Pourquoi un mot de passe devrait-il être si complexe ?

[zdimension]

Dans la page d'utilisateur de GEPI, il est indiqué qu'un mot de passe doit "comporter 5 caractères minimum. Il doit comporter au moins une lettre, au moins un chiffre et au moins un caractère spécial (#, *,...)". Ce qui est mathématiquement stupide.
Je vous invite à lire cette discussion traitant de ce strip XKCD :
.
Un mot de passe contenant quatre mots totalement aléatoires pour un total ici de 25 lettres (minuscules) sera bien plus sécurisé qu'un mot de passe de 5 voire 10 caractères "mélangés".
Sécurisé, au sens de "dur à deviner par un ordinateur et/ou un tiers".
Il faudrait aussi changer l'algorithme de "complexité" du mot de passe, selon lequel a$U*_ est un mot de passe "Solide" tandis que correcthorsebatterystaple (le mot de passe présenté dans l'image ci-dessus) est "Facile".

[tbelliard]

Tout à fait d'accord. Cette règle par défaut est d'abord un héritage historique, d'une époque où ces règles faisaient partie des recommendations et bonnes pratiques des divers organismes de référence sur le sujet (on parle d'il y a quinze ans).
Toutefois, dans le cas précis de Gepi :

• la contrainte de longueur de mot de passe est paramétrable par l'administrateur ;
• la contrainte de complexité pour les utilisateurs lambda est seulement lettre + chiffre, donc relativement légère ;
• la contrainte de complexité avec inclusion de caractères spéciaux n'est appliquée qu'aux administrateurs.

Il y a donc une certaine marge de manoeuvre pour définir une politique de mot de passe plus en phase avec les recommendations récentes.
Je renvoie le ticket @crob27 pour qu'il évalue la pertinence (et surtout l'impact potentiel) de modifications des règles par défaut. J'y suis pour ma part tout à fait favorable sur le principe.

[zdimension]

_{ou sinon vous faites comme pour les boîtes mail de Free, vous limitez les mots de passe à 16 caractères}

En cas de changement des règles par défaut, je pencherais pour quelque chose du genre :

• Longueur minimale : aux alentours de 15 caractères
• Pas de mot de passe "simple" (012345678912345, ou autres séquences du même type) -> peut-être une sorte de "liste noire" contenant les mots de passe les plus utilisés en ce moment ?

Voire même (bonus) un bouton pour générer un mot de passe à partir de quatre mots choisis dans le dictionnaire français.

[tbelliard]

Un résumé des nouvelles recommendations du NIST:
https://nakedsecurity.sophos.com/2016/08/18/nists-new-password-rules-what-you-need-to-know/?utm_source=Naked+Security+-+Sophos+List&utm_campaign=29c783cb18-naked%252Bsecurity&utm_medium=email&utm_term=0_31623bb782-29c783cb18-455161921