Bonsoir à tous,

Je souhaiterais savoir ce que DEBIAN recommande en termes de mots de
passe :

- pour un poste de travail ;

- un serveur ;

- sur des sites Internet.

On voit apparaitre des sociétés qui vous proposent de gérer les mots de passes de leurs clients.....

Enfin, comment expliquez-vous que des sociétés qui ont des moyens
beaucoup plus importants

qu'un particulier se fassent voler des données.

MERCI POUR VOS CONSEILS
<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /></head><body style='font-size: 10pt; font-family: Verdana,Geneva,sans-serif'>
<p>Bonsoir &agrave; tous,</p>
<p><br /></p>
<p>Je souhaiterais savoir ce que DEBIAN recommande en termes de mots de passe :</p>
<p>- pour un poste de travail ;</p>
<p>- un serveur ;</p>
<p>- sur des sites Internet.</p>
<p>On voit apparaitre des soci&eacute;t&eacute;s qui vous proposent de g&eacute;rer les mots de passes de leurs clients.....</p>
<p><br /></p>
<p>Enfin, comment expliquez-vous que des soci&eacute;t&eacute;s qui ont des moyens beaucoup plus importants</p>
<p>qu'un particulier se fassent voler des donn&eacute;es.</p>
<p><br /></p>
<p>MERCI POUR VOS CONSEILS</p>

</body></html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On Wed, Apr 10, 2024 at 06:29:21PM +0300,
Alex PADOLY <debian@padoly.besaba.com> wrote
a message of 51 lines which said:

Je souhaiterais savoir ce que DEBIAN recommande en termes de mots de passe :

Je ne crois pas que Debian, organisation qui développe un système d'exploitation, ait des recommandations particulières pour les mots de
passe.

On peut suivre les recommandations de l'ANSSI <https://cyber.gouv.fr/bonnes-pratiques-protegez-vous> :

Utilisez un mot de passe différent pour chaque accès (messagerie,
banque en ligne, comptes de réseaux sociaux, etc.) : en cas de
compromission de l’un de vos comptes, cela évitera l’effet boule de
neige.

Créez un mot de passe suffisamment long, complexe et inattendu :
de 8 caractères minimum et contenant des minuscules, des
majuscules, des chiffres [conseil discutable, cf. celui du NIST]
et des caractères spéciaux [sic].

Ne communiquez jamais votre mot de passe à un tiers : aucune
organisation ou personne de confiance ne vous demandera de lui
communiquer votre mot de passe.

Utilisez un gestionnaire de mots de passe : pas simple de retenir tous
ses codes de connexion ! Heureusement des outils de type « coffres
forts de mots de passe » existent. Ces derniers mémorisent tous vos
mots de passe et vous permettent d’en générer de manière aléatoire.

Ou du NIST (en anglais) <https://pages.nist.gov/800-63-FAQ/#q-b06> :

Are password composition rules no longer recommended?
A-B06:

SP 800-63B Section 5.1.1.2 paragraph 9 recommends against the use of composition rules (e.g., requiring lower-case, upper-case, digits, and/or special characters) for memorized secrets. These rules provide less benefit than might be expected because
users tend to use predictable methods for satisfying these requirements when imposed (e.g., appending a ! to a memorized secret when required to use a special character). The frustration they often face may also cause them to focus on minimally
satisfying the requirements rather than devising a memorable but complex secret. Instead, a blacklist of common passwords prevents subscribers from choosing very common values that would be particularly vulnerable, especially to an online attack.

Composition rules also inadvertently encourage people to use the same password across multiple systems since they often result in passwords that are difficult for people to memorize.

On voit apparaitre des sociétés qui vous proposent de gérer les mots de passes de leurs clients.....

Ayez confiance (avec la voix du serpent dans le Livre de la Jungle).

Enfin, comment expliquez-vous que des sociétés qui ont des moyens beaucoup plus importants
qu'un particulier se fassent voler des données.

Il y a beaucoup de raisons différentes. Cela peut être la négligence
(après tout, aucune entreprise n'a jamais fait faillite, aucun PDG n'a
jamais été viré pour une fuite de données : cela n'encourage pas à
faire attention). Cela peut être l'ignorance (on rencontre encore des
gens déconseillant les gestionnaires de mots de passe, ou demandant un changement tous les N mois). Cela peut être que l'attaquant était particulièrement compétent. Cela peut être que la société avait
tellement de process et de règles rigides que les employés ne
faisaient plus d'efforts. Etc.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On Wed, Apr 10, 2024 at 05:55:18PM +0200, Stephane
Bortzmeyer wrote:

Enfin, comment expliquez-vous que des sociétés qui ont
des moyens beaucoup plus importants qu'un particulier se
fassent voler des données.

Il y a beaucoup de raisons différentes.

Et il ne faut pas oublier que les particuliers se font
*aussi* voler leur données, ou de l'argent. Mais quand ma
tante se fait voler 500 euros, Le Monde n'en parle pas.
Quand des mutuelles de santé se font voler les donnés de
millions de clients, les médias s'y intéressent.

Y.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le 10/04/2024 à 17:29, Alex PADOLY a écrit :

Bonsoir à tous,

Je souhaiterais savoir ce que DEBIAN recommande en termes de mots de passe

Je ne sais pas ce que debian recommande, j'aime bien ce que dit cette dame :

https://video.passageenseine.fr/w/10f0fa30-b11f-4d0e-87c6-4e41c7363bbf

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)