L'interview est allée à dit:
Votre objectif est de rendre votre mot de passe aussi aléatoire que possible, donc tout ce qui réduit le caractère aléatoire ou l'entropie va réduire l'efficacité de votre mot de passe
Va augmenter sa force brute
L'horreur de LessPass - TWiT Netcast Network
Comprendre nos erreurs
Nous utilisons des modèles pour créer des mots de passe avec des règles complexes comme _pas de voyelles consécutives_ ou _ne peut pas commencer par un nombre_.
Nous avons fait deux erreurs :
- Premièrement, nous n'avons pas compris au départ que l'entropie du mot de passe généré augmente la force brute du mot de passe maître. J'ai repris l'idée des modèles de mots de passe
masterpasswordalgorithme . Nous avons mal compris et avons tenu pour acquis ce que nous avons lu. - Ensuite, il s'agissait de définir
cvCVnscomme template par défaut (consonms,vowls, etc.) au lieu d'un plus aléatoire commex( jeu de caractères complet).
En open source
Et pour tous ceux qui pensent bien faire au début, ou qui pensent que l'Open Source n'aide pas. Au contraire, nous pensons que personne ne fait bien au début, et grâce à l'examen minutieux de la communauté et aux études critiques du code, ce genre d'outil devient plus robuste au fur et à mesure qu'il dure.
Comment ça se sent
La vidéo est évidemment un revers pour nous, surtout après l'euphorie de la semaine dernière où nous sommes passés de ~100 à 1600+ étoiles, mais nous sommes heureux que les gens revoient notre code en profondeur et que cela soit apparu tôt.
Actions
Nous utiliserons par défaut l'alphabet complet dans la prochaine version. Nous allons probablement augmenter la longueur par défaut des mots de passe générés.
Ainsi à l'avenir, nous décrirons (avec des dessins) le futur algorithme et son implémentation. Nous allons simplifier le code pour aider tout le monde à comprendre comment cela fonctionne. Et nous espérons que vous garderez l'œil ouvert sur les erreurs et que vous resterez critique envers le code.
Meilleur :coeur:
guillaumevincent
Tous les 3 commentaires
Salut @guillaumevincent , Vous devrez probablement concevoir une stratégie pour que les gens passent au nouvel algorithme du précédent. Pour qu'ils puissent toujours générer leur ancien mot de passe tout en pouvant utiliser le nouvel algorithme (le scénario typique est pour les personnes souhaitant modifier à nouveau leur mot de passe en utilisant le nouveau mot de passe).
abe33
le 17 nov. 2016
Salut @abe33 voici la stratégie dont nous discutons avec @edouard-lopez :
- L'interface va changer et offrir la possibilité de générer un mot de passe avec la version 1 de LessPass ou la version 2 ( pbkdf2 100k itérations , alphabet complet et correctif https://github.com/lesspass/lesspass/issues/84). La version 1 sera active par défaut avec un avertissement d'un changement futur.
- Tous les mots de passe enregistrés sur la version connectée intégreront les informations nécessaires pour régénérer correctement les mots de passe. Et une fois connecté, il utilisera la version 2 pour les nouveaux mots de passe. Donc pas de changement pour les mots de passe connectés.
- Offrez aux utilisateurs la possibilité de modifier leurs mots de passe principaux et de migrer vers la nouvelle version. https://github.com/lesspass/lesspass/issues/36
Si vous pensez qu'il y a un meilleur moyen, n'hésitez pas
guillaumevincent
le 17 nov. 2016
je ferme la nouvelle version est en ligne
guillaumevincent
le 25 nov. 2016
Questions connexes
jparsert
·
3Commentaires
polarathene
·
4Commentaires
Prinzhorn
·
5Commentaires
panther2
·
5Commentaires
panther2
·
3Commentaires
Commentaire le plus utile
Salut @guillaumevincent , Vous devrez probablement concevoir une stratégie pour que les gens passent au nouvel algorithme du précédent. Pour qu'ils puissent toujours générer leur ancien mot de passe tout en pouvant utiliser le nouvel algorithme (le scénario typique est pour les personnes souhaitant modifier à nouveau leur mot de passe en utilisant le nouveau mot de passe).