Donnez moi un administrateur, qu'il paye pour tous les autres !

Donnez moi un administrateur, qu'il paye pour tous les autres ! - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 12-06-2015 à 12:05:02    

Il y a des professions dont on hésite entre la légitime bêtise, l'envie aveugle de réussir, et la vraie cruauté envers les autres...
Avocat, journaliste, tueur à gage, huissier, dictateur ...
 
Et puis, il y a en a d'autres, où le pedigree de son auteur ne laisse aucun doute sur ses origines infernales.
 
Admirer plutôt cette poésie rédigée à l'attention d'un maximum de personnes : (je vous le mets dans le désordre, ou plutôt, je le remets dans l'ordre logique qu'ils essaient un peu de cacher... Serait-ce possible qu'ils aient honte ?)

Citation :

Le mot de passe doit respecter les contraintes suivantes:

  • 8 caractères au minimum  (4 chiffres suffisent à protéger ma CB)
  • Le nombre maximal de caractères consécutifs identiques est 2 (car ils ont compris que l'on pouvait se simplifier la vie en répétant un caractère)
  • Au moins 1 majuscule, 1 minuscule, 1 chiffre (pour être sûr de prendre un mot de passe qui n'ait aucun sens, ce qui serait trop simple à retenir)
  • Ne pas utiliser : votre identifiant, nom ou prénom (pour éviter qu'une fraction du mot de passe ait un sens, trop simple)



 
Là, on est dans le classique. L'abrutissement d'un processus qui n'a jamais trop compris à quoi il servait, mais qui s'est excité comme un gamin à la foire le jour où il s'est rendu compte que 50% de ses utilisateurs avaient le mot de passe "password" et l'autre moitié avait son identifiant.
...
Il a dont avec succès pris des mesures pour que 50% des utilisateurs aient pour mot de passe "P4ssw0rd", et que les 50% restant aient "Gdupond1".
Par contre, il a fort bien réussi à éclater par KO au premier round l'inventeur de l'ouverture rapide dans leur combat pour faire chier l'humanité.
 
Mais le monstre n'est pas simplement bête et méchant, il est aussi retord. Avec le temps, il a évolué, jugez plutôt :

Citation :


  • Il doit être différents des 9 derniers mots de passe. *MULTI KILL !*(Voilà, parce que mémoriser +^Ud5ezY0=*-BbO n'est pas suffisant, on leur demande aussi de mémoriser 78;Y77N0%5, 3N6jN~6~bc, T1x=%80-G., H85;83a=%Q, 6J^9J8^1c7, :!VL8|3y!1, pq^!aF^GBv, :NmiWn4h2e et =02%FW5;!d ... Et évidement, on va changer toutes les 3 semaines, histoire de ne rien oublier, et de rendre fou à chaque phase de transition)
  • Pas de caractères spéciaux *RAMPAGE !* (Et oui, parce que s'il fait semblant de l'ignorer, il SAIT que l'utilisateur doit mémoriser 15 accès différents ! Et pour cela, hors de question bien sûr qu'il puisse utiliser le même mot de passe. Donc, on alterne les règles, et si certains forcent les caractères spéciaux, le plus cruel possible ne serait-il pas de les interdire de temps en temps ?)
  • Le dernier caractère ne doit pas être un chiffre *UNSTOPPABLE !!*  *ULTRA KILL !* (c'est le petit dernier celui là. Il avait compris que même si cela rendait fou de changer de mot de passe toutes les 3 semaines, l'utilisateur arrivait encore à trouver un dernier espoir dans l'idée d'incrémenter son mot de passe avec des chiffres. ET BIEN NON ! TU ES EN ENFER, ET TU VAS SOUFFRIR !)



Voilà.
Je pense que ces pauvres gens ont eu un passé bien torturé qui n'excuse rien. Ils devaient perdre à Unreal j'imagine.
 
Inutile de rentrer dans des débats stériles sur la nécessité de sécurité pour protéger des données hautement inintéressantes (ca intéresse qui de savoir que mon copil est jeudi prochain et que l'on a encore 2 anomalies non résolues ?), et même si XKCD par exemple rappelle de façon fort clair à quel point le domaine et pollué par l'incompétence, il est connu depuis 30 ans que l’ingénierie sociale est infiniment plus efficace que la force brute pour obtenir quelque chose (de valeur, il va sans dire, car je serais bien plus flatté qu'inquiet si Mitnick m’appelait pour connaitre l'état d'avancement de mon projet).
Et accessoirement, la sécurité aurait tellement à gagner à remplacer ces mesures contre-productives par une simple initiation à comprendre quelles informations peuvent avoir un vague intérêt dans les mains d'une personne mal-intentionnée (la prochaine augmentation tarifaire dans les mains d'un journaliste par exemple), et plutôt que de la protéger par des moyens futiles, se contenter de n'en laisser aucune copie.
 
A la réflexion, je pense que le supplice d'un seul homme ne sera pas suffisant.
Un jour, le peuple se soulèvera pour de bon, et les tribunaux révolutionnaires tourneront à plein régime.
 
...
En attendant, moi, je vais investir dans un petit tableau blanc et un feutre marqueur, parce que les post-it, cela finit par tomber. (et c'est pas écolo, il faut les jeter toutes les 3 semaines)

Reply

Marsh Posté le 12-06-2015 à 12:05:02   

Reply

Marsh Posté le 12-06-2015 à 12:41:28    

je vois pas où est le problème :)
changement obligatoire toutes les 3 semaines, là un peu abusé j'avoue
il existe des moyens type SSO pour l'auto authentification sinon...
Ne compare pas la techno de cryptage d'une carte bleue et la techno Microsoft de cryptage des mots de passe car cela n'a pas grand chose en commun.


Message édité par akizan le 12-06-2015 à 12:43:32
Reply

Marsh Posté le 12-06-2015 à 12:43:35    

Trop cool :o

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed