La majeure partie de l'article est axé autour du rapport de The Shift Project, qui était très grossièrement erroné. Eux-même ont reconnu (en catimini) qu'avoir interpolé des chiffres d'il y a dix ans sur la consommation de la vidéo était une erreur. C'est pas comme ci entretemps on avait de meilleurs codecs, de meilleurs implémentations hardwares, des écrans qui ne sont plus à tubes etc… Si on reprend les chiffres de ce rapport, vu que 40% des Français regardent la TV non plus via la TNT mais en TVoIP, la consommation de l'ensemble à 20h serait très largement supérieure aux capacités de production électriques actuelles. Bref, pas réaliste.
Les questions restent très intéressantes, mais je me serais débarrassé de ces embarrassantes études destinées à vendre des équipements DPI.
J’allais poster ce lien ! Malheureusement oui… sinon j’aurai un bon argument pour faire différemment. J’ai bien tenté xkcd mais ce n’est malheureusement pas un organisme officiel
https://www.xkcd.com/936/
C'est toujours le même problème : tant que les outils numériques restent des aides à la décision, pas de problème. Sauf que ça fini trop souvent en décision (pseudo-)automatisée, où la personne ne prend plus le recul nécessaire pour remettre en question l'avis du système…
Les recommandations de l'ANSSI sont quand même grosso-modo les mêmes que la CNIL.
« Choisissez des mots de passe composés si possible de 12 caractères de type différent (majuscules, minuscules, chiffres, caractères spéciaux) n’ayant aucun lien avec vous (nom, date de naissance…) et ne figurant pas dans le dictionnaire. »
C'est triste de devoir suivre les recommendations de la CNIL pour de la sécu… C'est pas vraiment un organisme spécialisé dans la sécurité informatique. L'ANSSI serait plus en mesure d'être écoutéee. Bon courage ;-)
Là où il a raison c’est que la CNIL recommande les caractères spéciaux. En ce moment je dev un projet où on doit scrupuleusement respecter leurs recommandations et je sais d'avance que ça va faire c**** les utilisateurs pour rien (mieux vaudrait forcer une longueur plus importante) pourtant je n’y peux rien.
Autant bon, la reconnaissance faciale c'est pas ouf, tout ça, et suspecter / accuser juste parce que la machine a dit « c'est lui », c'est limite, autant si l'image est nette et qu'on le reconnaît clairement…
Si un policier s'était coltiné la tâche de regarder les vidéos de surveillance, ça aurait été pareil, juste plus long. Tant qu'on prends pas la réponse de la machine pour argent comptant, on peut pas vraiment critiquer la chose.
Même si on parlait d'un cas d'un leak de base de données, son argumentaire ne tient pas. L'exemple de calcul qu'il fait se base sur des hash réalisé avec l'algorithme SHA256 ?
Qui utilise l'algorithme SHA256 pour stocker des mots de passe et est développeur en 2019 ?
On utilisera plutôt argon2 ou bcrypt pour réaliser cette tâche. Ces algorithmes sont beaucoup plus long à calculer que les algorithmes de type SHA* De plus, les bonnes pratiques du côté des sauvegardes en base de données et d'ajouter un sel et de jouer n fois l'algorithme de hash dans le but de ralentir encore plus les attaques par forcebrute à froid.
L'idée n'est pas mauvaise en soi, plus la taille des mots de passe est long et sans contraintes de caractère, mieux c'est. Par contre, je trouve que les arguments pour encourager cette démarche ne sont pas vrais.
Une fois que la bdd a fuité, c'est gameover. Il faut faire changer les mots de passe de tous les utilisateurs, peu importe la longueur.
La taille n'est pas le seul facteur en prendre en compre pour mesurer la solidité d'un mot de passe. Par exemple, en ligne, le nombre de tentative possible par minute est beaucoup plus faible qu'en offline car il existe des mécanismes pour éviter les attaques par force brute.
Ça prouve bien que les SJW sont bien ceux qui sont les moins tolérants !
« des réseaux optiques intelligents reposant sur l'IA » À partir de là, j'ai arrêté de lire.
La majeure partie de l'article est axé autour du rapport de The Shift Project, qui était très grossièrement erroné. Eux-même ont reconnu (en catimini) qu'avoir interpolé des chiffres d'il y a dix ans sur la consommation de la vidéo était une erreur. C'est pas comme ci entretemps on avait de meilleurs codecs, de meilleurs implémentations hardwares, des écrans qui ne sont plus à tubes etc… Si on reprend les chiffres de ce rapport, vu que 40% des Français regardent la TV non plus via la TNT mais en TVoIP, la consommation de l'ensemble à 20h serait très largement supérieure aux capacités de production électriques actuelles. Bref, pas réaliste.
Les questions restent très intéressantes, mais je me serais débarrassé de ces embarrassantes études destinées à vendre des équipements DPI.
Contenu payant => Accès libre à présent.
C'est fait
@cascador @admin, est-il possible de renommer ou supprimer le lien ? Ca aurait du être “https://www.pofilo.fr/post/20190929-shaarli-archive/”.
https://chiffrer.info/
“Courrier”, pas journal :D
Je croyais que ce site ne faisait pas de statistiques… (trolldi)
Merci ! Ça me pousse à continuer !
un grand merci à toi pour cette source d'information qualitative et d'inspiration quotidienne!
J’allais poster ce lien ! Malheureusement oui… sinon j’aurai un bon argument pour faire différemment. J’ai bien tenté xkcd mais ce n’est malheureusement pas un organisme officiel https://www.xkcd.com/936/
C'est toujours le même problème : tant que les outils numériques restent des aides à la décision, pas de problème. Sauf que ça fini trop souvent en décision (pseudo-)automatisée, où la personne ne prend plus le recul nécessaire pour remettre en question l'avis du système…
Les recommandations de l'ANSSI sont quand même grosso-modo les mêmes que la CNIL.
« Choisissez des mots de passe composés si possible de 12 caractères de type différent (majuscules, minuscules, chiffres, caractères spéciaux) n’ayant aucun lien avec vous (nom, date de naissance…) et ne figurant pas dans le dictionnaire. »
Source (2017) : https://www.ssi.gouv.fr/uploads/2017/01/guide_cpme_bonnes_pratiques.pdf
C'est triste de devoir suivre les recommendations de la CNIL pour de la sécu… C'est pas vraiment un organisme spécialisé dans la sécurité informatique. L'ANSSI serait plus en mesure d'être écoutéee. Bon courage ;-)
Ce que je ne comprends pas, c’est que DNS ou DoH le nom du site web consulte passe toujours en clair (SNI).
Là où il a raison c’est que la CNIL recommande les caractères spéciaux. En ce moment je dev un projet où on doit scrupuleusement respecter leurs recommandations et je sais d'avance que ça va faire c**** les utilisateurs pour rien (mieux vaudrait forcer une longueur plus importante) pourtant je n’y peux rien.
Autant bon, la reconnaissance faciale c'est pas ouf, tout ça, et suspecter / accuser juste parce que la machine a dit « c'est lui », c'est limite, autant si l'image est nette et qu'on le reconnaît clairement…
Si un policier s'était coltiné la tâche de regarder les vidéos de surveillance, ça aurait été pareil, juste plus long. Tant qu'on prends pas la réponse de la machine pour argent comptant, on peut pas vraiment critiquer la chose.
Même si on parlait d'un cas d'un leak de base de données, son argumentaire ne tient pas. L'exemple de calcul qu'il fait se base sur des hash réalisé avec l'algorithme SHA256 ?
Qui utilise l'algorithme SHA256 pour stocker des mots de passe et est développeur en 2019 ?
On utilisera plutôt argon2 ou bcrypt pour réaliser cette tâche. Ces algorithmes sont beaucoup plus long à calculer que les algorithmes de type SHA* De plus, les bonnes pratiques du côté des sauvegardes en base de données et d'ajouter un sel et de jouer n fois l'algorithme de hash dans le but de ralentir encore plus les attaques par forcebrute à froid.
L'idée n'est pas mauvaise en soi, plus la taille des mots de passe est long et sans contraintes de caractère, mieux c'est. Par contre, je trouve que les arguments pour encourager cette démarche ne sont pas vrais.
Une fois que la bdd a fuité, c'est gameover. Il faut faire changer les mots de passe de tous les utilisateurs, peu importe la longueur.
La taille n'est pas le seul facteur en prendre en compre pour mesurer la solidité d'un mot de passe. Par exemple, en ligne, le nombre de tentative possible par minute est beaucoup plus faible qu'en offline car il existe des mécanismes pour éviter les attaques par force brute.
Pour information, la CNIL a publié un guide sur les règles concernant la longueur des mots de passe et l'on voit bien que des mots de passe de 8 caractères sont jugés acceptables par la CNIL pour les sites internet si d'autres critères sont présents. https://www.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite-elementaires
Faire les calculs, c'est bien, savoir de quoi on parle, c'est mieux. Encore plus quand on veut faire la leçon aux développeurs.