Bonjour

Les sociétés qui gÚrent les.mots de passe de client sont infiniment plus
convoitées que la petite ou moyenne entreprise. Ou même un grosse. Pourquoi
? Parce que les sociétés doivent être attaquées une par une, avec des
forces et faiblesses différentes. Donc beaucoup d'efforts pour quelques
dizaines de mots de passe. En revanche une société qui stocke les mots de
passe de plusieurs milliers de clients (ce qui inclut des sociétés) est une
meilleure cible, même si la difficulté a des chances d'être plus élevée.

Du coup les pirates vont déployer plus d'efforts ou d'ingéniosité pour
pénétrer les systÚme avec une forte concentration de mots de passe. Et la
difficulté ne sera pas des milliers de fois plus élevée. Le rapport
difficulté/profit me paraît plus intéressant.

On Wed, Apr 10, 2024 at 06:29:21PM +0300,
Je ne crois pas que Debian, organisation qui développe un système
d'exploitation, ait des recommandations particulières pour les mots de
passe.

On peut suivre les recommandations de l'ANSSI
<https://cyber.gouv.fr/bonnes-pratiques-protegez-vous> :

Utilisez un mot de passe différent pour chaque accès (messagerie,
banque en ligne, comptes de réseaux sociaux, etc.) : en cas de
compromission de l’un de vos comptes, cela évitera l’effet boule de
neige.

Créez un mot de passe suffisamment long, complexe et inattendu :
de 8 caractères minimum et contenant des minuscules, des
majuscules, des chiffres [conseil discutable, cf. celui du NIST]
et des caractères spéciaux [sic].

Ne communiquez jamais votre mot de passe à un tiers : aucune
organisation ou personne de confiance ne vous demandera de lui
communiquer votre mot de passe.

Utilisez un gestionnaire de mots de passe : pas simple de retenir tous
ses codes de connexion ! Heureusement des outils de type « coffres
forts de mots de passe » existent. Ces derniers mémorisent tous vos
mots de passe et vous permettent d’en générer de manière aléatoire.

Ou du NIST (en anglais) <https://pages.nist.gov/800-63-FAQ/#q-b06> :

Are password composition rules no longer recommended?
A-B06:

SP 800-63B Section 5.1.1.2 paragraph 9 recommends against the use of composition rules (e.g., requiring lower-case, upper-case, digits, and/or special characters) for memorized secrets. These rules provide less benefit than might be expected because users tend to use predictable methods for satisfying these requirements when imposed (e.g., appending a ! to a memorized secret when required to use a special character). The frustration they often face may also cause them to focus on minimally satisfying the requirements rather than devising a memorable but complex secret. Instead, a blacklist of common passwords prevents subscribers from choosing very common values that would be particularly vulnerable, especially to an online attack.

Composition rules also inadvertently encourage people to use the same password across multiple systems since they often result in passwords that are difficult for people to memorize.
Ayez confiance (avec la voix du serpent dans le Livre de la Jungle).
Il y a beaucoup de raisons différentes. Cela peut être la négligence
(après tout, aucune entreprise n'a jamais fait faillite, aucun PDG n'a
jamais été viré pour une fuite de données : cela n'encourage pas à
faire attention). Cela peut être l'ignorance (on rencontre encore des
gens déconseillant les gestionnaires de mots de passe, ou demandant un
changement tous les N mois). Cela peut être que l'attaquant était
particulièrement compétent. Cela peut être que la société avait
tellement de process et de règles rigides que les employés ne
faisaient plus d'efforts. Etc.

Je ne sais pas ce que debian recommande, j'aime bien ce que dit cette dame :

https://video.passageenseine.fr/w/10f0fa30-b11f-4d0e-87c6-4e41c7363bbf