Question:
Pourquoi dois-je avoir un mot de passe «fort» pour des sites comme celui-ci?
SPM
2014-12-02 21:58:05 UTC
view on stackexchange narkive permalink

Je ne partage aucune information personnelle avec StackExchange, je ne suis pas vraiment inquiet que quiconque essaie de pirater mon compte et je ne vois aucune incitation à le faire, et pourtant les exigences de force de mot de passe concernent le le plus fort que j'aie jamais vu.

Pourquoi ce site, et d'autres, insistent-ils sur des mots de passe forts? Quel est le raisonnement derrière cela? Je peux comprendre pourquoi ma banque insiste sur une sécurité élevée, mais ne dépend pas de moi dans quelle mesure je souhaite être sécurisé ici?

Votre question suppose que chacun comprend les risques potentiels et peut les évaluer correctement, puis modifier son comportement en conséquence. La plupart des personnes non techniques que je connais n'ont aucune idée réelle des vrais risques potentiels ou de la façon de les évaluer. Qui a le plus à perdre d'une violation embarrassante des données des utilisateurs, une personne aléatoire ou la société qui gère les sites et a une réputation à maintenir?
si vous demandez parce que vous ne voulez personnellement pas vous souvenir d'un long passage pour les sites de pile, je vous recommande d'utiliser un gestionnaire de mots de passe (lastpass ou 1password). alors vous ne penserez même jamais à des choses comme ça. Je considère les restrictions de mot de passe comme un point positif absolu - plus il y en a, mieux c'est (tant qu'elles ont un sens).
Le prix pour «la plupart des restrictions de mot de passe pour un service en ligne» revient bien entendu à Apple. Cela a du sens, car vous avez des informations sur votre carte de crédit et les téléphones se perdent souvent.
Je n'aime pas non plus les exigences de mot de passe complexes sur la plupart des sites. Ce qui me frappe le plus, c'est qu'il encourage uniquement la réutilisation des mots de passe, et la réutilisation des mots de passe (1) vainc la force d'un mot de passe et (2) est impossible pour le site Web à vérifier.
La vraie question devrait être de savoir pourquoi SE applique-t-elle une idée de mots de passe forts qui est FAUX FAUX FAUX.
Curieusement, la plupart des banques insistent pour que vous choisissiez des mots de passe faibles. PNC autorise 20 caractères maximum, ce qui est assez risible.
@Cubic J'ai eu des banques avec un maximum de 8 caractères. Mais je dois dire que mes favoris sont ceux qui trouvent que fn0@k9j est un mot de passe "faible", mais "Password11" est "fort". : facepalm:
@Cubic Ma banque a la restriction: un mot de passe doit correspondre exactement à 5 caractères. où rien d'autre en tant que chiffres et lettres minuscules n'est autorisé>. <
Je me souviens avoir lu quelque part que StackOverflow l'utilise pour inciter les gens à utiliser OpenId à la place. Mon google-fu m'a échoué ici.
@aitchnyu Je pense qu'OpenId est obsolète; Je me souviens avoir reçu un e-mail du SO pour passer à une autre méthode d'authentification
"MyOpenID" est obsolète, mais il existe des dizaines d'autres fournisseurs OpenID pris en charge par Stack Exchange. Ne confondez pas le protocole / standard OpenID avec l'implémentation "MyOpenID" de Janrain de ce protocole.
Veuillez faire plus de recherches avant de demander. Cela a déjà été demandé, répondu et analysé en détail auparavant. Si vous demandez une analyse technique des exigences de mot de passe pour un fournisseur de connexion ou des sites en général, consultez http://security.stackexchange.com/q/3913/971 (demandé par les gens de StackExchange pour les aider à choisir leur politique). Si vous posez des questions sur les sites StackExchange spécifiquement, cette question appartient à Meta.StackExchange, pas à Security.SE; dans ce cas, voir http://meta.stackexchange.com/q/187759/160917 et http://meta.stackexchange.com/q/110678/160917.
Si votre question concerne spécifiquement Stackexchange, seriez-vous prêt à le migrer vers Meta.stackexchange? S'il ne s'agit que de SE, je ne pense pas que ce soit le meilleur endroit pour cela. Si votre question ne concerne pas spécifiquement Stackexchange, avez-vous des objections à la modifier afin qu'elle ne concerne pas spécifiquement Stackexchange mais s'applique plus généralement?
Huit réponses:
Andrew Hoffman
2014-12-03 01:36:33 UTC
view on stackexchange narkive permalink

Vous souvenez-vous plus tôt cette année lorsque le cloud d'Apple a été piraté?

Eh bien, le cloud d'Apple n'a pas été piraté. Certaines célébrités avec des mots de passe très faibles ont vu leur mot de passe deviné.

Mais les gros titres liront toujours que le cloud d'Apple a été piraté. Et c'est pourquoi vous n'autorisez pas les utilisateurs à utiliser des mots de passe très faibles.

Cette réponse bénéficierait de quelques citations ou de la confirmation externe que le mot de passe deviner était la méthode d'exploitation.
Merci @DigitalChris, désolé j'ai supposé que c'était déjà largement connu. Ils sont très avertis en relations publiques et ne sont pas aussi impétueux que moi pour blâmer les mots de passe faibles, mais le dernier paragraphe incite les utilisateurs à utiliser des mots de passe forts afin d'éviter ce type d'attaque.
Je ne suis pas convaincu qu'il s'agissait de mots de passe faibles. Le communiqué parlait également de «questions de sécurité». Les questions de sécurité sont de fait des mots de passe secondaires et pour la plupart des célébrités, les réponses peuvent être facilement trouvées.
Vous semblez laisser entendre que la sécurité d'Apple est bonne. Veuillez lire ceci: http://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/all/
@MartinArgerami Je ne veux pas dire cela, je ne suis pas familier avec leur environnement.
@Andrew Hoffman Your Image - La combinaison de chapeaux est géniale xD
Mike Scott
2014-12-02 22:04:16 UTC
view on stackexchange narkive permalink

Certains utilisateurs ne fourniront aucune information personnelle et ne se soucieront pas si leur compte est piraté. D'autres le feront. Il est facile d'exiger des mots de passe forts de tout le monde, et difficile de déterminer quels utilisateurs appartiennent à quelle catégorie et n'exigent des mots de passe forts que de ce dernier groupe. Alors pourquoi se donneraient-ils la peine de le faire de la manière difficile?

Modifié pour ajouter: l'expérience nous montre que vous ne pouvez certainement pas compter sur les utilisateurs pour évaluer leurs propres exigences de sécurité et choisissez des mots de passe forts s'ils ont besoin de sécurité. De nombreux utilisateurs qui souhaitent et s'attendent à des niveaux de sécurité élevés choisiront néanmoins des mots de passe faibles s'ils sont autorisés à le faire.

Bien dit, Mike. Ce n'est pas parce que VOUS pouvez correctement évaluer le risque lié à l'utilisation d'un site Web et prendre des précautions que tout le monde le peut ou le fera. Mais lorsque la plage survient, ce ne sont pas les utilisateurs qui sont examinés et critiqués mais les gestionnaires du site.
Et si les utilisateurs utilisent le même mot de passe fort sur de nombreux sites?
Alors ce n'est pas un mot de passe fort. Bien sûr, il est difficile de _check_ pour cela, mais c'est néanmoins faible
Abe Miessler
2014-12-02 22:22:32 UTC
view on stackexchange narkive permalink

Ce n'est pas parce que cela n'a pas d'importance pour vous que cela n'a d'importance pour personne. J'ai eu un bon boulot sur le site d'emploi de StackExchange, basé en grande partie sur ma réputation sur les sites StackExchange. Si mon compte était compromis, il pourrait y avoir des conséquences très réelles pour des personnes comme moi.

Que vous vous souciez ou non de la compromission de votre compte, si un site nécessite un mot de passe, pourquoi ne l'exigeraient-ils pas? est-ce sécurisé? Ne pas exiger cela serait un exercice dans le théâtre de la sécurité.

Était sur le point de dire la même chose; pour les personnes qui utilisent leur vrai nom (que ce soit sur SE ou ailleurs), un compromis de leur compte peut nuire à leur réputation dans la vie réelle.
À moins que vous ne vous appeliez Bob Brown. Il y a une sacrée dose de Bob Browns. (L'image est réelle aussi; elle est là pour être un désambiguïsant.)
Cela ne répond pas vraiment à la question. Vous êtes libre de protéger votre réputation Stack Exchange en utilisant un mot de passe qui dépasse les exigences minimales de Stack Exchange.
@emory, est votre point de vue que les utilisateurs peuvent choisir d'être plus sûrs s'ils le souhaitent? Dans l'affirmative, je dirais que la sécurité ne devrait pas être laissée entre les mains de l'utilisateur. Si le site contient quelque chose de potentiellement précieux, il doit être protégé.
@AbeMiessler si StackOverflow nécessite un minimum de 8 caractères mais n'impose pas de maximum, alors l'utilisateur est libre d'être plus sécurisé s'il le souhaite. Peut-être que SPM évalue son compte SE à 100 $, le vôtre à 50 000 $ et moi le mien à 1 000 000 $. Ensuite, SPM pourrait dire que les politiques de mot de passe des SE sont trop strictes, vous pourriez dire qu'elles sont parfaites et je pourrais dire qu'elles sont trop lâches. Mais selon votre logique, SE devrait resserrer ses politiques de mot de passe pour protéger mon compte d'un million de dollars et vous devriez être obligé de prolonger votre mot de passe.
@emory - Je ne pense pas que votre `compte SE -> $ value` soit réaliste, mais oui - si le compte vaut _en fait_ $ 1,000,000, il devrait y avoir des exigences de mot de passe. Je suppose que mon point est que si le site pouvait potentiellement avoir quelque chose de valeur, les exigences en matière de mots de passe devraient refléter cela et, plus important encore, ** la sécurité ne devrait pas être laissée entre les mains de l'utilisateur final **. Je pense qu'il est tout à fait possible que quelqu'un pense que "password" est un mot de passe sécurisé. Juste par curiosité - quel type de politique de mot de passe le site Web de Bank of America devrait-il avoir si votre compte contient 1 $?
@AbeMiessler Je ne suis pas en désaccord avec les politiques de mot de passe de SE, juste avec votre réponse. Si votre compte SE vaut 50000 USD pour vous et 1,00 USD pour SE, la sécurité sera finalement laissée entre vos mains.
@emory, vous n'êtes pas d'accord pour dire que la sécurité ne devrait pas être la responsabilité des utilisateurs finaux?
La sécurité est en fin de compte une décision commerciale. Je n'apprécie pas beaucoup mon compte SE mais j'utilise un gestionnaire de mots de passe, de sorte que le coût d'un mot de passe à haute entropie est faible. Sans un gestionnaire de mots de passe, j'utiliserais probablement un mot de passe à faible entropie. La politique des SE doit avoir des coûts (des exigences plus strictes dissuaderont certains nouveaux utilisateurs) et des avantages (moins de comptes piratés).
Falco
2014-12-03 15:52:48 UTC
view on stackexchange narkive permalink

Votre mot de passe protège non seulement votre compte , mais également toute la communauté et la réputation de ce site. - Si de nombreux utilisateurs qui ne se soucient pas de leurs comptes utilisaient simplement "123" comme mot de passe, un attaquant pourrait probablement facilement accéder à quelques centaines de comptes SE. Tous les types de protection anti-spam pourraient être contournés en utilisant des comptes d'utilisateurs vérifiés et la page entière pourrait être inondée d'annonces, de calomnies ou pour des raisons politiques extrêmes.

De plus, de telles actions pourraient avoir un impact négatif sur l'ensemble du réseau SE , car ils ont facilement permis que leur service soit piraté et que toute la page soit utilisée pour de la propagande extrémiste sur le chocolat! De plus, de nombreuses pages offrent des moyens d'envoyer des courriels, de télécharger des fichiers ou d'autres moyens qui posent un problème en cas d'abus via un grand nombre de comptes piratés.

Les comptes pourraient probablement être utilisés de manière abusive pour héberger du contenu illégal ou envoyer du SPAM vers d'autres pages.

Je soupçonne qu'il serait à peu près aussi facile de payer les gens pour qu'ils s'inscrivent à des comptes SE et publient suffisamment de matériel pour être «vérifié par l'utilisateur».
Je ne sais pas à quel point les politiques d'inscription sont restrictives. Et il n'est pas anodin d'obtenir une réputation suffisante pour la plupart des fonctionnalités du site. Vous auriez donc besoin d'au moins des personnes qui écrivent un anglais acceptable et comprennent suffisamment pour publier de bonnes réponses et gagner en réputation. Pour mille comptes et un salaire de 1 $ de l'heure, vous parlez probablement de quelques milliers de dollars. Le piratage de mots de passe triviaux semble moins cher.
SPRBRN
2014-12-02 22:19:43 UTC
view on stackexchange narkive permalink

Vous pouvez vous connecter avec Gmail ou Facebook, je crois. Ensuite, ces règles s'appliquent. Pourquoi nous forcent-ils? Parce qu'ils le veulent. Ce n'est pas seulement que vous vous inquiétez du piratage de votre compte, mais ils peuvent également craindre que votre compte ne soit piraté. Pour vous - démarreur 1 point SE - pas vraiment un problème. Pour SE - dans votre cas - si vous ne devenez pas un utilisateur actif - pas de problème.

Alors vous commencez ici, vous trouvez de bonnes réponses et un support, vous en profitez, vous commencez à devenir un bon utilisateur actif, avec un mot de passe faible. Ensuite, vous avez de la crédibilité, et votre compte est piraté, du spam est publié. Je ne sais pas ce qui se passe alors, mais peut-être que votre compte est fermé ou supprimé. C'est beaucoup de tracas, SE doit vérifier votre identité - du temps et de l'énergie gaspillés!

Mis à part le fait que tous vos points sont perdus, de bons points que vous pouvez utiliser pour attirer l'attention sur les problèmes qui se sont perdus, SE perd un peu de crédibilité. Ensuite, ils ont deux autres incitations pour nous forcer à utiliser de bons mots de passe. Premièrement, il est moins attrayant pour les crackers d'essayer de pénétrer dans des comptes, et plus c'est difficile, moins les gens essaieront de le faire. Le second est celui du marketing et de l'éducation: ils nous apprennent à nous, les techniciens qui devraient le faire de toute façon, à utiliser de bons mots de passe et à trouver des solutions pour que nous puissions nous en souvenir.

JH Webb
2014-12-04 02:22:26 UTC
view on stackexchange narkive permalink

Ma femme et moi parlons constamment à nos enfants des habitudes. "Vous ferez ce que vous pratiquez". J'ai l'habitude d'utiliser LastPass Premium pour tous les mots de passe en ligne et d'activer l'authentification Google ou toute autre prise en charge de l'authentification multifacteur lorsque cela est possible.

Franchement, il y a très peu de mots de passe que je connais ou que je souhaite connaître. LastPass générera un mot de passe fort et je n'ai pas à m'en souvenir. Par exemple "8G62USWh @ C! PDP ^ F @".

J'aime aussi utiliser Open ID tel que Google ID, par exemple sur Stack. Cela me permet d'utiliser une authentification forte et multifactorielle.

Mais, d'une manière cynique vous avez raison, ce site n'a pas vraiment d'importance pour la sécurité. Mais quelle habitude pratiquez-vous?

En pratique, j'utilise un gestionnaire de mots de passe, mais j'ai interprété la question non comme une diatribe mais comme une curiosité intellectuelle. Pourquoi les exigences minimales de mot de passe de Stack Exchange dépassent-elles (évidemment) celles de la plupart des banques? Cela ne devrait-il pas être l'inverse. Peut-être que SE sait que la plupart de ses utilisateurs utilisent des gestionnaires de mots de passe et qu'ils peuvent s'en tirer avec des exigences plus strictes. Peut-être que les utilisateurs SE qui oublient leur mot de passe s'inscrivent simplement pour un nouveau compte alors que les clients bancaires qui oublient leur mot de passe consomment 2 heures de temps au guichet pour le réinitialiser. Il doit y avoir une explication commerciale.
emory - comparer avec les banques est tout simplement faux. Vous ne pouvez pas supposer que toutes les banques le font correctement. De plus, les banques avec lesquelles j'ai travaillé sont un mot de passe long (plusieurs mots de passe) plus 2FA pour les activités à haut risque.
Jeff Burdges
2014-12-04 00:44:53 UTC
view on stackexchange narkive permalink

Tout d'abord, vous devez mettre des mots de passe sur vos comptes bancaires afin que des informations personnelles banales comme votre anniversaire ne puissent pas être facilement utilisées contre vous.

Deuxièmement, vous devriez avoir un gestionnaire de mots de passe comme KeePassX.org qui rend le stockage des mots de passe raisonnables mais pas super critiques relativement facile.

Troisièmement, vous ' Il est tout à fait exact que les sites typiques n’ont pas besoin d’un mot de passe fort, même s’ils le souhaitent.

Dans le cas de Stack Exchange cependant, il existe un site careers.stackoverflow.com sur lequel vous pouvez partager des informations personnelles. Vous devriez probablement sécuriser votre mot de passe ici à peu près aussi étroitement que vous sécurisez votre mot de passe Facebook, mais pas aussi étroitement que vous le sécurisez, dites votre mot de passe Gmail.

bwDraco
2014-12-04 12:53:05 UTC
view on stackexchange narkive permalink

Certains sites Web, y compris Stack Exchange, permettent aux utilisateurs d'obtenir des privilèges qui pourraient être exceptionnellement dommageables pour l'ensemble du site Web et de la base d'utilisateurs en cas d'abus , par exemple si un utilisateur malveillant prend le contrôle du compte. En supposant que le site hache correctement les mots de passe une fois stockés, il n'est pas facile d'évaluer la force du mot de passe (sans utiliser une attaque par force brute consommatrice de ressources et de temps côté serveur) une fois le mot de passe soumis, (en théorie, la valeur de la force du mot de passe pourrait être stocké au moment de l'inscription pour référence future, mais c'est une mesure très inhabituelle et je l'ignorerai dans cette réponse.)

Disons qu'un utilisateur de Stack Exchange a un mot de passe faible. Que se passe-t-il si l'utilisateur participe activement pendant une période donnée et finalement est élu ou nommé en tant que ♦ modérateur sur un site SE particulier?



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...