EN DIRECT en ligne connexion / inscription
Connexion

Surnom/Pseudo
Mot de Passe :

[ Vous avez perdu votre mot de pass ? | Devenir membre ]

×

Episode 2 : Bien choisir un mot de passe, si facile que ça ? , page 2

Aller à la page :   123  
CowcotLand topic RSS feed Surveiller les réponses de ce sujet
jujunet @
Agriculteur
Agriculteur

2139pts

Inscrit le: 20 juin 2019
Age: 43
Messages: 1174
Localisation: Indre-et-Loire
Navigateur : n.c.

Hors ligne
Message Posté le: 15 novembre 2020 à 17:28  Lien permanent
Répondre en citant
C'est clair que niveau privacy on en perd de plus en plus. :)

L'idéal serait qu'ils aient pas ton empreinte mais une signature de celle-ci. Avec une communication cryptée entre le départ et l'arrivée. Genre l'empreinte génère une clé et le site web n'a que la clé pour authentification. C'est le lecteur sur le PC de l'utilisateur qui vérifierait que l'empreinte est la bonne et envoie la clé.

Après j'y connais pas grand chose en sécurité et cryptage mais ça me semblerait être une solution, je sais pas si c'est possible dans la pratique et suffisament sécurisé. La clé devrait être elle même cryptée pour pas qu'il y ait d'interception, ni de stockage en clair sur les serveurs.

En tous cas on semble aller vers des authentification à plusieurs facteurs, comme ce que tu décris, donc si empreinte il y a, on aura toujours à faire des manips supplémentaires.
Voir le profil de l'utilisateur Envoyer un message privé » Album Photos
squal @
Paysan
Paysan

752pts

Inscrit le: 01 juin 2013
Age: 54
Messages: 351

Navigateur : n.c.

Hors ligne
Message Posté le: 15 novembre 2020 à 17:31  Lien permanent
Répondre en citant
est-ce que les programmes tels que Cain and Abel et John the Ripper sont toujours d'actualités ? après les attaques des comptes se font souvent sur des serveurs aussi c'est pour cette raison que je ne sauvegarde jamais mes mots de passe et j’utilise jamais le même mot de passe , ai-je raison ?
Voir le profil de l'utilisateur Envoyer un message privé
Dysnome @
Métayer
Métayer

2901pts

Inscrit le: 29 août 2014
Messages: 624
Localisation: Luxembourg
Navigateur : n.c.

Hors ligne
Message Posté le: 15 novembre 2020 à 17:42  Lien permanent
Répondre en citant
squal a écrit:
est-ce que les programmes tels que Cain and Abel et John the Ripper sont toujours d'actualités ? après les attaques des comptes se font souvent sur des serveurs aussi c'est pour cette raison que je ne sauvegarde jamais mes mots de passe et j’utilise jamais le même mot de passe , ai-je raison ?


Oui c'est toujours d'actualité, mais on privilégie les GPU, du coup c'est plutôt Hashcat qu'on utilise.

En soit, que ce soit un Active Directory, un site web, une app web, une app mobile ou autre, les credentials sont toujours stockés côté serveur. Il faut juste que ce ne soit pas stocké côté client (dans le browser par exemple). Quand tu soumets tes credentials, ils sont comparés à ceux stockés sur le serveur et c'est ainsi que tu reçois l'autorisation d'accéder à ton compte.

Le fait de ne pas utiliser le même mot de passe pour plusieurs services est très bien !
Voir le profil de l'utilisateur Envoyer un message privé
Coket @
Paysan
Paysan

786pts

Inscrit le: 05 avril 2018
Age: 57
Messages: 408

Navigateur : Opera

Hors ligne
Message Posté le: 15 novembre 2020 à 18:05  Lien permanent
Répondre en citant
Merci pour le post très instructif!

Question pratique, on peut centraliser une app comme Keepass sur son NAS par exemple pour pouvoir l'utiliser avec tous ses terminaux?

Je me doute que question sécurité ce n'est pas le top de pouvoir y accéder à distance...


Voir le profil de l'utilisateur Envoyer un message privé
Dysnome @
Métayer
Métayer

2901pts

Inscrit le: 29 août 2014
Messages: 624
Localisation: Luxembourg
Navigateur : n.c.

Hors ligne
Message Posté le: 15 novembre 2020 à 18:20  Lien permanent
Répondre en citant
Coket a écrit:
Merci pour le post très instructif!

Question pratique, on peut centraliser une app comme Keepass sur son NAS par exemple pour pouvoir l'utiliser avec tous ses terminaux?

Je me doute que question sécurité ce n'est pas le top de pouvoir y accéder à distance...


Hello,

Oui ! Sans problème. Keepass intègre une solution de synchronisation si ton fichier est ouvert sur plusieurs postes en même temps (via un share par exemple).

Chez moi j'utilise Nextcloud pour partager et synchroniser mon keepass sur mes machines. Ça fait aussi office de backup.
Voir le profil de l'utilisateur Envoyer un message privé
Amendil @
Saisonnier
Saisonnier

228pts

Inscrit le: 13 mai 2012
Messages: 29

Navigateur : n.c.

Hors ligne
Message Posté le: 15 novembre 2020 à 19:52  Lien permanent
Répondre en citant
Dysnome a écrit:
mais sauvegarder ses mots de passe dans un browser n'est pas une bonne idée (on peut très facilement les récupérer via un dump mémoire par exemple).


Je ne l'avais pas vu comme ça.
Si je souhaite accéder à un mot de passe par moi même dans Lockwise, j'ai besoin à chaque fois d'utiliser un master password.
Par contre, et ça confirme ce que tu disais, après l'avoir donné une fois au browser, pour son utilisation perso il va chercher les mot de passe à sa guise, tant que je ne le ferme pas. J'imagine que c'est un compromis qu'ils ont fait mais ça laisse cette vulnérabilité pour quelqu'un qui aurait accès à l'ordinateur pendant que j'ai Firefox d'ouvert.

S'il y avait une option de timeout après 5-10 minutes, j'imagine que ça réduirait le risque. Ou carrément une option pour qu'on me demande le master password à chaque fois (ou double authentification à chaque fois).
Voir le profil de l'utilisateur Envoyer un message privé
squal @
Paysan
Paysan

752pts

Inscrit le: 01 juin 2013
Age: 54
Messages: 351

Navigateur : n.c.

Hors ligne
Message Posté le: 15 novembre 2020 à 20:13  Lien permanent
Répondre en citant
L'époque est révolue ou fût un temps où il fallait un bon processeur pour cracker les mots de passe maintenant place aux GPUs
https://www.phonandroid.com/la-geforce-rtx-3090-cracke-les-mots-de-passe-a-la-vitesse-de-leclair-et-oui-cest-inquietant.html
Voir le profil de l'utilisateur Envoyer un message privé
Dysnome @
Métayer
Métayer

2901pts

Inscrit le: 29 août 2014
Messages: 624
Localisation: Luxembourg
Navigateur : n.c.

Hors ligne
Message Posté le: 15 novembre 2020 à 20:49  Lien permanent
Répondre en citant
Je trouve que l'article est vraiment rédigé de manière théâtrale. Ok les 3090 sont performantes, mais c'est pas pour rien que le standard des mots de passe aujourd'hui est de 10 caractères.
Voir le profil de l'utilisateur Envoyer un message privé
Scud @
Ouvrier agricole
Ouvrier agricole

375pts

Inscrit le: 04 janvier 2019
Messages: 161

Navigateur : n.c.

Hors ligne
Message Posté le: 15 novembre 2020 à 21:30  Lien permanent
Répondre en citant
Merci pour l'article. Pouce-en-haut
J'ai appris pleins de truc, et moi qui grognait à chaque fois que l'on me propose une identification en 2 étapes, je vais peut être réfléchir la prochaine fois...

Et tu penses quoi de stocker les mdp à l'ancienne, sur un bon carnet ? Il devrait avoir du mal le hackeur bosniaque non ?
Sauf si il envoit le cousin Roumain visiter ta cabane...
Voir le profil de l'utilisateur Envoyer un message privé
Dysnome @
Métayer
Métayer

2901pts

Inscrit le: 29 août 2014
Messages: 624
Localisation: Luxembourg
Navigateur : n.c.

Hors ligne
Message Posté le: 15 novembre 2020 à 21:41  Lien permanent
Répondre en citant
Scud a écrit:
Merci pour l'article. Pouce-en-haut
J'ai appris pleins de truc, et moi qui grognait à chaque fois que l'on me propose une identification en 2 étapes, je vais peut être réfléchir la prochaine fois...

Et tu penses quoi de stocker les mdp à l'ancienne, sur un bon carnet ? Il devrait avoir du mal le hackeur bosniaque non ?
Sauf si il envoit le cousin Roumain visiter ta cabane...

Ne jamais stocker des informations confidentielles type credentials sur un bloc note. Même si ça part à la poubelle, tant que ce n'est pas détruit quelqu'un peut s'en emparer. On appelle ça le dumpster diving.

Petite anecdote, lors d'un reportage TV, j'ai vu un journaliste être interviewé dans les locaux de sa boîte. Derrière lui, sur l'écran, il y avait des post-it de mots de passe... Je te laisse imaginer la suite :)
Voir le profil de l'utilisateur Envoyer un message privé
Scud @
Ouvrier agricole
Ouvrier agricole

375pts

Inscrit le: 04 janvier 2019
Messages: 161

Navigateur : n.c.

Hors ligne
Message Posté le: 15 novembre 2020 à 21:50  Lien permanent
Répondre en citant
Le Dumpster diving, ne concerne-il pas plus les secrets d'entreprises ou d'état ?
Aller chercher mon carnet perdu dans une déchetterie va intéresser quel hackeur ?
Ce n'est pas une affirmation, mais bien une question. Clin d'oeil (comme pour l'identification en 2 étapes, je peux aussi changer d'avis sur le dit carnet)
Voir le profil de l'utilisateur Envoyer un message privé
topodoco @
Paysan
Paysan

639pts

Inscrit le: 29 juillet 2008
Messages: 361

Navigateur : n.c.

Hors ligne
Message Posté le: 15 novembre 2020 à 22:23  Lien permanent
Répondre en citant
@Dysnome Salut et merci pour cet article ! Pouce-en-haut

C'est toujours intéressant d'en apprendre un peu plus sur le sujet !

As-tu interdit à ton Nextcloud l'accès internet ?
Parce qu'a la base le but de Nextcloud c'est de partager des fichiers et souvent sur internet...
Mais mettre ta base de mots de passes sur internet ça semble assez "risqué" non ? Choqué

De plus Nextcloud n'est pas "si sécurisé" que cela, pour le considérer comme une sauvegarde fiable...
Mon Nextcloud à un jour commencé à dérailler, je n'arrivai plus à charger les fichiers qui s'y trouvaient alors que c'était toujours possible de les envoyer dessus sans problème.
J'avais beau charger un fichier seul ou un zip, le résultat arrivait toujours corrompu.
Avant le chargement, je voyais bien la taille du fichier, mais le chargement s’arrêtait en plein transfert sans aucun défaut... mis à part le résultat d'un fichier erroné et impossible à ouvrir...
J'ai donc fait une sauvegarde de la base de Nextcloud que j'ai été récupérer en SCP.
Réinstallation de tout le serveur Nextcloud, et la.. impossible de restaurer ma sauvegarde. Plantage
Je me dis que ce n'est pas grave, tout est en doublons sur mes PC qui s'y connectent à l'aide du client windows, donc je refais la config en manu, je recréé mes utilisateurs et... je me rend compte que mon PC à la place de renvoyer le tout sur le cloud, considère le cloud comme plus récent et se synchronise à ce dernier en supprimant tout mes fichiers du disque dur... Ordigerbe


Voir le profil de l'utilisateur Envoyer un message privé
Knapneder @
Meuhdérateur
Meuhdérateur

6283pts

Inscrit le: 17 janvier 2019
Age: 32
Messages: 3798
Localisation: Bruxelles
Navigateur : n.c.

Hors ligne
Message Posté le: 15 novembre 2020 à 22:37  Lien permanent
Répondre en citant
squal a écrit:
est-ce que les programmes tels que Cain and Abel et John the Ripper sont toujours d'actualités ? après les attaques des comptes se font souvent sur des serveurs aussi c'est pour cette raison que je ne sauvegarde jamais mes mots de passe et j’utilise jamais le même mot de passe , ai-je raison ?

Je confirme, Cain fonctionne toujours très bien pour ce qui est ARP poisoning et MiM, je m'en sers encore parfois pour m'amuser. Je n'ai jamais utilisé Abel par contre...

[quote="Dysnome"]
Scud a écrit:
Petite anecdote, lors d'un reportage TV, j'ai vu un journaliste être interviewé dans les locaux de sa boîte. Derrière lui, sur l'écran, il y avait des post-it de mots de passe... Je te laisse imaginer la suite :)

On a vu le même alors ! M. Green Ile me semble d'ailleurs que c'était carrément dans un service de l'armée et que le mot de passe était vraiment ultracon...


Un souci avec la modération? -> https://www.cowcotland.com/topic36431.html#649011
Voir le profil de l'utilisateur Envoyer un message privé
Dysnome @
Métayer
Métayer

2901pts

Inscrit le: 29 août 2014
Messages: 624
Localisation: Luxembourg
Navigateur : n.c.

Hors ligne
Message Posté le: 15 novembre 2020 à 22:54  Lien permanent
Répondre en citant
@topodoco J'ai déjà eu des emmerdes avec Nextcloud, heureusement j'ai toujours eu des backups. Non, mon Nextcloud n'est pas exposé sur internet. Il fût un temps je le faisais pour générer les certificats let's encrypt, mais depuis quelques temps j'utilise ma propre autorité de certification.

@Knapneder Cain and Abel c'est le nom complet :) Ouaip ce genre de reportages ça arrive de temps en temps. Le principe c'est de faire prendre conscience aux gens des bonnes et mauvaises pratiques.
Voir le profil de l'utilisateur Envoyer un message privé
Knapneder @
Meuhdérateur
Meuhdérateur

6283pts

Inscrit le: 17 janvier 2019
Age: 32
Messages: 3798
Localisation: Bruxelles
Navigateur : n.c.

Hors ligne
Message Posté le: 15 novembre 2020 à 23:02  Lien permanent
Répondre en citant
J'ai toujours cru que c'étaient deux softs distincts, vu que c'est le logo Cain qui était dans la barre supérieure et qu'il y a apparemment un autre logo Abel :)





Edit pré-post : il n'y aucune malice dans mon commentaire, c'est vraiment à prendre au premier degré Clin d'oeil


Un souci avec la modération? -> https://www.cowcotland.com/topic36431.html#649011
Voir le profil de l'utilisateur Envoyer un message privé
Aller à la page :   123  
Sauter vers: 
Surveiller les réponses de ce sujet CowcotLand topic RSS feed  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum


Sujets similaires

Sujet Auteur Forum Réponses Posté le
Pas de nouveau message APNX AP1-V, un bien joli ventirad qui fait plus que le tr... Vanseb AirCooling 0 27 mars 2024 à 14:07
Pas de nouveau message Bien le bonjoir NTwz Présentation 0 24 janvier 2024 à 09:26
Pas de nouveau message J'ai raté un épisode. sphynxounet Le poulailler 66 21 janvier 2024 à 20:22
Pas de nouveau message Ca va marcher moins bien Pouetster Blagues 0 15 janvier 2024 à 15:46