Le blog de Genma
Vous êtes ici : Accueil » Blog » Archives - Firefox OS » FirefoxOS - Pas de caractères spéciaux pour la phrase de passe

FirefoxOS - Pas de caractères spéciaux pour la phrase de passe

D 10 mars 2015     H 09:00     A Genma     C 4 messages   Logo Tipee

TAGS : FirefoxOS Planet Libre Password, Passphrase

Suite à mon article FirefoxOS Localisation, Verrouillage, Effacer à distance, j’ai étudié plus en détail la fonctionnalité de "Protection à distance - Remote Protection".

Dans le paramétrage, dans la partie "Privacy Controls, Remote Protection", les caractères spéciaux ne sont pas autorisés pour la phrase de passe. (C’est cette phrase de passe qui est utilisée pour certaines des fonctionnalités mentionnées dans ce billet).

Estimant qu’il s’agit là d’une erreur, j’ai donc saisi un bug que l’on peut consulter ici https://bugzilla.mozilla.org/show_bug.cgi?id=1137156

La première réponse a été "étonnante". It was a UX decision to not include special characters. It is because the passphrase is sent over the SMS and the special characters "take up" too much space. Or something like that que je traduirais par Cela a été une décision d’expérience utilisateur que ne de pas inclure de caractères spéciaux. C’est lié au fait que la phrase de passe est envoyé par SMS et que les caractères spéciaux "prennent de trop de place". Ou quelque chose comme ça.

Oui les caractères spéciaux dans un SMS ne comptent pas comme un caractère mais comme plusieurs. Mais même si cela nécessite d’envoyer plusieurs SMS (en découpant la phrase de passe en morceaux), il est, pour moi, important, voir obligatoire de pouvoir mettre des caractères spéciaux dans la phrase de passe.

Car même si celle-ci est d’une longueur acceptable ou suffisante, le fait que ce ne soit qu’une combinaison de caractères choisis parmi les 26 lettres de l’alphabet européen limite grandement le nombre de combinaisons possibles et rend une potentielle attaque par force brute réalisable dans un temps acceptable. (Il faudrait que j’étudie les possibilités d’une telle attaque d’ailleurs).

D’autres ont commencé à réagir en allant dans mon sens (la nécessité de pouvoir avoir des caractères spéciaux dans la phrase de passe), affaire à suivre donc (en s’abonnant par mail au bug par exemple).

Sur les phrases de passe et mots de passe, à lire également :
 Sur la sécurité des mots de passe
 Les phrases de passe

4 Messages

  • « (en s’abonnant par mail au bug par exemple) »

    Non, on compte sur toi :p


  • Techniquement, les caractères spéciaux c’est la misère ....
    Pour ma part, je ne les autorisent pas dans les mot de passe et encore moins dans les clés de chiffrage ... En UTF-8, les caractères spéciaux prennent en effet des tailles de plusieurs octets et pas toujours la même taille ( ça peut être un problème dans certaines situations ) et si c’est de l’info qui transite entre plusieurs couches logiciels, il suffit que l’une d’elle soit mal réglée pour que ça ne marche pas ... ou même si on transfert les données d’un serveur à un autre ( ça m’est arrivé souvent d’avoir une casse des caractères dû aux outils d’import export des données )
    Je comprend l’idée que l’on veuille des caractères spéciaux , mais je n’aurais pas pensé que ça puisse être un problème ... par contre, les intégrer peut être une source de problème de mon point de vue :S
    Sauf besoin précis d’un client, je repousserais ça loin dans la priorité des bugs : après que l’appli soit stable, performante et bien étoffé, et qu’on me demande encore de l’améliorer ( là, on peut se prévoir une bonne phase de test, avec pas mal de vérifications et sécurité autour , surtout si il s’agit de chiffrage de donnée, car une erreur en prod et tout est perdu ... il ne serait pas étonnant de prévoir une phrase secrète qui chiffre plusieurs services pour ne pas en avoir besoin de plusieurs, dont des données ... )


  • Je suis toujours sceptique à propos de find.firefox.com et de la seconde méthode de blocage/sonnerie/effacement par sms et phrase de passe. En effet pour la première il faut que le téléphone soit connecté à internet pour pour agir à distance sur lui et la seconde méthode ne fonctionne que si le téléphone a déjà un code de blocage d’écran et donc l’option lock par sms ne sert à rien puisque le téléphone est déjà protégé par un code. Le seul intérêt de find.firefox serait d’envoyer un massage avec son adresse au téléphone si on l’ a perdu afin que quelqu’un le ramène mais il n’y a aucun retour quand on envoie le message depuis le site et comme il y de grandes chance que le téléphone soit éteint ou plutôt hors connexion, on ne peut pas savoir si le message est bien arrivé. En plus on peut déconnecter le téléphone de find.firefox sans donner ses identifiants. Donc ces solutions n’apportent pas grand chose puisque l’effacement à distance n’est pas proposé en sms à distance avec phrase de passe. Donc le seul moyen de protéger le téléphone est de ne pas le perde ou de ne pas se le faire voler ou alors de mettre un code d’écran (mais la limite max de temps de veille sans avoir à retaper le code est seulement d’une heure) et un code PIN.

    Depuis la mise à jour de samedi 7/03 je ne peux plus créer de phrase de passe, meme sans espaces et caractères spéciaux le téléphone répond phrase de passe incorrecte.

    Je serais curieux de savoir quels sont les nouveautés de firefox OS 3.0


  • Mouais bof, pour ma part, c’est un faux débat : j’ai mes sauvegardes contacts + calendrier en local, donc même si le téléphone disparait demain, je m’en fous un peu.
    Je n’irais de toute façon pas mettre des données pros confidentielles dans un smartphone : ce n’est pas un PC avec disque crypté comme sous GNU/Linux. L’outil n’est tout simplement pas conçu pour cela, et on sait tous ce que vaut la sécurité de nos périphériques sans fil !
    La sécurité d’un mot de passe n’est toujours qu’une question de temps et de nombre d’essais entre chaque tentative. Mais rien n’est absolu, et tout particulièrement un simple écran de déverrouillage, qui n’est qu’une simple protection locale temporaire, le plus souvent activé pour éviter les fausses manipulations dans la poche.