Force des mots de passe : le débat...

  • Auteur de la discussion daf
  • Date de début

daf

Member
#1
Bonjour à tous,

Il semble que PlanetHoster se soucie de la force de nos mots de passe. Ces derniers temps, j'ai pu constater à deux reprises que des mots de passe jugés trop simples étaient refusés dans cPanel. Il y a quelques jours, c'est carrément à la connexion sur le webmail qu'il m'a été demandé de changer de mot de passe. Faute de quoi impossible d'accéder au webmail.

Suite à un échange avec le support (merci Benoît), ce problème a été corrigé : cPanel se contente de signaler les mots de passe qu'il juge insuffisants, et il n'oblige plus à les changer.

Tout le monde est bien d'accord là-dessus : il faut que nos mots de passe ne soient pas facilement devinables ou craquables. Cependant, le script de test de mot de passe, dans cPanel, est beaucoup trop restrictif, voire incohérent :
  • il signale comme insuffisants des mots de passe trop simples et courts (« toto »), mais aussi des mots de passe très longs et avec caractère spécial (« bonjourlesamiscommentallez-vous ») ;
  • il est convaincu qu'il faut à tout prix ajouter des caractères spéciaux pour assurer la sécurité des mots de passe, alors que c'est leur longueur et leur absence du dictionnaire qui sont les principaux paramètres de sécurité.

À ce sujet, je voudrais signaler trois très intéressantes pages web : ici, et . Ce qu'il ressort de ces trois pages, c'est qu'on peut avoir des mots de passe à la fois sûrs et facilement mémorisables (c'est-à-dire sans overdose de caractères spéciaux imbitables). Ce qu'il faut faire pour cela :
  • choisir plus de 8 caractères ;
  • ne pas choisir un mot de passe qui soit un (seul) mot courant du dictionnaire ;
  • une bonne option est de combiner plusieurs mots courants en une phrase mémorisable, avec éventuellement un ou deux caractères non-alphabétiques.

Comme le démontre une des pages, le mot de passe « this is fun » est bien plus sûr qu'un truc difficile à mémoriser comme « J4fS<2 ».

Qu'en pensez-vous ?
 

pierre_kuhn

Active Member
#2
Bonjour

Honnêtement je pense que le soucis est ailleurs :)
Pourquoi ? par ce que moi je fais des mdp du style xxxxxxx00 que se soir sur le cpanel, messagerie, ftp.... sur mon vps.
 

daf

Member
#3
Honnêtement je pense que le soucis est ailleurs :)
Pourquoi ? par ce que moi je fais des mdp du style xxxxxxx00 que se soir sur le cpanel, messagerie, ftp.... sur mon vps.
Ah oui, j'ai oublié de préciser : je suis sur un hébergement mutualisé (et c'est le cPanel mutualisé qui, de temps à autre, se montre trop exigeant sur les mots de passe...).
 

Cain

New Member
#4
Bonjour,

Concernant les mots de passe, c'est un débat qui peut durer longtemps ...

Sinon pour ma part :

- J'utilise des mots de passe de 8 caractères (Lettres, Chiffres, minuscules et Majuscules) pour des accès non critiques (webmail, compte forum, ...)
- J'utilise des mots de passe de 16 caractères (Lettres, Chiffres, caractères spéciaux, minuscules et Majuscules) pour des accès critiques (FTP, SSH, VPN, ...)

Le tout dans un logiciel qui s'appelle Keepass que j'ai toujours en version portable sur une clé USB pour avoir mes mots de passe avec moi si j'en ai besoin.

Cain
 
#5
Et ça recommence

Et bam, aujourd'hui je constate que le webmail, à nouveau, exige qu'on remplace des mots de passe pourtant parfaitement sûrs. Faute de quoi impossible de lire son courrier.

Le cœur du problème est dans cPanel : c'est le script qui teste la force des mots de passe qui donne des résultats complètement fantasques. Exemple :

bonjourlesamis ===> 42%
bonjourlesamis, ===> 70%
bonjourlesamis,comment ===> 62%
bonjourlesamis,commentallez- ===> 28% !!!
bonjourlesamis,commentallez-vous ===> 0% !!!!!!!!!!

Sachant que la barre est à 50%, les deux derniers mots de passe sont refusés (ou il est exigé de les changer), ce qui est complètement absurde. (Voir à ce sujet les trois liens ici, et déjà cités.)

Le support a été contacté...
 
#6
meme probleme pour moi tous les 15 jours j'ai le bug cpanel changement de mot de passe mysql et continuellement,pierre me l'avait debloquer la premiere fois j'ai renvoyé un autre ticket aujourd'hui j'attend sa reponse pour me debloquer.
 
#8
salut daf,j'ai fait un tour au forum cpanel ,des personnes aussi ont ce probleme
Security
apparament attack en brute force sur les passwords cpanel envoie de mails en masse pour saturer le serveur (site out) pour ceux qui mal configurer leur boite mail en haute securité;les autres on une redirection genre phishing comme le changement de passwords.
 
#10
pierre ma debloquer avec un nouveau mot de passe.
une nouvelle version cpanel devrais sortir sous peu j'espere corrigera cette faille.

apparament cette une methode proxy faille proxipassmatch dans apache
une mise a jour en version 2.2.22 sera demander.
 
Dernière édition:
Haut