Episode 2 : Bien choisir un mot de passe, si facile que ça ?
Dysnome @
Métayer
2901pts
Inscrit le: 29 août 2014
Messages: 624
Localisation: Luxembourg
Navigateur : n.c.
Hors ligne
Métayer
2901pts
Inscrit le: 29 août 2014
Messages: 624
Localisation: Luxembourg
Navigateur : n.c.
Hors ligne
Posté le: 15 novembre 2020 à 12:27 
Salut tout le monde,
Aujourd'hui on parle de sécurité des mots de passe: comment bien les créer, les stocker et les utiliser.
Depuis de très nombreuses années beaucoup de site web, serveurs d'entreprise et comptes de réseau sociaux se sont fait compromette en grande partie à cause d'une faiblesse liée aux mots de passe utilisés. Je propose donc de décortiquer tout cela aujourd'hui pour que demain, ce ne soit pas vous la victime.
On pose les valises, un peu de définition
Tout d'abord, un mot de passe c'est quoi et à quoi ça sert ? Cette question semble anodine car vous utilisez toutes et tous des mots de passe au quotidien. Avant de rentrer dans les détails, voici quelques points clés :
- Un mot de passe est un ensemble de caractères qui est utilisé comme moyen d'authentification (prouver qui je suis) afin d'accéder à un lieu protégé tel que votre compte Cowcotland, vos mails, mais aussi accéder à votre smartphone, le PIN de votre carte de banque, etc.
- Comme il s'agit de prouver que c'est bien moi, mon mot de passe doit être secret et vous imaginez bien qu'un mot de passe, tout comme une brosse à dent, ne se partage pas.
- Un mot de passe doit être suffisamment fort pour qu'une personne malveillante ne puisse pas le deviner et usurper l'identité du compte.
- Idéalement, un mot de passe doit être unique. Si un compte est compromis et qu'une personne malveillante connait votre mot de passe, vos autres comptes seront également compromis.
Dans cette définition, il faut retenir plusieurs choses : un mot de passe est composé de caractères (quel type de caractères ? On va voir ça juste après), il doit être fort (comme Popeye ! Ahah hum...) et finalement, il doit être unique (ça, c'est très important).
Un bon mot de passe, c'est quoi ? Comment je le crée ?
Quand on parle de mot de passe, je ne peux m'empêcher de faire référence à cette BD de xkcd : https://xkcd.com/936/. Elle explique parfaitement et très simplement la théorie des mots de passe. Pour faire simple, pendant de nombreuses années les gens étaient forcés à créer et retenir des mots de passe complexe pour l'être humain mais très facile à deviner pour un ordinateur. Depuis quelque temps, les choses changent et de plus en plus de mot de passe se sont transformés en passphrase (une phrase qui fait office de mot de passe), quelque chose qui est facile à retenir pour l'être humain, mais difficile à deviner pour un ordinateur.
La composition d'un mot de passe
Pour comprendre comment créer un bon mot de passe, il faut d'abord comprendre comment il est composé.
La composition est faite de la manière suivante:
- Caractères alphabétique en minuscule : [a-z]
- Caractères alphabétique en majuscule : [A-Z]
- Chiffres : [0-9]
- Caractères spéciaux : (&, é, ", ', §, è, !, ç, à, -, $, *, €, ^, ¨, =, +, etc)
En fonction du site que vous visitez, il vous sera demandé de définir un mot de passe comprenant une ou plusieurs caractéristiques de la liste précédente ainsi qu'un nombre de caractères minimum, souvent 8. Pourquoi 8 et pas 2, 6, ou 25 caractères minimum ? C'est une question d'entropie.
Au plus on ajoute de la complexité, au plus le mot de passe sera solide.
Vous êtes toujours là ? Parfais, on continue ^^
L'entropie
On parlait justement d'entropie. Mais au fait, c'est quoi l'entropie d'un mot de passe ? Allé, je fais le flemmard et cite Wikipedia :
"En informatique, la robustesse d'un mot de passe est exprimée en termes d'entropie de Shannon, mesurée en bits. Il s'agit d'un concept de la théorie de l'information. Au lieu de mesurer la robustesse par le nombre de combinaisons de caractères qu'il faut tester pour trouver le mot de passe avec certitude, on utilise le logarithme en base 2 de ce nombre. Cette mesure est appelée l'entropie du mot de passe. Un mot de passe avec une entropie de 42 bits calculée de la sorte serait aussi robuste qu'une chaîne de 42 bits choisie au hasard."
Pour faire simple, voici une passphrase et un mot de passe :
- bonjourtoutlemonde
- b;rEJV"Z
La passphrase est composée de 18 caractères alphabétique en minuscule
Le mot de passe est composé de 8 caractères multiples
A votre avis, lequel des deux est le plus robuste ? [spoiler]Le premier ![/spoiler]. En effet, la passphrase a une entropie de 84 bits de sécurité tandis que le mot de passe, malgré sa complexité supérieure, dispose d'une entropie de 52 bits de sécurité.
La formule pour calculer:
- Passphrase : 18*(log26/log2) -> 26 = 26 caractères de l'alphabet
- Mot de passe : 8*(log95/log2) -> 95 = Tout les caractères ASCII non étendu
Comme le disait la définition, au plus le nombre de bits de sécurité est élevé, au plus votre mot de passe sera robuste ! Pour la petite histoire, actuellement on considère un mot de passe robuste à partir de 60 bits de sécurité. Au plus les puissances des GPU augmente, au plus le nombre de bits de sécurité devra être élevé pour contrer cette puissance de calcul.
Wait... Est-ce que tout se base uniquement sur l'entropie ? Eh bien... Pas toujours !
Les attaques par dictionnaire
Quand on a parlé d'entropie, on faisait référence à la robustesse d'un mot de passe face à une attaque de type bruteforce. Dans les faits, c'est rarement utilisé. Ce qui fonctionne par contre beaucoup mieux, ce sont les attaques par dictionnaire. Vous allez vite comprendre toute la nuance entre un bon mot de passe, et une bonne passphrase
Une attaque par dictionnaire consiste à produire une liste de mot de passe qu'une victime pourrait potentiellement utiliser (des mots du dictionnaire ou des mots de passe déjà vu sur internet), et les tester un à un. Il s'agit bien souvent d'un type d'attaque plus rapide, et est donc souvent privilégié par les attaquants car il existe des listes toutes faites de plusieurs millions de mot de passe. On se souvient tous des mots de passe à éviter type 0123456, Password!, iloveyou, bonjour! etc, c'est à cause de ces wordlist qu'il faut les bannir de toute utilisation.
Sans faire de savants calculs, vous comprendrez donc aisément que face à une attaque de dictionnaire, bonjourtoutlemonde ne va pas résister longtemps (le temps de trouver le tuple "bonjour", "tout", "lemonde").
Je fais quoi alors ?
Vous l'aurez compris, trouve un bon mot de passe n'est finalement pas si simple que ça. Heureusement, il existe des techniques faciles à appliquer et qui vont révolutionner votre vie !
Commençons par un tips : Tester si mon mot de passe est connu sur internet. Il existe un site très intéressant qui se nomme "Have I been pwned" (https://haveibeenpwned.com/Passwords). Entrez votre mot de passe dans le form et vous verrez si il a déjà été leaké par le passé. Bien entendu, il existe un débat dans la communauté de sécurité sur le risque encouru de poster votre mot de passe sur ce site. On peut en parler dans les commentaires, vous verrez, il y a de bons arguments pour et contre.
Prenons donc l'exemple de nos deux mots de passe précédents: bonjourtoutlemonde et b;rEJV"Z. Le premier a été vu 2 fois par le passé, le second, zéro ! Ça signifie que le premier mot de passe se trouve probablement déjà dans une wordlist, auquel cas, c'est une question de minutes avant de le trouver.
Ah, ça devient intéressant ! D'abords le premier mot de passe est robuste en terme d'entropie, puis finalement pas tant que ça face à une attaque de type dictionnaire, et le second c'est l'inverse ! Du coup, on fait comment ? Que faut-il choisir ? La réponse : un mot de passe aléatoire de 64 caractères, rien que ça !
Wait, 64 caractères à retenir pour un mot de passe, et il doit être unique ? Donc si j'ai deux comptes, je dois retenir 2 mots de passe de 64 caractères ? 3 comptes, 3 mots de passe ? O_O Impossible !
Vous avez raison, et il existe un outil très pratique pour gérer ça à votre place : Keepass !
Keepass
Keepass est une application open source disponible pour Windows (dispo sur d'autres plateforme comme Linux, Android, etc) qui permet de stocker des mots de passe localement.
Concrètement, c'est un fichier chiffré (extension .kdbx) qui est rien d'autre qu'une base de donnée qui contient des credentials (couple login / password), on peut aussi y stocker des documents confidentiels tels que des clés PGP, des certificats, etc.
Le principe est de mémoriser un mot de passe très robuste qui déverrouille la DB et vous permet d'accéder à tous vos comptes. Dans le monde de la sécu, c'est LA référence de stockage de mots de passe.
Je vous conseil sincèrement de faire le pas. Créer des mots de passe unique et complexes pour tout vos comptes, sans devoir les retenir, c'est vraiment top !
Par contre, oubliez pas une chose : si vous perdez votre fichier, vous perdez vos mots de passe. Je vous conseil donc de faire des backups régulièrement.
Les multi facteurs d'authentification
Je finirai sur cette petite partie, qui, à elle seule pourrait faire l'objet d'un article complet, les MFA (multi factors of authentication).
Un facteur d'authentification est quelque chose qui peut être :
- Quelque chose que je suis (something I am) : mon empreinte digitale, mon iris, ma voix, mon visage, etc
- Quelque chose que j'ai (something I have) : un token, une smartcard, une clé privée type PGP, l'app authenticator de Steam, etc
- Quelque chose que je connais (something I know) : souvent un PIN ou un mot de passe
Le mot de passe rentre dans la case : something I know. Mais comme on en a parlé précédemment, parfois il n'est pas possible de gérer des mots de passe super complexe. Du coup, on "coupe" la complexité en plusieurs étapes : coupler plusieurs facteurs d'authentification pour diminuer (voir anéantir) les probabilités d'entrer dans le compte d'une personne.
Exemple concret qui devrait vous parler :
- Carte de banque + PIN : Something I have + something I know
- Mot de passe + authenticator de Steam : Something I know + something I have
- Empreinte digitale pour unlock un smartphone : Something I am
- Mot de passe Windows + reconnaissance faciale : Something I know + something I am
Vous avez compris le principe, activer un second facteur d'authentification est quelque chose qui rend votre compte / device super robuste à différents type d'attaques. Quand un site vous propose donc d'activer le second facteur d'authentification, faites-le !
Conclusion
Nous arrivons à la fin de cet article qui, je l'espère, vous aura été très instructif. Comme vous pouvez le constater, la théorie des mots de passe est quelque chose de très vaste. Malgré tout cela, nous n'avons fait qu'effleurer la surface. J'aurais bien voulu vous parler des hash (c'est quoi, comment les gérer, comment les casser, les colisions, le salting), des règles adaptatives de complexité, et plein d'autres choses, mais je pense qu'on a déjà fait un beau tour aujourd'hui.
Si vous êtes intéressés par le sujet et que vous souhaitez aller plus en profondeur, dites-le moi et je réfléchirai à une seconde partie :)
Merci de m'avoir lu et comme d'hab, je suis ouvert à toutes vos questions et remarques constructives !
A+
Dysnome
Dernière édition par Dysnome le 15 novembre 2020 à 13:00; édité 1 fois
Aujourd'hui on parle de sécurité des mots de passe: comment bien les créer, les stocker et les utiliser.
Depuis de très nombreuses années beaucoup de site web, serveurs d'entreprise et comptes de réseau sociaux se sont fait compromette en grande partie à cause d'une faiblesse liée aux mots de passe utilisés. Je propose donc de décortiquer tout cela aujourd'hui pour que demain, ce ne soit pas vous la victime.
On pose les valises, un peu de définition
Tout d'abord, un mot de passe c'est quoi et à quoi ça sert ? Cette question semble anodine car vous utilisez toutes et tous des mots de passe au quotidien. Avant de rentrer dans les détails, voici quelques points clés :
- Un mot de passe est un ensemble de caractères qui est utilisé comme moyen d'authentification (prouver qui je suis) afin d'accéder à un lieu protégé tel que votre compte Cowcotland, vos mails, mais aussi accéder à votre smartphone, le PIN de votre carte de banque, etc.
- Comme il s'agit de prouver que c'est bien moi, mon mot de passe doit être secret et vous imaginez bien qu'un mot de passe, tout comme une brosse à dent, ne se partage pas.
- Un mot de passe doit être suffisamment fort pour qu'une personne malveillante ne puisse pas le deviner et usurper l'identité du compte.
- Idéalement, un mot de passe doit être unique. Si un compte est compromis et qu'une personne malveillante connait votre mot de passe, vos autres comptes seront également compromis.
Dans cette définition, il faut retenir plusieurs choses : un mot de passe est composé de caractères (quel type de caractères ? On va voir ça juste après), il doit être fort (comme Popeye ! Ahah hum...) et finalement, il doit être unique (ça, c'est très important).
Un bon mot de passe, c'est quoi ? Comment je le crée ?
Quand on parle de mot de passe, je ne peux m'empêcher de faire référence à cette BD de xkcd : https://xkcd.com/936/. Elle explique parfaitement et très simplement la théorie des mots de passe. Pour faire simple, pendant de nombreuses années les gens étaient forcés à créer et retenir des mots de passe complexe pour l'être humain mais très facile à deviner pour un ordinateur. Depuis quelque temps, les choses changent et de plus en plus de mot de passe se sont transformés en passphrase (une phrase qui fait office de mot de passe), quelque chose qui est facile à retenir pour l'être humain, mais difficile à deviner pour un ordinateur.
La composition d'un mot de passe
Pour comprendre comment créer un bon mot de passe, il faut d'abord comprendre comment il est composé.
La composition est faite de la manière suivante:
- Caractères alphabétique en minuscule : [a-z]
- Caractères alphabétique en majuscule : [A-Z]
- Chiffres : [0-9]
- Caractères spéciaux : (&, é, ", ', §, è, !, ç, à, -, $, *, €, ^, ¨, =, +, etc)
En fonction du site que vous visitez, il vous sera demandé de définir un mot de passe comprenant une ou plusieurs caractéristiques de la liste précédente ainsi qu'un nombre de caractères minimum, souvent 8. Pourquoi 8 et pas 2, 6, ou 25 caractères minimum ? C'est une question d'entropie.
Au plus on ajoute de la complexité, au plus le mot de passe sera solide.
Vous êtes toujours là ? Parfais, on continue ^^
L'entropie
On parlait justement d'entropie. Mais au fait, c'est quoi l'entropie d'un mot de passe ? Allé, je fais le flemmard et cite Wikipedia :
"En informatique, la robustesse d'un mot de passe est exprimée en termes d'entropie de Shannon, mesurée en bits. Il s'agit d'un concept de la théorie de l'information. Au lieu de mesurer la robustesse par le nombre de combinaisons de caractères qu'il faut tester pour trouver le mot de passe avec certitude, on utilise le logarithme en base 2 de ce nombre. Cette mesure est appelée l'entropie du mot de passe. Un mot de passe avec une entropie de 42 bits calculée de la sorte serait aussi robuste qu'une chaîne de 42 bits choisie au hasard."
Pour faire simple, voici une passphrase et un mot de passe :
- bonjourtoutlemonde
- b;rEJV"Z
La passphrase est composée de 18 caractères alphabétique en minuscule
Le mot de passe est composé de 8 caractères multiples
A votre avis, lequel des deux est le plus robuste ? [spoiler]Le premier ![/spoiler]. En effet, la passphrase a une entropie de 84 bits de sécurité tandis que le mot de passe, malgré sa complexité supérieure, dispose d'une entropie de 52 bits de sécurité.
La formule pour calculer:
- Passphrase : 18*(log26/log2) -> 26 = 26 caractères de l'alphabet
- Mot de passe : 8*(log95/log2) -> 95 = Tout les caractères ASCII non étendu
Comme le disait la définition, au plus le nombre de bits de sécurité est élevé, au plus votre mot de passe sera robuste ! Pour la petite histoire, actuellement on considère un mot de passe robuste à partir de 60 bits de sécurité. Au plus les puissances des GPU augmente, au plus le nombre de bits de sécurité devra être élevé pour contrer cette puissance de calcul.
Wait... Est-ce que tout se base uniquement sur l'entropie ? Eh bien... Pas toujours !
Les attaques par dictionnaire
Quand on a parlé d'entropie, on faisait référence à la robustesse d'un mot de passe face à une attaque de type bruteforce. Dans les faits, c'est rarement utilisé. Ce qui fonctionne par contre beaucoup mieux, ce sont les attaques par dictionnaire. Vous allez vite comprendre toute la nuance entre un bon mot de passe, et une bonne passphrase
Une attaque par dictionnaire consiste à produire une liste de mot de passe qu'une victime pourrait potentiellement utiliser (des mots du dictionnaire ou des mots de passe déjà vu sur internet), et les tester un à un. Il s'agit bien souvent d'un type d'attaque plus rapide, et est donc souvent privilégié par les attaquants car il existe des listes toutes faites de plusieurs millions de mot de passe. On se souvient tous des mots de passe à éviter type 0123456, Password!, iloveyou, bonjour! etc, c'est à cause de ces wordlist qu'il faut les bannir de toute utilisation.
Sans faire de savants calculs, vous comprendrez donc aisément que face à une attaque de dictionnaire, bonjourtoutlemonde ne va pas résister longtemps (le temps de trouver le tuple "bonjour", "tout", "lemonde").
Je fais quoi alors ?
Vous l'aurez compris, trouve un bon mot de passe n'est finalement pas si simple que ça. Heureusement, il existe des techniques faciles à appliquer et qui vont révolutionner votre vie !
Commençons par un tips : Tester si mon mot de passe est connu sur internet. Il existe un site très intéressant qui se nomme "Have I been pwned" (https://haveibeenpwned.com/Passwords). Entrez votre mot de passe dans le form et vous verrez si il a déjà été leaké par le passé. Bien entendu, il existe un débat dans la communauté de sécurité sur le risque encouru de poster votre mot de passe sur ce site. On peut en parler dans les commentaires, vous verrez, il y a de bons arguments pour et contre.
Prenons donc l'exemple de nos deux mots de passe précédents: bonjourtoutlemonde et b;rEJV"Z. Le premier a été vu 2 fois par le passé, le second, zéro ! Ça signifie que le premier mot de passe se trouve probablement déjà dans une wordlist, auquel cas, c'est une question de minutes avant de le trouver.
Ah, ça devient intéressant ! D'abords le premier mot de passe est robuste en terme d'entropie, puis finalement pas tant que ça face à une attaque de type dictionnaire, et le second c'est l'inverse ! Du coup, on fait comment ? Que faut-il choisir ? La réponse : un mot de passe aléatoire de 64 caractères, rien que ça !
Wait, 64 caractères à retenir pour un mot de passe, et il doit être unique ? Donc si j'ai deux comptes, je dois retenir 2 mots de passe de 64 caractères ? 3 comptes, 3 mots de passe ? O_O Impossible !
Vous avez raison, et il existe un outil très pratique pour gérer ça à votre place : Keepass !
Keepass
Keepass est une application open source disponible pour Windows (dispo sur d'autres plateforme comme Linux, Android, etc) qui permet de stocker des mots de passe localement.
Concrètement, c'est un fichier chiffré (extension .kdbx) qui est rien d'autre qu'une base de donnée qui contient des credentials (couple login / password), on peut aussi y stocker des documents confidentiels tels que des clés PGP, des certificats, etc.
Le principe est de mémoriser un mot de passe très robuste qui déverrouille la DB et vous permet d'accéder à tous vos comptes. Dans le monde de la sécu, c'est LA référence de stockage de mots de passe.
Je vous conseil sincèrement de faire le pas. Créer des mots de passe unique et complexes pour tout vos comptes, sans devoir les retenir, c'est vraiment top !
Par contre, oubliez pas une chose : si vous perdez votre fichier, vous perdez vos mots de passe. Je vous conseil donc de faire des backups régulièrement.
Les multi facteurs d'authentification
Je finirai sur cette petite partie, qui, à elle seule pourrait faire l'objet d'un article complet, les MFA (multi factors of authentication).
Un facteur d'authentification est quelque chose qui peut être :
- Quelque chose que je suis (something I am) : mon empreinte digitale, mon iris, ma voix, mon visage, etc
- Quelque chose que j'ai (something I have) : un token, une smartcard, une clé privée type PGP, l'app authenticator de Steam, etc
- Quelque chose que je connais (something I know) : souvent un PIN ou un mot de passe
Le mot de passe rentre dans la case : something I know. Mais comme on en a parlé précédemment, parfois il n'est pas possible de gérer des mots de passe super complexe. Du coup, on "coupe" la complexité en plusieurs étapes : coupler plusieurs facteurs d'authentification pour diminuer (voir anéantir) les probabilités d'entrer dans le compte d'une personne.
Exemple concret qui devrait vous parler :
- Carte de banque + PIN : Something I have + something I know
- Mot de passe + authenticator de Steam : Something I know + something I have
- Empreinte digitale pour unlock un smartphone : Something I am
- Mot de passe Windows + reconnaissance faciale : Something I know + something I am
Vous avez compris le principe, activer un second facteur d'authentification est quelque chose qui rend votre compte / device super robuste à différents type d'attaques. Quand un site vous propose donc d'activer le second facteur d'authentification, faites-le !
Conclusion
Nous arrivons à la fin de cet article qui, je l'espère, vous aura été très instructif. Comme vous pouvez le constater, la théorie des mots de passe est quelque chose de très vaste. Malgré tout cela, nous n'avons fait qu'effleurer la surface. J'aurais bien voulu vous parler des hash (c'est quoi, comment les gérer, comment les casser, les colisions, le salting), des règles adaptatives de complexité, et plein d'autres choses, mais je pense qu'on a déjà fait un beau tour aujourd'hui.
Si vous êtes intéressés par le sujet et que vous souhaitez aller plus en profondeur, dites-le moi et je réfléchirai à une seconde partie :)
Merci de m'avoir lu et comme d'hab, je suis ouvert à toutes vos questions et remarques constructives !
A+
Dysnome
Dernière édition par Dysnome le 15 novembre 2020 à 13:00; édité 1 fois
FouloudGlioziol @
Producteur laitier
11596pts
Inscrit le: 19 mai 2017
Messages: 6528
Localisation: En théorie, car tout s'y passe bien
Navigateur : n.c.
Hors ligne
Producteur laitier
11596pts
Inscrit le: 19 mai 2017
Messages: 6528
Localisation: En théorie, car tout s'y passe bien
Navigateur : n.c.
Hors ligne
Posté le: 15 novembre 2020 à 12:37
Donc si je choisis
LapuréedebrocolisdeDunkerqueestunehérésieculinaire je suis bien ?
Ou bien rajouter une ou deux fautes d'orthographe permet encore de limiter les risques d'attaque au dictionnaire ?
Encore merci pour toutes ces précisions
le ridicule ne tue pas, ce qui ne te tue pas te rend plus fort, donc : le ridicule te rend plus fort
LapuréedebrocolisdeDunkerqueestunehérésieculinaire je suis bien ?
Ou bien rajouter une ou deux fautes d'orthographe permet encore de limiter les risques d'attaque au dictionnaire ?
Encore merci pour toutes ces précisions
le ridicule ne tue pas, ce qui ne te tue pas te rend plus fort, donc : le ridicule te rend plus fort
jode @
Métayer
4793pts
Inscrit le: 11 décembre 2009
Age: 29
Messages: 2905
Localisation: Belgique, Charleroi
Navigateur : n.c.
Hors ligne
Métayer
4793pts
Inscrit le: 11 décembre 2009
Age: 29
Messages: 2905
Localisation: Belgique, Charleroi
Navigateur : n.c.
Hors ligne
Posté le: 15 novembre 2020 à 13:12
Je rajouterai qu'il existe egalement des choses comme Pleasant Keepass Server (community et payant) Pour self-Hosted vos DB keepass chez vous et d'y accéder directement de partout, soit via le client keepas modifié de Pleasant sur gsm et ordinateur, soit via la web Interface.
Mais pleasant doit etre installé sur Windows.
Il en existe d'autres OpenSource sur Linux donc aller vous renseignez :) (A titre dínfo, je suis parano au point de bloquer les connexions sortantes de mes serveurs de mot de passe sur le firewall) Rien ne sort.
Mais pleasant doit etre installé sur Windows.
Il en existe d'autres OpenSource sur Linux donc aller vous renseignez :) (A titre dínfo, je suis parano au point de bloquer les connexions sortantes de mes serveurs de mot de passe sur le firewall) Rien ne sort.
Knapneder @
Meuhdérateur
6283pts
Inscrit le: 17 janvier 2019
Age: 32
Messages: 3798
Localisation: Bruxelles
Navigateur : n.c.
Hors ligne
Meuhdérateur
6283pts
Inscrit le: 17 janvier 2019
Age: 32
Messages: 3798
Localisation: Bruxelles
Navigateur : n.c.
Hors ligne
Posté le: 15 novembre 2020 à 14:08
Petite question : j'ai fait un peu de sécu, exploit, pentest et tout durant mes années de lycée (qui m'ont valu un conseil de discipline d'ailleurs ), et j'ai eu évidemment à travailler avec des dictionnaires et des tables rainbow. Du bruteforce aussi, j'ai le souvenir d'ailleurs que les hash md5 étaient particulièrement faciles à craquer, et les NTLM impossibles avec mon matos de l'époque.
Dans mon souvenir, les attaques par dictionnaire fonctionnaient bien, à partir du moment où la combinaison entière y figurait. Le système ne faisait pas de combinatoire des mots de la liste.
Exemple, il y a dans le dictionnaire les mots "I", "LOVE" et "YOU", mais s'il n'y avait pas "ILOVEYOU" il n'était pas possible de trouver le mot de passe "ILOVEYOU"...
J'imagine que ça a changé depuis le temps (c'était il y a 15 ans), c'est peut-être dépendant du programme qui utilise le dictionnaire et le mien ne le faisait pas ?
Un souci avec la modération? -> https://www.cowcotland.com/topic36431.html#649011
), et j'ai eu évidemment à travailler avec des dictionnaires et des tables rainbow. Du bruteforce aussi, j'ai le souvenir d'ailleurs que les hash md5 étaient particulièrement faciles à craquer, et les NTLM impossibles avec mon matos de l'époque.
Dans mon souvenir, les attaques par dictionnaire fonctionnaient bien, à partir du moment où la combinaison entière y figurait. Le système ne faisait pas de combinatoire des mots de la liste.
Exemple, il y a dans le dictionnaire les mots "I", "LOVE" et "YOU", mais s'il n'y avait pas "ILOVEYOU" il n'était pas possible de trouver le mot de passe "ILOVEYOU"...
J'imagine que ça a changé depuis le temps (c'était il y a 15 ans), c'est peut-être dépendant du programme qui utilise le dictionnaire et le mien ne le faisait pas ?
Un souci avec la modération? -> https://www.cowcotland.com/topic36431.html#649011
FouloudGlioziol @
Producteur laitier
11596pts
Inscrit le: 19 mai 2017
Messages: 6528
Localisation: En théorie, car tout s'y passe bien
Navigateur : n.c.
Hors ligne
Producteur laitier
11596pts
Inscrit le: 19 mai 2017
Messages: 6528
Localisation: En théorie, car tout s'y passe bien
Navigateur : n.c.
Hors ligne
Posté le: 15 novembre 2020 à 14:14
Tain tu étais un pirate belge en herbe !
Imbarbe noire une fois, voilà un bon mot de passe
le ridicule ne tue pas, ce qui ne te tue pas te rend plus fort, donc : le ridicule te rend plus fort
Imbarbe noire une fois, voilà un bon mot de passe
le ridicule ne tue pas, ce qui ne te tue pas te rend plus fort, donc : le ridicule te rend plus fort
0 pour,0
Dysnome @
Métayer
2901pts
Inscrit le: 29 août 2014
Messages: 624
Localisation: Luxembourg
Navigateur : n.c.
Hors ligne
Métayer
2901pts
Inscrit le: 29 août 2014
Messages: 624
Localisation: Luxembourg
Navigateur : n.c.
Hors ligne
Posté le: 15 novembre 2020 à 14:52
| Knapneder a écrit: |
| Petite question : j'ai fait un peu de sécu, exploit, pentest et tout durant mes années de lycée (qui m'ont valu un conseil de discipline d'ailleurs ), et j'ai eu évidemment à travailler avec des dictionnaires et des tables rainbow. Du bruteforce aussi, j'ai le souvenir d'ailleurs que les hash md5 étaient particulièrement faciles à craquer, et les NTLM impossibles avec mon matos de l'époque.
Dans mon souvenir, les attaques par dictionnaire fonctionnaient bien, à partir du moment où la combinaison entière y figurait. Le système ne faisait pas de combinatoire des mots de la liste. Exemple, il y a dans le dictionnaire les mots "I", "LOVE" et "YOU", mais s'il n'y avait pas "ILOVEYOU" il n'était pas possible de trouver le mot de passe "ILOVEYOU"... J'imagine que ça a changé depuis le temps (c'était il y a 15 ans), c'est peut-être dépendant du programme qui utilise le dictionnaire et le mien ne le faisait pas ? |
Les rainbow table sont plus vraiment utilisées de nos jours. La recherche a avancée depuis et il existe des solution plus simple. On se focalise plus sur le hash NTLM (attaques type pass-the-hash). Dans un domaine Windows on se focalise sur le KRBTGT, un golden ticket qui permet de générer des tickets Kerberos valident et donc bypasser l'authentification.
Récemment il y a aussi eu la faille Zerologon qui permet dans la même idée de skipper l'authentification.
Concernant les hash, MD5 est cassé et ne doit plus être utilisé pour hasher des mots de passe et SHA1 est considéré comme weak même s'il n'existe pas de ressources hardware apte à casser un hash SHA1 dans un délai raisonnable. Dans les deux cas il existe des colisions et c'est donc pour ça qu'il ne faut plus les utiliser. On essaie de pousser les gens de plus en plus vers SHA3.
jujunet @
Agriculteur
2154pts
Inscrit le: 20 juin 2019
Age: 43
Messages: 1183
Localisation: Indre-et-Loire
Navigateur : n.c.
Hors ligne
Agriculteur
2154pts
Inscrit le: 20 juin 2019
Age: 43
Messages: 1183
Localisation: Indre-et-Loire
Navigateur : n.c.
Hors ligne
Posté le: 15 novembre 2020 à 15:04
Article intéressant ! 
C'est vrai que c'est le bazar les mots de passes. Au début d'internet ça allait, mais maintenant...
J'ai installé il y a pas longtemps Bitwarden pour me mettre au gestionnaire mais, c'est un peu pénible de rentrer 15000 mdp là dedans.
Du coup je reste avec mon fichier excel protégé dans une archive rar avec un mot de passe à rallonge. Tu m'a fait marrer Blancheneige, j'ai justement exactement le même type de mot de passe pour cette archive. Un mot, une insulte, et un chiffre facile à retenir (ou à retrouver sur le net). Niveau bruteforce c'est pas mal et bibliothèque aussi. Mais avant ça faut arriver à hacker mon PC, trouver et piquer l'archive...
Je rêve d'une connection sécurisée entre les sites web et un lecteur d'empreintes...
C'est vrai que c'est le bazar les mots de passes. Au début d'internet ça allait, mais maintenant...
J'ai installé il y a pas longtemps Bitwarden pour me mettre au gestionnaire mais, c'est un peu pénible de rentrer 15000 mdp là dedans.
Du coup je reste avec mon fichier excel protégé dans une archive rar avec un mot de passe à rallonge. Tu m'a fait marrer Blancheneige, j'ai justement exactement le même type de mot de passe pour cette archive. Un mot, une insulte, et un chiffre facile à retenir (ou à retrouver sur le net). Niveau bruteforce c'est pas mal et bibliothèque aussi. Mais avant ça faut arriver à hacker mon PC, trouver et piquer l'archive...
Je rêve d'une connection sécurisée entre les sites web et un lecteur d'empreintes...
0 pour,0
Dysnome @
Métayer
2901pts
Inscrit le: 29 août 2014
Messages: 624
Localisation: Luxembourg
Navigateur : n.c.
Hors ligne
Métayer
2901pts
Inscrit le: 29 août 2014
Messages: 624
Localisation: Luxembourg
Navigateur : n.c.
Hors ligne
Posté le: 15 novembre 2020 à 15:10
| jujunet a écrit: |
| Article intéressant !
C'est vrai que c'est le bazar les mots de passes. Au début d'internet ça allait, mais maintenant... J'ai installé il y a pas longtemps Bitwarden pour me mettre au gestionnaire mais, c'est un peu pénible de rentrer 15000 mdp là dedans. Du coup je reste avec mon fichier excel protégé dans une archive rar avec un mot de passe à rallonge. Tu m'a fait marrer Blancheneige, j'ai justement exactement le même type de mot de passe pour cette archive. Un mot, une insulte, et un chiffre facile à retenir (ou à retrouver sur le net). Niveau bruteforce c'est pas mal et bibliothèque aussi. Mais avant ça faut arriver à hacker mon PC, trouver et piquer l'archive... Je rêve d'une connection sécurisée entre les sites web et un lecteur d'empreintes... |
La première fois c'est toujours chiant, mais ça permet aussi d'avoir une meilleure visibilité.
Le fichier Excel et rar c'est pas dingue. Pour accéder à ton fichier tu dois unrar le document, il se retrouvera donc en clair sur ton disque. Pour la partie protégée du fichier Excel, de mémoire il est possible de contourner cette protection, mais faudrait que je retrouve ça. Dans tout les cas c'est pas une bonne solution pour stocker des données aussi sensible.
Hacker ton PC, ce serait probablement via un phishing et un dropper que tu ouvrirais. Dans les faits, si tu es un particulier c'est peu probable que tu sois une cible intéressante.
0 pour,0
jujunet @
Agriculteur
2154pts
Inscrit le: 20 juin 2019
Age: 43
Messages: 1183
Localisation: Indre-et-Loire
Navigateur : n.c.
Hors ligne
Agriculteur
2154pts
Inscrit le: 20 juin 2019
Age: 43
Messages: 1183
Localisation: Indre-et-Loire
Navigateur : n.c.
Hors ligne
Posté le: 15 novembre 2020 à 15:19
Ah oui exact, j'avais pas pensé à ça, il reste une trace dans le dossier temp.
Sinon je me suis mal exprimé, le fichier excel est pas protégé, c'est l'archive, il faut le mot de passe pour l'ouvrir.
Après comme tu dis faut en vouloir.
Le coup des authentification par empreinte via le navigateur ça arrivera bien un jour ?
Sinon je me suis mal exprimé, le fichier excel est pas protégé, c'est l'archive, il faut le mot de passe pour l'ouvrir.
Après comme tu dis faut en vouloir.
Le coup des authentification par empreinte via le navigateur ça arrivera bien un jour ?
0 pour,0
Posté le: 15 novembre 2020 à 16:06
J'ai toujours eu la flemme de passer par Keepass.
Je suis resté sur des mots de passes dont je peux me rappeler et des combinaisons linéaires pour avoir des choses à priori unique pour les différents endroits où j'ai besoin d'un mot de passe.
Si je devais changer, j'aurai tendance à utiliser Firefox lockwise. J'ai l'impression que c'est la même chose que Keepass, mais sans avoir besoin de télécharger un software à côté.
Pour les sites web, pas besoin de copier/coller le mot de passe depuis Keepass (c'est un peu mon côté parano, si je peux faire transiter un mot de passe par le moins d'endroit possible, je préfère).
Pour les applications en dehors du navigateur, en général il a fallu créer un compte depuis internet, et donc le mot de passe se trouve dans Firefox, donc possibilité d'aller le copier/coller.
Et évidemment, la double authentification dès que possible. Là-dessus je suis juste dégouté de voir des gens avec Authenticator sur leur PC, juste à côté de leur password manager. J'ai l'impression que la double authentification perds de l'intérêt vu que tout est sur le même device.
Je suis resté sur des mots de passes dont je peux me rappeler et des combinaisons linéaires pour avoir des choses à priori unique pour les différents endroits où j'ai besoin d'un mot de passe.
Si je devais changer, j'aurai tendance à utiliser Firefox lockwise. J'ai l'impression que c'est la même chose que Keepass, mais sans avoir besoin de télécharger un software à côté.
Pour les sites web, pas besoin de copier/coller le mot de passe depuis Keepass (c'est un peu mon côté parano, si je peux faire transiter un mot de passe par le moins d'endroit possible, je préfère).
Pour les applications en dehors du navigateur, en général il a fallu créer un compte depuis internet, et donc le mot de passe se trouve dans Firefox, donc possibilité d'aller le copier/coller.
Et évidemment, la double authentification dès que possible. Là-dessus je suis juste dégouté de voir des gens avec Authenticator sur leur PC, juste à côté de leur password manager. J'ai l'impression que la double authentification perds de l'intérêt vu que tout est sur le même device.
Dysnome @
Métayer
2901pts
Inscrit le: 29 août 2014
Messages: 624
Localisation: Luxembourg
Navigateur : n.c.
Hors ligne
Métayer
2901pts
Inscrit le: 29 août 2014
Messages: 624
Localisation: Luxembourg
Navigateur : n.c.
Hors ligne
Posté le: 15 novembre 2020 à 16:45
| Amendil a écrit: |
| J'ai toujours eu la flemme de passer par Keepass.
Je suis resté sur des mots de passes dont je peux me rappeler et des combinaisons linéaires pour avoir des choses à priori unique pour les différents endroits où j'ai besoin d'un mot de passe. Si je devais changer, j'aurai tendance à utiliser Firefox lockwise. J'ai l'impression que c'est la même chose que Keepass, mais sans avoir besoin de télécharger un software à côté. Pour les sites web, pas besoin de copier/coller le mot de passe depuis Keepass (c'est un peu mon côté parano, si je peux faire transiter un mot de passe par le moins d'endroit possible, je préfère). Pour les applications en dehors du navigateur, en général il a fallu créer un compte depuis internet, et donc le mot de passe se trouve dans Firefox, donc possibilité d'aller le copier/coller. Et évidemment, la double authentification dès que possible. Là-dessus je suis juste dégouté de voir des gens avec Authenticator sur leur PC, juste à côté de leur password manager. J'ai l'impression que la double authentification perds de l'intérêt vu que tout est sur le même device. |
Regarde la doc de Keepass. Quand tu copies un mot de passe, il reste dans le presse papier qu'un certain temps (15-20 secondes). Il est aussi possible de ne pas copier/coller le mot de passe mais d'utiliser ctrl+v, et keepass va écrire le login et le password dans le formulaire, comme si tu l'écrivais à la main. Firefox lockwise je connais pas, mais sauvegarder ses mots de passe dans un browser n'est pas une bonne idée (on peut très facilement les récupérer via un dump mémoire par exemple).
0 pour,0
Dysnome @
Métayer
2901pts
Inscrit le: 29 août 2014
Messages: 624
Localisation: Luxembourg
Navigateur : n.c.
Hors ligne
Métayer
2901pts
Inscrit le: 29 août 2014
Messages: 624
Localisation: Luxembourg
Navigateur : n.c.
Hors ligne
Posté le: 15 novembre 2020 à 16:50
| jujunet a écrit: |
| Le coup des authentification par empreinte via le navigateur ça arrivera bien un jour ? |
À mon humble avis on arrivera bientôt dans une ère où le mot de passe en soit sera désuet. Il existe actuellement des parades pour éviter de créer des comptes un peu partout, il s'agit des services de federation (un gestionnaire d'identité). Quand tu te log sur un site avec ton compte facebook, google ou autre, c'est ça.
Après, ce genre de techno pose des soucis de privacy, zero trust & co. Ça reste encore assez complexe à maîtriser parfaitement pour arriver à un niveau de service idéal.
En Belgique, on s'authentifie sur le site fédéral avec sa carte d'identité (ou alors une app mobile). Tu pourrais très bien le remplacer par une empreinte digitale, mais ça signifie que le gouvernement aurait tes empreintes, pas dingue en terme de privacy.
Dans mon cas je m'authentifie avec 3 facteurs:
- l'app qui connait mes infos
- mon fingerprint pour déverrouiller l'app
- un PIN pour valider la requête
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum
Sujets similaires |
|||||
| Sujet | Auteur | Forum | Réponses | Posté le | |
|---|---|---|---|---|---|
 |
APNX AP1-V, un bien joli ventirad qui fait plus que le tr... | Vanseb | AirCooling | 0 | 27 mars 2024 à 14:07 |
|
Bien le bonjoir | NTwz | Présentation | 0 | 24 janvier 2024 à 09:26 |
 |
J'ai raté un épisode. | sphynxounet | Le poulailler | 66 | 21 janvier 2024 à 20:22 |
|
Ca va marcher moins bien | Pouetster | Blagues | 0 | 15 janvier 2024 à 15:46 |
- 14:36 Des faux SSD Samsung 1080 Pro à 15.8 Go/sec en circulaltion sur le net
- 14:26 ZALMAN ALPHA2 A36, un watercooling AIO pas cher et complet !
- 12:17 Que donnerait le jeu Metal Gear 2: Solid Snake en 3D ?
- 12:15 De la simple GDDR6 18 Gbps pour les futures RX 8000 RDNA4 d'AMD ?
- 12:04 ASUS annonce l'arrivée du PG39WCDM, un écran OLED 1440p avec un panorama aussi large qu'un 32 pouces.
- 12:04 HP annonce un nouvel écran UHD avec Thunderbolt 4 et client KVM.
- 11:34 AOC accompagne les professionnels de la création avec la série Graphic Pro U3 : le nec plus ultra pour des couleurs éclatantes.
- 11:26 Quelques screenshots pour le retardataire The Wolf Among Us 2 !
- 10:53 Les ventes du printemps : Windows 10 à 13 euros, Windows 11 à 19 euros
- 10:50 Cyberpunk 2077 se sublime en 8K avec le mod Ultra+ Path Tracing
Flight Simulator 2020 (Performance in-game) [ Jeux pc ]
Mick996 il y a 6 heures.
Plantages aléatoires v2 [ CPU, Cartes mères, RAM ]
gautierS il y a 7 heures.
Test alimentation DAGGER PRO : du SFX ATX 3.0 au TOP [ Alimentations ]
mantidor il y a 9 heures.
[VDS] GIGABYTE GeForce RTX 2060 WINDFORCE OC 6G [ Ventes ]
CharlyLourson il y a 11 heures.
Perte débit watercooling [ Watercooling ]
azureus il y a 21 heures.
Vos jeux du moment [ GameLand ]
Sapinsympa il y a 22 heures.- NEED: le topic des acheteurs compulsifs 2024 [ Le poulailler ]
Sapinsympa il y a 23 heures. 
Insatisfaction du jour 2024 [ Le poulailler ]
cordobaseb il y a 24 heures.
Core i5-13400F VS Core i5-13500, lequel est le meilleur e... [ CPU, Cartes mères, RAM ]
SebastienD il y a 2 jours.
Choix de ma carte mère [ Composants ]
Bedouille69 il y a 2 jours.- Tous les forums