange de caractères,

on obtient 59 873 693 923 837 900 000 possibilités

 

A mon humble avis, ça ne vaut pas la peine de se battre cotre l'archaïsme, il a la peau dure !

En allongeant nos mots de passe à 10 caractères on aura une bien meilleure sécurité.

 

Mais qu'on ne se trompe pas, je suis d'accord avec toi, la limitation imposée par Orange n'a aucun sens, c'est malheureusement un héritage probable d'un passé ancien que personne n'a jamais eu l'idée de remettre en cause.

 

On tombe là en plein sur une sclérose caractéristique :

"C'était bien comme ça, pourquoi changer ?"

 

 

Cordialement

PhilDur

Faites confiance aux produits libres : Firefox, Thunderbird, LibreOffice, Irfanview, VLC, 7-zip, FileZilla
Votre machine vous en remerciera
Voir le sujet
Répondre
0 Top
L_DUVAL
contributeur occasionnel
Posté le
‎26-03-2019 13h50
Modifié le
26/03/2019
3 668  

Re: Caractères spéciaux interdits dans les mots de passe... wtf ?

Le nombre de combinaisons est x^y, on est d'accord.

 

62 caractères différents pour un mot de passe de 8 de long donne bien 62^8 combinaisons. [paragraphe supprimé]

 

Tout à fait d'accord avec toi, la longueur est le meilleur moyen de sécuriser ses mots de passe. On peut tout de de même se demander pourquoi Orange ne passe pas la longueur minimale à 10 caractères, pour compenser la limitation aux caractères alphanumériques.

 

Et en parlant de longueur, je me suis aperçu, en changeant un mot de passe il y a quelques jours,  qu'on ne peut pas dépasser 16 caractères de long. Encore une limitation dont on peut se demander quelle en est la raison, et qui paraît non pertinente en termes de sécurité.

 

Voir le sujet
Répondre
0 Top
PhilDur
#TopMembre
#TopMembre
Posté le
‎26-03-2019 14h36
3 656  

Re: Caractères spéciaux interdits dans les mots de passe... wtf ?

Non le nombre de combinaison n'est pas x^y

C'est un truc beaucoup plus compliqué :  c'est  x! / [ y!  (x-y) ! ]

Voir cet article

 

Mais on s'en tape, le principal c'est d'allonger le mot de passe.

 

 

 

@L_DUVAL  a écrit :

...on ne peut pas dépasser 16 caractères de long. Encore une limitation dont on peut se demander quelle en est la raison...

La c'est plus compréhensible, quand le minimum est 8, 32 c'est presque déjà l'infini.

Quand on envisage les longueur de 10 voir 16, il faut porter la limite max à une valeur nettement supérieurs. Pour rester dans des valeurs magiques 64 ou 128 semblent, aujourd'hui très long.

 

Le problème avec l'informatique c'est qu'il faut mettre une limite.

Orange a conservé des valeurs limite qui datent d'une époque ou il y avait quelques centaines de milliers d'internaute et où on utilisait encore les ports 25 et 110.

 

Le fond de l'affaire, c'est que leurs équipes de développeurs sont encadrées par des vieux birbes complètement sclérosés.  Ce qui serait grave serait de trouver parmi eux des p'tits jeunots trentenaires.

Autant je fais confiance à leurs équipes techniques, autant ceux qui prennent les décisions auraient bien besoin d'un bon vieux rajeunissement culturel.

 

Cordialement

PhilDur

 

Faites confiance aux produits libres : Firefox, Thunderbird, LibreOffice, Irfanview, VLC, 7-zip, FileZilla
Votre machine vous en remerciera
Voir le sujet
Répondre
0 Top
L_DUVAL
contributeur occasionnel
Posté le
‎26-03-2019 19h46
3 629  

Re: Caractères spéciaux interdits dans les mots de passe... wtf ?

@PhilDur  a écrit :

Non le nombre de combinaison n'est pas x^y

C'est un truc beaucoup plus compliqué :  c'est  x! / [ y!  (x-y) ! ]

Voir cet article

Ce dont tu parles, c'est le nombre de combinaison de 8 caractères différents dans 62 possibles. Comme un mot de passe autorise la répétition des caractères, cela donne 62 possibilités pour le 1er, 62 pour le 2ème, 62 pour le troisième, etc. Donc 62^8 (si 8 caractères évidemment).

 

Ton analyse sur le pourquoi de ces 'restrictions d'un autre âge' semble plausible, effectivement.

 

Cordialement,

L.DUVAL

Voir le sujet
Répondre
0 Top

Vous avez une question ?

Interrogez la communauté
FAQ et liens utiles

Déjà 755252 membres inscrits 🧡

1547 personnes actuellement en ligne

Tous les membres en ligne