Les deux precedente ayant disparut voici une nouvelle forge pour M-V .
le but de la forge est que vous autres magic-villois postiez des idée d'amelioration pour le site qui selon leur pertinence seront etudié puis peut etre mise en application a vos neurones forgez !

Pour les mots de passe, une référence solide c'est l'OWASP Application Security Verification Standard.

En résumé :
- Longueur minimum de 8 caractères (trop faible sinon).
- Longueur maximum de 128 caractères (attaque DoS possible sinon).
- Ne pas altérer la valeur saisie par l'utilisateur lorsqu'il la soumet (sauf éventuellement les espaces consécutifs).
- Autoriser TOUS les caractères unicode affichables (émojis inclus).
- N'imposer AUCUNE règle de construction du mot de passe basée sur la présence ou l'absence de certains caractères.
- Les utilisateurs doivent pouvoir modifier leur mot de passe, et l'opération requiert de saisir l'ancien.
- Autoriser l'action de collage dans le champ mot de passe.
- Ajouter un bouton qui permet à l'utilisateur de visualiser temporairement la valeur saisie.
- Ne PAS imposer de changer son mot de passe périodiquement.
- Ne PAS stocker l'historique des anciens mots de passe de l'utilisateur dans l'application.
- Ajouter un outil de vérification de la force du mot de passe à la saisie (une excellente librairie que j'utilise pour le boulot).

De manière générale, le document décrit aussi plein d'autres bonnes règles de sécurité.

Merci Madmox, pour MV, je retiens :

- Autoriser TOUS les caractères unicode affichables (émojis inclus).
- Ajouter un bouton qui permet à l'utilisateur de visualiser temporairement la valeur saisie.
- Ajouter un outil de vérification de la force du mot de passe à la saisie (mais j'ai pas le début d'une idée de comment utiliser ta librairie)

+1 avec Madmox.

Cette référence devrait être la norme et c'est tellement dommage que ce ne le soit pas.

Bonjour la sécurité quand tu imposes tellement de chose aux utilisateurs qu'ils en viennent à noter leurs passwords sur un post-it collé à leur écran où doivent claim un reset de password régulièrement parce qu'ils l'oublient.

y'a que moi qui ai des lenteurs au niveau de l'accès aux decks ou a la modification ?
Le reste marche nickel, mais j'ai l'impression que tout ce qui est recherche sature

La librairie (zxcvbn-ts) est assez bas niveau, c'est en gros un simple outil d'évaluation de l'entropie d'une chaîne de caractères avec des petits ajouts pratiques pour le cas particulier des mots de passe. Tu charges la librairie, tu lui files ta chaîne de caractères, et elle te ressort un objet avec quelques infos. De notre côté on n'utilise que le score (valeur de 0 à 4), et on n'autorise que les mots de passe dont le score vaut 3 ou 4.

Y a aussi moyen de brancher des dictionnaires de mots communs sur la librairie pour améliorer l'estimation du score (qui ne se fait sinon que sur des règles universelles comme les répétitions de caractères, les séquences logiques, la longueur, la diversité des caractères, etc.). Malheureusement par défaut y a que le dico anglais et allemand je crois. Un de mes collègues a récemment soumis une PR pour ajouter un dico français, il devrait apparaître dans la prochaine version. Ça permet d'éviter les mots de passe du genre "KevinDupond" ou "motdepasse".

Pour l'usage, j'imagine que tu n'utilise pas de gestionnaire de dépendances pour MV, mais tu peux toujours t'inspirer de cet exemple.

Strixhaven absent des collections arena ;)

Ah oui merde, j'ai zappé de mettre ça à jour, on est toujours au 10 mars.


Oui, j'ai remarqué ça avant l'incendie, mais j'ai pas eu le temps de regarder de près.

Tu as remarqué qu'il n'y avait que jayrem qui avait ces lenteurs ?

J'ai aussi observé ce genre de soucis, périodiquement. Parfois l'appui sur le bouton "confirmer la sauvegarde" dans l'édition d'un deck prend 30 ou 40 secondes avant de donner signe de vie. En fait je crois que ça coïncide avec la mise en place de l'historique des modifications.

D'ailleurs le fait que le "bouton" de sauvegarde soit un lien et pas un bouton standard fait que l'utilisateur va avoir tendance à cliquer plusieurs fois dessus dans l'intervalle entre le 1er clic et le rechargement de la page (parce qu'on a vraiment l'impression de ne pas avoir cliqué, il se passe juste rien de visible). Y a moyen que ça accentue davantage le problème, si l'opération est lourde à la base. Voire que ça cause en partie les soucis de doublons de cartes dans certaines listes quand les planètes sont alignées.

+1

Et si dans ce laps de temps, on a le malheur de recliquer sur validé, alors ça double tout les changements du deck quitte à dépasser le nombre de carte maximal des decks MV. Voilà c'était mon astuce pour vous permettre de rentrer des decks Battle of Wits sur MV.

Je ne suis pas d'accord !
https://xkcd.com/936/

Mot de passe constitué de la concaténation de 4 mots FTW ! :o)

bon bah d'un cote ça me rassure c'est pas mon pc

Je suis pour les passphrases hein, mais les exemples que j'ai donnés se craquent en 3 secondes avec un PC normal à partir du hash. Y a pas du tout la même entropie dans le mot de passe "motdepasse" que dans le mot de passe "mon mot de passe est meilleur que le tien" ou "motdepasse steak pendule binouze". Ce qui fait la force des deux derniers c'est la longueur et le nombre de mots utilisés : même avec une attaque par dictionnaire t'en as pour des années avant d'arriver à les craquer.

Je connaissais pas les passphrase, intéressant ! Apparemment 4 mots c'est un peu short aujourd'hui :)

Perso j'utilise un système similaire mais compatible avec la plupart des sites, qui sont souvent limités en longueur mais utilisent des règles de composition majuscule/minuscule/chiffre/caractère spécial. Je vous en donne un à peu près équivalent à celui que j'utilise :


J'ai même poussé le truc de manière à ce que la phrase-clé soit contextualisable en fonction du site, comme ça j'ai un mot de passe différent partout, et la partie variable est facilement mémorisable mais difficilement identifiable, même si l'attaquant possède déjà un autre de mes mots de passe (assez facile à faire pour le webmaster d'un site sur lequel je suis inscrit ou en cas de fuite de données sur un site qui stocke les mots de passe non-hashés). La variabilisation est quasiment inutile si l'attaquant en possède deux par contre. Y a des règles beaucoup plus robustes, mais je trouve que je me fais déjà bien assez chier.

Avec ce système, je crois que les seules fois où j'ai dû utiliser la fonction "mot de passe oublié", c'est quand la rotation du mot de passe m'a forcé à en improviser un nouveau en urgence, que j'ai fatalement oublié par la suite (depuis, j'utilise une "phrase-clé de secours"). Et de temps en temps je peux changer de phrase-clé en repassant sur les sites (genre 1 fois toutes les quelques années, ou quand on me signale une fuite de données, comme ce fut le cas quand j'ai reçu un mail de scam contenant mon mot de passe MagicVille il y a quelques mois...).

Sinon y a le système "password manager", c'est efficace, mais pas exploitable quand tu veux te connecter temporairement sur l'ordi d'un ami ou sur "l'ordi du taf sur lequel tu peux rien installer", et faut avoir confiance dans le prestataire.

Pas mal, je fais parfois un truc similaire, en prenant une phrase et en la triturant pas mal (caps, remplacer certaines lettres par des chiffres, etc.) Au final ça donne un truc semblable à ton exemple, sauf qu'on peut encore vaguement lire la phrase. Ton truc est donc 1 cran au-dessus.

Alors je suis peut-être parano, mais quand un site me propose de "remplir deux trucs obligatoires pour retrouver mon mot de passe si je le perds", je tape une dizaine de touches au hasard sur mon clavier et je ne les note nulle part.

Concernant les mots de passe, j'ai aussi un mot de passe par site avec un bout de contexte, mais je suis arrivé un peu au bout de ma vie au niveau de ce qui était mémorisable. Ce d'autant que Firefox se souvient de plusieurs de mes mots de passe, et que donc finalement, le nombre de mots de passe que je dois taper réellement est assez faible. Je ne me suis jamais posé la question de savoir si c'était sûr de faire mémoriser mes mots de passe par Firefox par contre, c'est vrai (bon par contre si votre contre-attaque c'est "donc on s'introduit chez toi et on se connecte où on veut" bah mon ordi est quand même protégé par mot de passe).

En fait, je ne sais toujours pas ce qui serait la meilleure solution pour vraiment stocker plein de mots de passe. Là j'ai à peu près 150 mots de passe différents, pour tout un tas de sites sur lesquels je ne me connecte en pratique quasi-jamais. Écrire ses mots de passe quelque part, stocké dans un endroit sûr ? Utiliser moins de mots de passe (les partager entre sites) ? Déconnecter et ne plus avoir que deux mots de passe, celui de sa carte bleue et celui de magic-ville ? N'utiliser que des sites qui proposent la technologie "one time password" ? (à un moment pic de ma vie j'avais 2 clefs "one time password" : un pour le travail, un pour world of warcraft - je m'étais fait hacker mon compte, donc j'avais opté pour cette solution après avoir, un peu comme JMB, eu la chance de récupérer tous mes objets volés par le hacker grâce à un maître du jeu ; aujourd'hui je n'ai plus qu'une connexion par "one time password", quand je paye en ligne avec ma banque)

J'ai pas compris la phrase de Madmox comme toi : pour moi il a un mot de passe de secours qu'il renseigne quand il a besoin d'un mot de passe à renseigner à l'arrache.

J'utilise aussi Firefox pour stocker mes mdp. Par contre j'utilise un mot de passe principal et je te conseille quand même de faire de même (c'est une option à activer).

Pour la stratégie de mdp, avant j'avais un mdp "poubelle" que j'utilisais sur les sites dont je me foutais. Sauf que j'ai eu le même genre de scam que Madmox, avec ce fameux mot de passe dont j'étais incapable de déterminer l'origine, vu que je l'utilisais sur plusieurs sites. J'ai donc été changer sur les 20 ou 30 sites mon mdp, pénible. Maintenant, pour les sites dont je me fous, j'utilise le générateur intégré dans Firefox (il te propose d'en générer un quand l'input pour entrer le mot de passe est actif) et je stocke le mdp sans même essayer de m'en rappeler. Ou alors je ne le stocke même pas et je demanderai un reset dans 2 ans, quand je retournerai sur le site en question. Ah et je ne me connecte jamais sur un site avec mon compte FB ou google : je suis peut-être parano mais j'aime pas trop l'idée (surtout que ça doit encore plus informer les GAFAM de tous tes faits et gestes).

Bon on devrait sans doute poursuivre cette conversation ailleurs ^^

canar est plus proche de ce que je voulais dire. Par "phrase-clé" je ne parlais pas de question secrète, mais d'une 2ème passphrase qui me sert de générateur de mot de passe alternatif, au cas où on me force à changer de mot de passe et que je ne peux pas réutiliser la 1ère. Les questions secrètes c'est globalement de la merde oui, enfin ça dépend un peu du contexte, mais la plupart du temps.

Pour le reste, toutes les suggestions de canar me semblent top, je fais pareil.

J'ai une erreur 500 depuis un moment par rapport a la recherche de carte