199 private links
Instead of hash functions to store password, use Password-Based Key Derivation Functions (PBKDF) such as Argon2id.
bcrypt should be avoided due to its huge footgun: it truncates inputs longer than 72 characters. Okta AD/LDAP was vulnerable because of it.
Checksum functions such as CRC32 and xxh3 are optimized for pure speed and don't provide any security guarantees about their output, and it's easy to find collisions for a given checksum.
In 2024 based on I/O speed, a hash function with a throughput of 1 GB / s / core is considered fast enough for most use cases.
I skip the speed part because it is not relevant for me: 100MB/s or 1GB/s does not make much difference.
SHA3 and the BLAKE family which produced secures hash functions that are also misuse resistant.
A strength >= 128 bits is considered secure. The security agencies recommendation are a bit different. Hash length ranges from 256 (NIST) to 512 (ECRYPT-CSA).
SHA3 has many functions, SHA2 is vulnerable to length extension attacks (secret || message)
but BLAKE3 has none of these issues.
Post-Quantum security from Grover's algorithm divides by 2 the preimage and 2nd-preimage resistance. The BHT algorithm predicts however that a quantum computer can find a collision in operations instead of 2^n/2
So SHA2 for convenience or BLAKE for the rest. There is only C and Rust that have official support for BLAKE though.
Arrêtez de gonfler les internautes avec vos exigences sur les mots de passe « sécurisés » - Numerama
Dans son développement, le NIST reconnaît que les règles de composition ont pour ambition d’accroître la difficulté de deviner les mots de passe choisis par l’usager. Cependant, « les recherches ont montré que les utilisateurs réagissent de manière très prévisible aux exigences imposées par les règles de composition », note l’institut.
A collection of websites
Spectre me fait penser à une autre extension de navigateur...
Ah oui: https://crypto.stanford.edu/PwdHash/ et lesspass
Et nous pouvons aller plus loin ! Si le mot de passe configuré par un gestionnaire de mots de passe est plus long que 20 caractères, alors il sera faux lorsqu'il sera entrée. Le mot de passe doit être composé de 20 caractères ou moins, sinon la connexion n'est pas possible.
Merci car tu m'as débloqué l'utilisation de mon gestionnaire de MDP sur ce site.
- Don’t Disable Copy-Paste For Passwords
- Don’t Rely on Passwords Alone
- Drop Strict Password Requirements
- Social Sign-In Isn’t For Everyone
- Replace Security Questions With 2FA
- Users Need Options For Access Recovers
A password generator system based on hash generation. The hash take the website URL and a master password as input, it then generates a hash and returns the first X characters of it.
Tadaa you have your password.
A password generator based on the website URL and a master password. Thus it avoids to have a password generator.
A reboot of https://crypto.stanford.edu/PwdHash/ btw ...
I had the idea last year as the extension of stanford was old ! Here you are doing it LessPass :D
So KeepassXC can be used instead: https://www.keepassx.org/start/index.html
- Comment sont enregistrés les mots de passes
1.1 Hashs
1.2 Fuites des bases de données - Conséquences d'un mot de passe qui a fuité si il est réutilisé sur d'autres comptes
- Conclure sur la pertinence des gestionnaires de mots de passe donc
en tant qu'utilisateur des services numériques
C'était une ancienne recommandation du NIST, qui recommande maintenant d'obliger le changement de mot de passe en cas de suspicion de fuite de mot de passe uniquement.
Que deviennent les mots de passes en cas de décès ? C'est une question qui va devenir de plus en plus importante !
De mon côté, je n'ai encore rien prévu à ce sujet. Il faudra...
Comment avoir un bon mot de passe ?
Le cas des smartphones est aussi évoqué. Ainsi que de l'utilisation des gestionnaires de mots de passe.
A password with 256 bits of entropy is practically immune to brute-force attacks large enough to quite literally burn the world, but is quite trivial to crack with a universe-scale fuel source.
A password with 327 bits of entropy is nearly impossible to crack even if you burn the whole observable universe trying to do so.
Pour se faire une liste des mots pour des attaques de mots de passes par dictionnaires : récupérer les mots de Wikipedia
Et les différentes techniques d'attaques