Cybersécurité : Le Royaume-Uni interdit les mots de passe universels.

Cybersécurité : Le Royaume-Uni interdit les mots de passe universels.

Le Royaume-Uni s'attaque à la sécurité des objets connectés; l'industrie va désormais devoir être plus transparente, mais aussi abandonner les identifiants universels par défaut.

Le gouvernement anglais a récemment introduit une nouvelle loi votée en janvier dernier, qui vise à augmenter le niveau de sécurité global de tous les objets connectés, rassemblés sous l’appellation Internet of Things (IoT).

La Loi sur la Sécurité des Produits et l’Infrastructure de Télécommunication a ainsi été publiée au journal officiel anglais hier. Elle introduit de nouvelles normes de sécurité pour tous les acteurs qui produisent, importent et distribuent des appareils capables de se connecter à Internet. Cela comprend aussi les connexions indirectes d’appareils qui se connectent à un relais lui-même connecté au web; un cas de figure qui concerne par exemple de nombreuses solutions domotiques, comme des thermostats ou ampoules connectés.

Les mots de passe universels désormais illégaux

Cela commence par l’interdiction pure et simple des mots de passe universels par défaut, comme le célèbre “admin“, qui sont désormais bannis de l’écosystème informatique anglais. 

Source et suite de l'article.

C'est bien. Maintenant il va falloir faire comprendre aux utilisateurs pourquoi le prénom des enfants, leur date de naissance sont des mauvais mots de passe.

Le 29/11/2021 à 19:43, Black Dog a dit :

C'est bien. Maintenant il va falloir faire comprendre aux utilisateurs pourquoi le prénom des enfants, leur date de naissance sont des mauvais mots de passe.

Et ce n'est pas gagné 

Le 29/11/2021 à 19:43, Black Dog a dit :

C'est bien. Maintenant il va falloir faire comprendre aux utilisateurs pourquoi le prénom des enfants, leur date de naissance sont des mauvais mots de passe.

Je vous donne un mot de passe inviolable : 1 2 3 4 5 6 ou encore mieux AZERTY.

le mien c'est  " rosbeefs "

bonjour,

c'est déjà pas de la tarte avec tous ces mots de pass qu'il faut créer !

combien de fois, sur quelque chose peu visité, ai-je dû avoir recours au : mot de pass oublié ?

depuis, nous avons mon épouse et moi adopté une solution simple .....les noter , mais pas sur l'ordinateur, la tablette ou le téléphone ( qui sont devenu de véritable ordi ) mais suivant la bonne vieille méthode qui marche à tous les coups et n'a pas besoin de "jus" pour fonctionner....c'est à dire : le noter sur un cahier !

il n'est pas accessible ( ni piratable ) rapidement ce qui fait que pour s'en saisir, cela demandera un peu de temps et de jugeote et depuis...plus de soucis ! 

ce qui nous permet de mettre en place des mots de pass "forts" ....parce que sinon, s'en souvenir, même en utilisant la méthode de la phrase, c'est pas simple .

dans mon dernier emploi, il fallait les changer tous les 2 mois ....je tournais donc sur 2 mots de pass ! ( si le premier ne marchait pas, j’essayais le second et généralement, c'était bon ! ) il n'y avait qu'après les vacances que c'était problématique....avant même de se connecter, il fallait généralement le changer .....saloperie de mot de pass, l'ordi ( le téléphone) il peut pas savoir que c'est moi ?

bonne journée.

Le 30/11/2021 à 09:43, pic et repic a dit :

bonjour,

c'est déjà pas de la tarte avec tous ces mots de pass qu'il faut créer !

combien de fois, sur quelque chose peu visité, ai-je dû avoir recours au : mot de pass oublié ?

Ca...et le fait que chaque site ait des exigences différentes.

A un moment, je me suis dit que pour les choses sans importances (site internet, mails secondaires etc), j'allais utiliser le même mot de passe. Après tout, ça ne  leur servirait pas à grand chose vu que c'est souvent des trucs temporaires et qu'il n'y a aucune info perso/carte bancaire/données sensibles.

Du coup je me suis créé un mot de passe unique universel. Ils exigent majuscule, minuscule, caractère spécial, minimum 10 lettres et chiffres. Je me suis alors créé un mot de passe type C@c@99#4pp

Le problème ?

Au fur et à mesure, je rencontre des sites qui

- exigent plus que 10 lettres...
- n'acceptent pas des caractères spéciaux...
- Des sites de banque qui n'acceptent que des chiffres
Etc.

Au final, je me retrouve avec moi aussi une multitude de mots de passe totalement imbitables et impossibles à retenir.

Du coup, ras le cul, je les ai juste écrit dans un carnet...ou les enregistre dans le navigateur...

Super !!

Le pire ? Tout le monde sait que les mots de passe compliqué, c'est pour empêcher les attaques de type "brute force". C'est à dire un script qui teste des millions de mots et finit alors avec le temps et le hasard par trouver le mot de passe. Plus il y a des caractères spéciaux + longueur etc...

Et plus cela prends du temps voire des années et décourage donc les attaquants.

Mais bon sang, ça fait longtemps qu'on a trouvé une protection contre ça...Empêcher plus de 5 tentatives. Puis temps d'attente d'une heure et éventuellement message d'alerte sur le mail du compte. Voire même temps d'attente croissant. Avec cette méthode, même un mot de passe simple 6 lettres de type "carotte" résisterait pendant des années !!!

Mais au lieu de ça, les mecs font chier des milliards de gens avec des mots de passe compliqués. Qui au final les force à les écrire...C'est totalement débile !!

Le 29/11/2021 à 19:09, goods a dit :

Cela commence par l’interdiction pure et simple des mots de passe universels par défaut, comme le célèbre “admin“, qui sont désormais bannis de l’écosystème informatique anglais. 

bah c'est pas plus con que ça, vu le nombre de gens qui laissent ce mot de passe par défaut.
Sur les routeur orange c'était le cas. Moi je l'avais changé, et je pense que comme plein de gens ne le changeait pas un jour ils ont remis tous les mots de passe avec un identifiant unique correspondant au routeur, même ceux qui l'avais changé... les cons  ça m'avait fait un peu chier.

Le 02/12/2021 à 09:37, garthriter a dit :

Mais au lieu de ça, les mecs font chier des milliards de gens avec des mots de passe compliqués.

bonjour,

tout à fait d'accord....je me suis me souvent demandé avec la force brute, comment le mot de pass pouvait il être cassé, sachant que dès 3 erreurs, c'est bloqué, alors tester des milliers ( voir des millions ) de combinaisons, comment cela pouvait il être possible !

la solution du mail ( puisque le site le connait et vous envoie le cas échéant un nouveau mot de pass sur ce mail ) me semble plus que pertinent.

sur France Connect un mail est envoyé à chaque fois ...et si vous n'êtes pas l'auteur de cette connexion, c'est facile alors de comprendre que vous avez été compromis !

bonne journée.

Le 02/12/2021 à 09:47, pic et repic a dit :

je me suis me souvent demandé avec la force brute, comment le mot de pass pouvait il être cassé, sachant que dès 3 erreurs, c'est bloqué, alors tester des milliers ( voir des millions ) de combinaisons, comment cela pouvait il être possible !

Ca ne peut pas être cassé...
Tu  prends un simple mot de passe de 6 lettres, uniquement en majuscule, qui ne veut rien dire. Ca donne 308  millions de possibilités. Si tu limites à 3 essais par heure...il faudrait théoriquement 141 000 années...Et rien qu'avec une majuscule, ça donnerait 752 000 années.

Ca fait facile 15 ans que l'on sait qu'il suffit de limiter le nombre d'essais mais on continue d'emmerder les gens en leur imposant des mots de passe à la con qu'ils ne peuvent retenir et donc écrivent...c'est encore pire pour la sécurité...

Le 02/12/2021 à 09:47, pic et repic a dit :

la solution du mail ( puisque le site le connait et vous envoie le cas échéant un nouveau mot de pass sur ce mail ) me semble plus que pertinent.

Ca...le fait qu'aujourd'hui toute connexion avec un navigateur différent, voire une ip différente, peuvent générer un message d'alerte au possesseur du compte.