Survie administrative

En écrivant "vivre" je pensait "survivre" en fait, se préparer au survivalisme (soft ou dur selon option) sans ordinateur justement, comme moi qui achète des outils de perçage non électrique.
Quand j'ai commencé à bosser en 1976 il n'existait pas de petits ordinateurs ni de clavier/écran faisant l'interface directe, seulement des grosses machines, et les machines à calculer individuelles de bureau ne faisaient qu'addition et soustraction!!

Il fallait bien gérer des stocks et entreprises étaient déjà complexes. On y arrivait moins bien et bien plus lentement mais ça fonctionnait.
Je pense que si le scénario n'est pas le chaos total ces méthodes sont à retrouver et a maintenir.

-on peut faire des calculs complexes et relativement précis avec une "rêgle à calculer" qui est un système d'échelles mobiles coulissantes utilisant les logarithmes. On en trouve pour quelques euros sur Ebay (ne prendre que celles avec mode d'emploi). Si le mot logarithmes vous impressionne sachez qu'on apprenait à s'en servir au CAP d'employé de banque soit brevet des collège + 2!!!
Plus elles sont longues plus elles sont précises mais pas mettables dans la poche. Les employés de banque calculaient crédits et escomptes des clients à 1 franc près avec une rêgle de bureau de 35 cm, architectes et ingé se baladaient avec un modèle de 20 centimètres au fond d'une poche.

Pour ce qui est de la tenue des stocks il était des systèmes de fiches cartonnées très astucieux mais trop longs à décrire.

Quel rapport avec la survie administrative ?

Avoir une copie numérique de ses papiers administratifs et légaux "vitaux" pour la vie dans notre société actuel me semble effectivement nécessaire. Que ce soit sur clé usb ou cd/dvd (ou disquette mais là y'a de moins en moins d'ordi qui lisent les disquettes) Comme le dis Jocelyn

"C'est sensé te donner la possibilité d'avoir une copie des tes documents en cas d'incendie, évacuation, ou autre évènement dommageable..."

Cela n'empêche pas d'avoir aussi des copies papiers. Ni de se passer d'ordinateurs si on veut

A mon avis les administrations resteront informatisées aussi longtemps que ce sera possible (et rien ne dit que cela ne le sera plus). EN fait pour tout dire je pense que l'informatique nous est désormais devenu indispensable (à certains individus comme aux sociétés), à l'instar d'autres "inventions" comme la roue ou l'électricité, et que l'on trouvera toujours des solutions pour ça, même sans pétrole.

Pour rappel un gsm basique d'aujourd'hui est bien plus puissant (et bien plus petit) que les ordinateurs qui ont envoyé l'homme dans l'espace...

Message de yoda

yoda a écrit:en Photo, et dans les entreprises, on utilise aussi les CD et DVD Or

Leur particularité est la très fine couche de réflexion qui est en or
et donc plus stable que celle des disques à couche grise
eux-même plus stables que ceux à couche de réflexive verte
ou pire bleu-verte ou bleu.

C'est une question d'oxydation de la couche de réflexion

Attention aussi:
les support réinscriptibles ont une très médiocre durabilité de sauvegarde.

Bonjour,

J'aimerais ajouté le message suivant dans la rubrique "Survie administrative" :


Je me suis envoyé une copie de mes papiers d'identité sur un compte email type Gmail, comme cela quand il m'arrive de me déplacer à l'étranger et que je me fais par exemple voler ceux-ci, je peux alors faire imprimer une copie.
Sur le compte Gmail en question il n'y a que les documents d'identité.
Sinon depuis des années je scanne tous nos documents administratifs au format PDF protégé, s'il en est, par un mot de passe.
Les données sont écrites sur clés usb et disques durs. Fut un moment je déposais régulièrement une copie à jour chez un tiers.

Rammstein a écrit:
- photos des biens précieux, utilisables auprès des assurances en cas de sinistre.
Rammstein

Ce n'est pas toujours suffisant, loin de là, face à ces rapaces d'assureurs. Ma solution pour les meubles anciens, l'argenterie, les bronzes et tableaux, les collections, un rapport d'expertise établi par un expert agréé, avec photos, estimations, tampons, signatures ... Le mien a été établi en triple exemplaire, je conserve le premier chez moi, le deuxième est dans mon coffre à la banque, le troisième est chez mes parents.
C'est du béton face à un assureur qui vous refuse une juste indemnisation.

Survie administrative



Juste une petite suggestion.

Pour commencer : je ne scanne plus mes documents, je les photographie en numérique bien sur mode automatique. C'est plus rapide que le scan. J'ai donc sur la carte mémoire de l'appareil photo
la preuve de mon identité Carte d'identité, Passeport, et mon titre de transport : billet d'avion. Eventuellement on peut photographier aussi une liste de numéros de téléphone.. Pour consulter les photos il suffit d'afficher le dernier cliché et d'aller en avant. Avec le zoom on agrandit l'image pour voir les numéros de téléphone par exemple.

A propos des photos : beaucoup d'étudiants photographient à la bibliothèque même les paragraphes de livres qu'ils n'ont du coup pas besoin d'emprunter. Ils n'ont pas de photocopies à payer non plus.

Ne m'expliquez pas que vous pouvez perdre vos papiers et votre appareil photo en même temps, je le sais. Mais bon, je n'en ai jamais eu besoin. Il n'arrive pas que des catastrophes en voyage..

Le problème avec la photographie c'est qu'on peut pas encrypté ces fichier à moin de les transfré sur un Ordi donc le scan reste la meilleure solution coté sécurité mais aussi résolution de l'image obtenu.

Mais avantage de la photo dans son appareil. On peut montrer le document
, par exemple en cas de contrôle d'identité, au consulat, à l'embassade..
Bien sur ça ne sert qu'à dépanner..
Quand on fait du tourisme, on garde souvent son appareil photo suspendu autour du cou ou/et dans la poche.

C'était juste une idée voyage..

C'est pas idiot ! Faut juste avoir plusieurs cartes mémoire et conserver celle là à cet usage afin de ne pas risquer d'effacer la carte par erreur.

L'appareil photo est un item sensible à la perte et au vol. Ca ne me semble pas une très bonne idée de laisser les photos de ses documents d'identité non cryptées dans la mémoire d'un appareil photo.

C'est pour ça qu'il faut plusieurs cartes mémoires, une avec ses docs et une autre dans l'appareil !

Si c'est sur une autre carte mémoire, autant crypter les fichiers. Un moyen simple mais pas infaillible est de les zipper avec mot de passe.
C'est sûr qu'ils ne peuvent plus être consultés avec l'appareil photo seul, mais on gagne en sécurité.

L’intérêt, pour moi, c'était de pouvoir introduire la carte dans n'importe quel lecteur (appareil photo, pc, téléphone, ..) afin de pouvoir "présenter" son identité... Rien n'empêche d'avoir un autre support crypté !

J'ai vu hier soir un documentaire sur la Une concernant l'usurpation d'identité, j'ai bien l'impression qu'il vaut mieux acheter un broyeur à papier que de crypter ses clés usb...

tchenophilo a écrit:
J'ai vu hier soir un documentaire sur la Une concernant l'usurpation d'identité, j'ai bien l'impression qu'il vaut mieux acheter un broyeur à papier que de crypter ses clés usb...

C'est pour le plaisir de la polémique ?
1) l'un n'empêche pas l'autre, il n'y a pas de raison d'opposer ces deux précautions.
2) on ne parlait pas de crypter une clé USB, mais bien, à la base, de transporter des photos haute résolution de ses papiers d'identité dans un APN quand on est en voyage.

Sur le fond de la question : on parle d'avoir un backup des papiers d'identité, notamment en voyage.

Ce backup doit répondre à des fonctions :
1) être probant. C'est à dire avoir une bonne probabilité que les policiers, douaniers etc disent : OK, vous pouvez circuler.
2) être un backup effectif et "solide" : ne pas être volé avec les papiers, détruit, perdu, effacé, etc.
3) ne pas ajouter des risques significatifs.

Pour moi, transporter les photos des papiers non cryptées pose différents problèmes :
1) probant ? Bof. Le policier ou le douanier voit bien que c'est une photo, mais c'est pas le document lui-même. Il peut très bien être aussi chiant (voire plus) que si on ne lui présente rien. Certes, un scan crypté n'est pas beaucoup mieux de ce point de vue.
2) effectif :
- un appareil photo se vole ou se perd couramment. C'est un objet qu'on sort pour prendre des photos, qu'on garde dans un sac à dos, qu'on pose sur un banc... C'est un objet trop exposé. La carte mémoire est un peu mieux, mais ça dépend de l'endroit où on la conserve.
- perso, je n'ai pas un nombre de poches ni une attention infinies. Je fais attention, en priorité, à mes papiers et à mes clés. Mon fric ou mon tél portable ou mon appareil photo numérique, ça me ferait chier de les perdre, mais c'est moins haut dans la hiérarchie de la sécurité. Donc ce n'est pas logique de mettre mes papiers non cryptés dans un objet qui est "moins protégé". Soit je m'oblige à ajouter un objet dans la liste de ceux à qui je dois faire attention au maximum (ce qui augmente en fait les risques, puisque j'aurais du mal à surveiller très efficacement un objet de plus), soit ça veut dire que je mets une copie non cryptée de mes docs dans un objet dont je sais que je le surveillerai moins.

3) dans tous les cas, je vois surtout des risques en plus : risque de vol ou de perte, risque de me perturber en mutipliant le nombre d'objets auxquels je dois porter une attention maximum... et risque d'utilisation malhonnête après le vol ou la perte.

Cela étant dit, chacun fait fait fait...

Entièrement d'accord avec Barnabé.
Les fichiers doivent être cryptés pour ne pas être exploitable par n'importe qui.
On peut lire un fichier ZIP (ou 7zip) crypté sur n'importe quel PC de n'importe quelle ambassade.
Pouvoir l'ouvrir sur un portable ou appareil photo n'est pas vraiment utile, amha.
Une copie de carte d'identité, à fortiori visualisée sur un portable, ne constitue pas une preuve d'identité.

La copie ne sert qu'à faciliter la production des nouveaux papiers.

Quant à l'AES-256, avec les GPU actuels, il n'est plus aussi sûr qu'avant...

Menuki a écrit:
Quant à l'AES-256, avec les GPU actuels, il n'est plus aussi sûr qu'avant...

Après une petite recherche sur internet (la page Wiki en anglais, un article bien renseigné, le papier des chercheurs de Microsoft (Bogfanov et compagnie)), je n'ai vu aucune information allant dans ce sens. Des possibilités théoriques existent, mais il ne semble pas y avoir d'attaque réussie sur du AES-256, en pratique.

Et surtout, on parle bien de sécuriser de simples papiers d'identité stockés sur de la mémoire flash (carte mémoire ou clé USB). La probabilité que ce document aboutisse entre les mains d'une personne qui aurait les moyens et la volonté de le craquer est très très proche de zéro.

Ici on parle de pratico-pratique.
- Dans les faits, des documents d'identités stockés non encryptés sur la carte mémoire d'un APN qu'on transporte avec soi sont nettement exposés à un risque de vol ou de perte, suivi d'une utilisation malintentionnée. C'est un risque réel. Même si la probabilité est faible, elle est non négligeable.
- les mêmes documents stockés cryptés sur une carte mémoire qu'on transporterait de façon beaucoup plus discrète : le risque d'utilisation malintentionnée est nul (ou quasiment nul si tu veux, mais de toute façon, en pratique, si on n'est pas agent secret ou expert nucléaire, il est nul).

En pratique, le cryptage à 256 bits est idéal. Simple à utiliser, et très très sécurisé. C'est bien plus sécurisé que l'ordinateur de 99,99999 % d'entre nous. Pour presque tous les foreumeurs (je suis même tenté de dire : tous les foreumeurs), le risque d'un piratage est infiniment plus grand sur notre ordinateur que sur un document crypté sur une mémoire flash.

Le risque plus important qu'un éventuel craquage de l'AES 256 bits, ça serait qu'il reste sur la carte mémoire les fichiers non encryptés, même après supression (si on a juste supprimé le fichier sur l'APN ou l'ordi, sans précaution particulière). Avec un logiciel simple et librement disponible tel que smart recovery, on peut récupérer tout ou partie de ces fichiers. Heureusement d'ailleurs pour les nombreuses personnes qui pressent par erreur "formatage" sur leur APN, si j'en juge par les messages que j'ai trouvé sur des forums de discussion !
Donc, en pratique :
- si on n'a jamais stocké ces fichiers non encryptés sur la carte mémoire, c'est bon (exemple scanner -> ordi, encryptage sur l'ordi, et copie seulement ensuite du fichier encrypté sur la carte mémoire). La personne qui utiliserait smart recovery sur cette carte trouvera peut-être des photos de vos vacances de l'an dernier, mais pas celles de vos papier d'identité, puisqu'il n'y ont jamais été en non crypté.
- si on les a eu en non cryptés sur la carte mémoire, il faudrait effacer complètement la carte mémoire (avec un utilitaire comme ccleaner ou killdisc, bien lire le mode d'emploi, 1 seule passe suffit), avant d'y copier le fichier crypté.

Je peux me tromper, je ne suis pas informaticien. J'essaie juste de trouver des solutions pratiques et effectives. 99% des gens ne comprennent pas grand chose à ces sujets et sont très mal protégés, donc il me semble qu'il y a bien des choses prioritaires à faire avant de les inquiéter sur le risque très très hypothétique du craquage de l'AES 256.

Vue la taille des carte mémoir, c'est faisable, aprés réflexion, de mettre ses doc non crypté sur une carte pour utilisation avec un appareil photo ou un téléphone mais faudra prévoire une cachette sure pour cette carte mémoire comme dans une poche secrète des vêtement ou dans ses chausettes etc...

Barnabé a écrit:mais il ne semble pas y avoir d'attaque réussie sur du AES-256, en pratique.

Et surtout, on parle bien de sécuriser de simples papiers d'identité stockés sur de la mémoire flash (carte mémoire ou clé USB). La probabilité que ce document aboutisse entre les mains d'une personne qui aurait les moyens et la volonté de le craquer est très très proche de zéro.

Sauf que AES n'est pas le point faible du système.

Le point faible c'est le mot de passe qu'entre l'utilisateur, dont la clef est dériviée. Par exemple, si on compte environ 6 bits d'information par caractère (c'est-à-dire l'utilisation d'un jeu de 64 caractères, ce qui est dans la pratique plus réaliste que d'imaginer l'utilisation de tout Unicode), il faudrait alors pour que la sécurité soit réellement de 256 bits un mot de passe (aléatoire!) de 43 caractères.

Dans la pratique, rares sont ceux qui utilisent un mot de passe qui ne soit pas dans un dictionnaire ou qui fasse plus de huit caractères, quand ce n'est pas le nom de leur chat. Et ça, avec les GPU actuels, c'est "facile" à casser.

À titre d'exemple (facta!), j'ai eu le cas de deux archives zip avec mot de passe récemment (boulot). La première, le mot de passe faisait trois lettres, les initiales de l'utilisateur. La seconde, c'était un mot dans le dictionnaire, entièrement en minuscules, de six lettres. Et bien sûr, le risque à choisir un bon mot de passe, c'est celui de l'oublier (cf. le CD-ROM de Villepin dans l'affaire Clearstream).

C'est très juste, Cyrus Smith ! J'ai vu casser un mot de passe par un programme qui utilise simplement les mots du dictionnaire, ça va très vite.
Toutefois, désormais beaucoup de sites obligent à prendre des mots de passe de plus de 6 ou 8 caractères et mêlant chiffres et lettres ce qui constitue donc une augmentation obligée de la sécurité du mot de passe.

Plus c'est difficile à retenir, plus il y a un risque d'oubli, ou alors les gens se les notent sur un bout de papier...

Trouver un mot de passe facile à retenir et mêlant chiffres et lettres et difficile à trouver par quelqu'un (même vous connaissant), c'est ça qu'il faut arriver à faire.

L'autre risque, c'est bien sûr d'utiliser le même mot de passe pour tout !

comme d'hab, souvent le point faible, c'est l'humain.

D'ailleurs, dans ce que propose Baroud (non crypté mais planqué) : pour un backup qu'on porte toujours sur soi, le planquer dans un vêtement, moi je me sens pas de faire ça pendant des années sans le perdre un jour... Ce qui revient à un point faible, on perd soi-même dans la nature des fichiers non cryptés de ses documents d'identité...

Je crois qu'on s'écarte du sujet initial mais je vais clarifier mes dires.

Effectivement Barnabé, j'ai lancé un peu vite ma phrase sans étayer et, pour le néophyte, il peut sembler que je nie l'utilité du cryptage. C'est totalement faux.
L'individu lambda restera sans moyen devant un fichier zippé crypté.
Il n'ira pas chercher plus loin sauf à avoir de mauvaise intention.
Et déjà, rien que pour se mettre à l'abri des curieux, je RECOMMANDE de crypter les archives personnelles.
Crypter ses données est infiniment plus sûr que ce que nous faisons tous à 99.9999% sur ce forum et ailleurs.
C'est déjà un premier pas.

Par contre, je pense que tu as tort de dire que les 3/4 des péquins ne sauraient pas quoi faire pour récupérer tes données confidentielles.
Les crackers de mot de passe sont plus connus que les utilitaires de récupération que tu proposes.

Soyons honnête, le maillon faible du cryptage, c'est le mot de passe comme l'a très bien souligné l'ami Cyrus.
Ce que tu as lu sur l'AES est vrai.
Mais remettons les choses dans leur contexte : les chercheurs cherchent à trouver une méthode pour décrypter un message sans connaissance à priori du mot de passe utilisé.
En cela, l'AES-128 et surtout le 256 ont encore de beaux jours devant eux.
Par contre, comme l'a encore très bien souligné notre ingénieur préféré, l'attaque brute-force est encore la meilleure technique dans 99% des cas!
Quand on met le nom de sa fille, de sa copine ou sa date de naissance, il ne faut pas se leurrer, ça ne tient pas 10 secondes!

Continuons un peu sur le thème de la sécurité informatique et plus spécialement, le choix des mots de passe.

Barnabé a écrit:Trouver un mot de passe facile à retenir et mêlant chiffres et lettres
et difficile à trouver par quelqu'un (même vous connaissant), c'est ça
qu'il faut arriver à faire.

Pas vraiment d'après cet article trouvé sur developpez.com.
Ce qu'il faut faire, c'est trouver un mot de passe difficile à trouver par un ordinateur.
La puissance des processeurs augmentent sans cesse.
Ils sont capables de tester de plus en plus de combinaisons par seconde.
Les GPU permettent d'augmenter cette capacité en parallélisant le travail de milliers de processeurs.
Un mot de passe de 8 caractères, même avec des $ ou des ! cachés dedans, sera vite cracké.
Il faut des mots de passe plus long!

Comme le suggère l'auteur du dessin, on peut coller 4 mots qui n'ont aucun rapport les uns avec les autres.
On obtient ainsi un mot de passe de plus de 24 lettres qui sera pratiquement impossible à cracker par une méthode brute force (attention aux méthodes de cryptage qui limitent la taille des mots de passe sans vous le dire).
Si on prend une attaque par dictionnaire, le français courant comportant approximativement 35000 mots, cela fait environ 1.5x10^12 (1.5 suivi de 11 zéros) combinaisons.
Même en testant 74 500 000 combinaisons par seconde (comme ont réussi à le faire les auteurs de cet article) il faudrait 638 années pour tester toutes les combinaisons.

Merci, très intéressant article, frappé au coin du bon sens ! Je vais sûrement faire évoluer mes mots de passe !
En plus des 4 mots, ça ne coûte rien d'ajouter quelque part un chiffre, un nombre ou un caractère spécial (si il est facile à retenir parce qu'on y trouve une logique personnelle), et ça complexifie encore !
Ou encore, que l'un des mots soit "différent" (langue différente, faute volontaire...). Là aussi, à condition que ça soit facile à se rappeller dans sa logique personnelle.
Parce qu'on ne peut pas exclure tout à fait que les logiciels de crack se mettent à essayer de tels assemblages de mots du dictionnaire, si la méthode se popularise...

Ce qu'il faut faire, c'est trouver un mot de passe difficile à trouver par un ordinateur.

J'ajouterai : et par quelqu'un qui vous connait, car c'est quand même une partie des hacking ordinaires. Donc éviter le prénom des enfants, le lieu ou l'année de naissance, le département de résidence...

Je suis en gros d'accord avec Menuki, mais on peut discuter sur la fin:

Menuki a écrit:Pas vraiment d'après cet article trouvé sur developpez.com.

Je note d'abord que sur le dessin, dans le premier cas, le mot de passe dérive d'un mot du dictionnaire et n'est donc pas réellement aléatoire: un mot de passe réellement aléatoire de cette taille aurait une complexité plus grande. Si on reprend mon estimation précédente de 6 bits/caractère, un mot de passe constitué de 11 caractères aléatoires a 66 bits d'entropie, soit 2⁶⁶ combinaisons, ce qui est plus grand que ce qu'il estime pour son mot de passe composé de quatre mots.

Menuki a écrit:Comme le suggère l'auteur du dessin, on peut coller 4 mots qui n'ont aucun rapport les uns avec les autres.
On obtient ainsi un mot de passe de plus de 24 lettres qui sera pratiquement impossible à cracker par une méthode brute force (attention aux méthodes de cryptage qui limitent la taille des mots de passe sans vous le dire).
Si on prend une attaque par dictionnaire, le français courant comportant approximativement 35000 mots, cela fait environ 1.5x10^12 (1.5 suivi de 11 zéros) combinaisons.

Je ne suis pas certain que l'on puisse se contenter de faire 35000^4 pour estimer le nombre de combinaisons. Même si c'est le cas, cela correspondrait à environ 60 bits d'entropie (15bits/mot), soit moins que mon estimation précédente (bien sûr, il suffirait d'utiliser 5 mots! )

Tu remarqueras d'ailleurs que Randall dans son dessin évalue l'entropie du mot de passe avec les mots à seulement 44 bits (11 bits/mot), alors que la langue anglaise à bien plus de mots que le français...

Menuki a écrit:Même en testant 74 500 000 combinaisons par seconde (comme ont réussi à le faire les auteurs de cet article) il faudrait 638 années pour tester toutes les combinaisons.

Oui, par contre en prenant 44 bits d'entropie comme sur le dessin, moins de 3 jours...

Dans cas comme dans l'autre, on est loin de bénéficier de la sécurité d'AES-256. Pour cela il faudrait non pas 4 mots, mais au moins 17 (et s'ils sont facilement mémorisables, c'est qu'il ne sont pas assez aléatoires)!

En fait, le plus sûr, c'est de choisir un bon mot de passe, trop difficile pour le retenir, et de le noter. Bien sûr, il ne faut pas garder le papier avec le mot de passe au même endroit que les données chiffrées!

Cyrus_Smith a écrit:Si on reprend mon estimation précédente de 6 bits/caractère, un mot de passe constitué de 11 caractères aléatoires a 66 bits d'entropie, soit 2⁶⁶ combinaisons, ce qui est plus grand que ce qu'il estime pour son mot de passe composé de quatre mots.

Au prix d'un effort de mémorisation plus grand. Mais je suis d'accord avec le calcul.

Cyrus_Smith a écrit:Je ne suis pas certain que l'on puisse se contenter de faire 35000^4 pour estimer le nombre de combinaisons. Même si c'est le cas, cela correspondrait à environ 60 bits d'entropie (15bits/mot), soit moins que mon estimation précédente (bien sûr, il suffirait d'utiliser 5 mots! )

Tu remarqueras d'ailleurs que Randall dans son dessin évalue l'entropie du mot de passe avec les mots à seulement 44 bits (11 bits/mot), alors que la langue anglaise à bien plus de mots que le français...

Effectivement, 35000 mots, c'est l'estimation moyenne que j'ai trouvée.
Mais de cet ensemble, on ne prendrait évidemment qu'un échantillon restreint aux mots de plus 6 caractères. Donc beaucoup moins de combinaisons, donc moins d'entropie comme tu le suggères.

Cyrus_Smith a écrit:

Menuki a écrit:Même en testant 74 500 000 combinaisons par seconde (comme ont réussi à le faire les auteurs de cet article) il faudrait 638 années pour tester toutes les combinaisons.

Oui, par contre en prenant 44 bits d'entropie comme sur le dessin, moins de 3 jours...

Dans cas comme dans l'autre, on est loin de bénéficier de la sécurité d'AES-256. Pour cela il faudrait non pas 4 mots, mais au moins 17 (et s'ils sont facilement mémorisables, c'est qu'il ne sont pas assez aléatoires)!

Gardons tout de même à l'esprit qu'aucun cracker de ma connaissance n'utilise cette stratégie de concaténer plusieurs mots entre eux. Pour l'instant, le seul moyen d'attaquer un tel mot de passe, c'est la force brute et dans ce cas, un mot de passe de 24 caractères par exemple, est tout bonnement inattaquable.
Mais je t'accorde qu'on ne gardera pas longtemps ce coup d'avance si une telle pratique se développe.

Cyrus_Smith a écrit:En fait, le plus sûr, c'est de choisir un bon mot de passe, trop difficile pour le retenir, et de le noter. Bien sûr, il ne faut pas garder le papier avec le mot de passe au même endroit que les données chiffrées!

Pour l'archivage de nos données, j'ai généré une clé aléatoire de 1024 caractères que j'ai imprimé en deux exemplaires et mis dans des enveloppes scellées. Une chez mon patron et une chez moi planquée.
J'imagine le scénario où t'as perdu tes papiers en pleine brousse et que tu es à l'embassade de France au Zimbabwe, au téléphone avec ta mère à Meudon qui te lit une à une les lettres de ton mot de passe pour décrypter le fichier ZIP.

Menuki a écrit:Effectivement, 35000 mots, c'est l'estimation moyenne que j'ai trouvée.

Le problème n'est pas là. Pour prendre un exemple caricatural, si tu tombes quatre fois sur le mot "a" (qui est un mot en tant que troisième personne du nominatif singulier du verbe "avoir"), ça te donne "aaaa" comme mot de passe. Et même en l'ayant généré de cette façon, ça va être difficile d'affirmer que ce qui n'est plus que 4 lettres (chacune encodée sur 8bits on va dire, soit 32 bits au total) possède une entropie de 60 bits! Le est dans les détails, comme disait Descartes.

Menuki a écrit:Mais de cet ensemble, on ne prendrait évidemment qu'un échantillon restreint aux mots de plus 6 caractères.

Ce serait à envisager, mais c'est toujours étrange de réduire les possibilités pour "augmenter l'entropie"...

Menuki a écrit:J'imagine le scénario où t'as perdu tes papiers en pleine brousse et que tu es à l'embassade de France au Zimbabwe, au téléphone avec ta mère à Meudon qui te lit une à une les lettres de ton mot de passe pour décrypter le fichier ZIP.

C'est là que les codes dont on parle dans le fil d'à côté deviennent utile!

C'est bien beau d'avoir un mot de passe complexe, mais il y a trois faiblesses principales (toutes humaines) à l'utilisation de mots de passe complexes :
1) on l'oublie et on est dans la mouise
2) on le stocke sur un support non protégé (mot de papier, fichier word ou excel)
3) on a réussi à en retenir un, donc on l'utilise partout. Il suffit qu'un des sites soit piraté ou que quelqu'un regarde par dessus votre épaule pour que tous vos comptes, sites etc. soient piratés d'un coup.

Si c'est pour l'usage perso, on a le choix des mots de passe, le risque est plutôt que les gens appliquent le 3).

Si c'est pour un usage pro qu'on doit utiliser plein de mots de passe (cas des grands groupes par exemple), le risque est plutôt le 2).

Pour info, on trouve sur internet des listes de mots de passe les plus utilisés, ce qui montre bien le type de mots à éviter :
liste des 25 plus utilisés :
http://bigbrowser.blog.lemonde.fr/2011/11/18/123456-la-liste-des-pires-mots-de-passe-sur-internet/
liste des 250 plus utilisés :
http://blog.jimmyr.com/Password_analysis_of_databases_that_were_hacked_28_2009.php

Ca m'inspire deux réflexions :
- c'est remarquable de voir que les gens utilisent les mêmes mots de passe. On pense pareil, on n'arrive pas à être original. Même problème d'ailleurs si on cherche une bonne cachette chez soi : ce qui nous semble à nous une bonne cachette fait sans doute partie des 10 ou des 20 plus communes, qui sont systématiquement vérifiées par les cambrioleurs !

- tous les noms communs sont en anglais. Quelqu'un sait-il quelles langues les programmes de cracks par dictionnaire intègrent ? Je suppose qu'ils vont en intégrer de plus en plus et/ou qu'ils peuvent être adaptés par pays, mais à l'heure actuelle ? Seulement l'anglais ? Seulement 3 ou 4 langues les plus répandues ?
Ca serait rigolo qu'on puisse se protéger rien qu'en utilisant les mots d'une langue peu répandue, ou d'un dialecte local !