Pourquoi certains (mauvais) sites limitent les passwords à 8 caractères ? La meilleure réponse possible
Cet article a été publié il y a 8 ans 2 mois 17 jours, il est donc possible qu’il ne soit plus à jour. Les informations proposées sont donc peut-être expirées.Prenez cinq chimpanzés. Mettez les dans une grande cage. Suspendez quelques bananes au toit de la cache. Donnez un escabeau aux chimpanzés. MAIS aussi ajoutez un capteur de proximité à côté des bananes, pour que dès qu’un chimpanzé s’approche trop près, des tuyaux d’eau s’ouvrent et imbibent littéralement la cage.
Très vite, les chimpanzés apprennent qu’il vaut mieux laisser tomber l’escabeau et les bananes.
Maintenant, retirez un chimpanzé, et remplacez le avec un petit nouveau. Ce chimpanzé-là ne sait rien des tuyaux d’eau. il voit les bananes, repère l’escabeau, et parce qu’il est un primate intelligent, il se voit grimper sur l’escabeau pour atteindre les bananes. Il attrape alors l’escabeau… et les quatre autres chimpanzés se ruent sur lui pour le tabasser, carrément. Il apprend alors très vite à ignorer l’escabeau.
Puis, retirez un autre chimpanzé pour le remplacer par un nouveau. Le scénario se répète : quand il saisit l’escabeau, il est molesté par les quatre autres — oui, même l’ancien petit nouveau. Il a intégré la notion de « vous ne toucherez pas (à l’escabeau) ».
Itérez. Après quelques opérations, vous avez cinq chimpanzés qui sont près à frapper n’importe quel autre chimpanzé qui oserait toucher l’escabeau — et aucun d’entre ne sait plus pourquoi.
A l’origine, un développeur, quelque part, travaillait sur un vieux système Unix du siècle dernier, qui utilisait l’ancêtre « crypt » basé sur DES, en fait une fonction de hashage de mot de passe dérivée du cipher de bloc DES. Dans cette fonction de hashage, seuls les huit premiers caractères du mot de passe sont utilisés (et seulement les 7 bits faibles de chaque caractère, évidemment). Les caractères supplémentaires sont ignorés. Ces derniers sont les bananes.
Internet est rempli de chimpanzés.
Cette allégorie est tirée d’un échange sur StackExchange, et je l’ai trouvé suffisamment marrante pour vous la traduire.
Bonjour, Tu me donnes donc l’explication du pourquoi sur certaines config Linux, seuls les 8 premiers caractères du mot de passe sont pris en compte (je l’ai constaté au moins 2 fois : dans mon université, puis dans ma boite, qui n’est pas une petite structure puisqu’elle emploie 65000 personnes dans le monde entier). C’est le genre de rétrocompatibilté qui est stupide je trouve (surtout quand la dite boite bosse notamment dans la sécurité… cordonniers les plus mal chaussés vous avez dit ?). Mais il y encore pire :les sites qui imposent le nombre de caractères, et parfois uniquement en… Lire la suite »
@removebeforeflight Déjà vu ce problème avec seulement les 8 premiers caractères vraiment pris en compte, c’était un ldap configuré à l’arrache (sûrement un paramètre par défaut d’ailleurs vu ce que tu racontes).
J’ai prévenu le support système de ma boîte et ça été corrigé. Malheureusement pas plus de détails