Planète Napoléon

[CARRY Gilles]

Bonjour,

J'ai durci la sécurité du forum.
A présent, les mots de passe devront être changés tous les 180 jours. (le système vous préviendra)
Les mots de passe devront contenir des caractères alphanumériques (lettres+chiffres) ainsi que des caractères de ponctuation.

C'est peut-être contraignant mais la sécurité est à ce prix.

Un petit moyen mnémotechnique pour retenir les mots de passe :
Choisir une phrase dont on prendra les initiales.
Exemple : "mon cher, je n'ai point de regret" pourra donner le mdp suivant : mc,jn.2r

Gilles.

[TANGUY Stéphane]

Bonjour,

Je vais me permettre, tout de même de préciser que la sécurité d'un compte utilisateur, sans aucun droit aucun sur l'administration du forum, ne nuit en rien à la sécurité du dit forum.
Pour ma part, avoir changé mon mot de passe m'a purement et simplement agacé.
Je vais surement l'oublier, tellement les contraintes m'obligèrent à choisir n'importe quoi. Et je ne serais certainement pas motivé à en choisir un autre dès lors.

[CARRY Gilles]

Malheureusement, ce n'est pas aussi simple que cela.
Le trous de sécurité potentiels (dus à des bugs) peuvent se dissimuler n'importe où.
Il existe des failles qui permettent de passer administrateur. Tout va bien jusqu'au jour où quelqu'un en découvre une, ce qui est monnaie courante.
En matière de sécurité, on commence par tout interdire et ensuite on ouvre les accès bien identifiés.

Autre point important : si un spammeur réussi à pirater un compte utilisateur non admin, certes, il ne pourra théoriquement pas casser le forum. Par conte il pourra le polluer à souhait. Et là il faudra faire le ménage. Avis aux amateurs.

Depuis le redémarrage du forum, on déjà a du supprimer une demi douzaine d'utilisateurs spammeurs. Ca, seuls les admins s'en rendent compte.

Ca m'a pris pas mal d'heures pour remonter le forum et récupérer une poignée de données de l'ancien.
Je n'ai pas envie de recommencer tous les jours.

Mots de passe : ce n'est pas compliqué de se souvenir d'une phrase et d'y glisser de la ponctuation.

Bonsoir.

[TANGUY Stéphane]

Je comprend les désagremments de telles manipulations.

phpBB est un forum très public, très décortiqué, et très spammé.

Les spammeurs sont en règle général des bots qui ne cherche nullement à soutirer d'un utilisateur un compte pour œuvrer.
J'en supprime tous les jours aussi, sur le forum de notre club par exemple (phpBB aussi).

Pour ce qui est des bugs qui viendraient à offrir à quiconque le rôle d'administrateur, c'est un peu comme gagner au Loto.

Ensuite pour ma part, j'ai tellement de divers comptes dans divers forums, sites, jeux, administration, que je ne m'offre pas le luxe d'une panoplie étendue de mot de passe. Sachant qu'ensuite, j'ai des comptes avec des passwords forts que je réserve uniquement pour mes logins à données sensibles et donc certainement pas au reste.

Alors oui, je compatie, je serais assez furieux si l'un des forums que j'administre venait à être détruit, mais d'un autre côté, je relativiserais en me responsabilisant des conséquences. Est-ce que ce forum contient des données chères à mes yeux. Si oui, pourquoi n'ai je pas de sauvegarde, si celui-ci, me fait tant de mal de par sa disparition ?

Franchement, je crois qu'un utilisateur lambda, qui ne fréquente ce forum qu'avec parcimonie, oubliera son mot de passe à chaque fois et se lassera.

Anecdote : même Window Server 2008, qui impose un mot de passe fort pour le compte Administrateur, n'est pas aussi contraignant que phpBB, qui lui, a eu le mérite de me faire raler devant mon écran

[MASSON Bruno]

moi pour composer un mot de passe de haut niveau, je n'utilise pas le mnémotype (phrase raccourcie), mais un élément dont nous sommes entourés, les numéros de modèles, de série, ou appellation commerciales des appareils électriques dont nous sommes entourés

là par exemple, si je prends mes haut-parleurs et mon fer à repasser, ça donne SP-001a/Mst322.
je pense qu'au niveau craquage, c'est plus "dur" qu'une phrase que théoriquement on peut retrouver, et moi je peux le reconstruire en 10 secondes

[AUGER Vincent]

autre solution, qui complique la tâche des attaques par dictionnaire, utiliser un mot de passe simple et lié au site que vous visitez, mais en changer quelques lettres par des caractères spéciaux par exemple a devient @, e devient €, i ou l devient \, o devient 0 (le zéro numérique).
Dans le même style, je recommande l'emploi des caractères accentués (quasiment inconnus des pratiquants de la langue de Shakespeare et parfois dépendant du code ASCII de la machine native).

Ce n'est pas aussi solide que les initiales de phrase, mais ça répond au même objectif de compliquer la tâche de l'adversaire.