Forum Linux.général Quelle doit être la robustesse des mots de passe utilisateurs (root compris) ?

Posté par  (site Web personnel) . Licence CC By‑SA.
1
8
août
2020

Je me pose cette question : sur un poste personnel, derrière une box quelconque, les utilisateurs doivent-ils avoir des mots de passe forts, et donc difficiles à retenir/frapper ? Pareil pour root, qui d'ailleurs peut être désactivé (le mdp pas le compte) sur certaines distros (ici Fedora) en choisissant un utilisateur qui aura les droits sudo ALL ALL (mal formulé mais vous comprendrez).

Question subsidiaire : y-a-t il moyen de voir quelle sont les attaques sur ces comptes ?

  • # ca depend

    Posté par  . Évalué à 4.

    sur mon perso derrière une box mots de passe simple mot+4 chiffres, aucun service ouvert sur internet. Sur mon nextcloudPI 26 caractère aleatoire pour chaque compte nextcloud, et 80 pour le compte admin qui as le sudo, sait on jamais il y a tellement de russe, americain, chinois extremement doué qui s'ennuie sur internet …

    RPI avec un fail2block et un iptable très restrictif, avec un ssh sur un port farfelu.

  • # les logs

    Posté par  . Évalué à 5.

    Question subsidiaire : y-a-t il moyen de voir quelle sont les attaques sur ces comptes ?

    oui dans les logs tu vois les tentatives
    - erreur de login SSH
    - erreur de login SMTP si ton serveur peut envoyer des emails
    - etc

    vive les logs

  • # erreur

    Posté par  . Évalué à 3.

    Je me pose cette question : sur un poste personnel, derrière une box quelconque, les utilisateurs doivent-ils avoir des mots de passe forts, et donc difficiles à retenir/frapper ?

    la partie en gras est fausse; ce n'est pas parce qu'un mot de passe est fort qu'il est difficile à retenir; il appartient à tout un chacun de déterminer comment générer un mot de passe fort ; prends une phrase à la con que tu vas retenir, change quelques caractères par leur équivalent l33t ou phonétique, et paf tu as un mot de passe fort et facile à retenir.

    Par exemple "mon papa est le plus fort du monde"
    va donner
    Mon papa & l3 plu5 fort du mondE!

    À noter que le t peut devenir 7, et o 0, faut rester constant.

    Bien évidemment il faut juste trouver une phrase à retenir, comme "linux est le meilleur des OS, à l'exception de BeOS", Tu peux avoir ta propre façon de transformer la phrase, tout ce qu'il faut c'est ne pas chercher trop compliqué car sinon tu va oublier la procédure, ou une phrase trop longue car tu feras des fautes de frappes;

    Toujours dans le même ordre d'idée tu peux vouloir utiliser les escape html ou web si tu les connais par coeur. L'important est que cela ait une signification pour celui qui génère le mot de passe, et éviter les phrases trop connue comme 3ring4theElvenKingUnderTheSky

    ensuite un fail2ban installé sur une machine va bannir les IPs qui ratent plusieurs fois de taper le mot de passe.

    Et généralement on interdit à root de se connecter directement en distant.

    Il ne faut pas décorner les boeufs avant d'avoir semé le vent

    • [^] # Re: erreur

      Posté par  (site Web personnel) . Évalué à 2.

      la partie en gras est fausse; ce n'est pas parce qu'un mot de passe est fort qu'il est difficile à retenir; il appartient à tout un chacun de déterminer comment générer un mot de passe fort ; prends une phrase à la con que tu vas retenir, change quelques caractères par leur équivalent l33t ou phonétique, et paf tu as un mot de passe fort et facile à retenir.

      Bien sûr qu'il faut être capable de retenir son mot de passe, même long et compliqué (tout est relatif). Le mien me semble assez complexe, j'ai une phrase de passe pour déchiffrer mes partitions, mais je me vois mal demander la même chose à ma mère par ex. Il faut donc que ça reste facile à frapper, c.à.d. pas trop chiant.

      La question était plutôt : ça craint d'avoir un mot de passe faible sur un poste perso, qui ne sert pas de serveur, qui est derrière une box ?

      Merci de ton retour.

      « Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes. »

      • [^] # Re: erreur

        Posté par  . Évalué à 3. Dernière modification le 10/08/20 à 13:33.

        A moins de configurer ta box en firewall, c'est un risque non négligeable; avec la saturation d'ipv4 on passe progressivement à ipv6; et là les machines peuvent être accédé directement, leur adresses sont routables et atteignable par des inconnus.

        Par exemple; chez free c'est déjà le cas si on active pas le firewall ipv6 (désactivé par défaut)

        ça craint d'avoir un mot de passe faible sur un poste perso, qui ne sert pas de serveur, qui est derrière une box ?

        Pas de serveur ssh ? pas de partage de fichier windows? pas de seveurs ftp, rlogin, mail, remote desktop, puppet, chef? même un petit pour dépanner sans bouger son cul? Le fait de ne pas servir de serveur, ne veut pas dire qu'il n'y en a pas qui tourne :/

        Dans le cas où tu es absolument certain qu'aucun serveur n'écoute, tu peux considérer qu'un mot de passe faible n'est pas trop gênant; mais c'est une mauvaise pratique, et une très mauvaise habitude; par ailleurs il faut dans ce cas s'assurer que l'UAC est configuré pour réclamer le mot de passe administrateur pour toutes les opérations délicates.

        Il faut donc que ça reste facile à frapper, c.à.d. pas trop chiant.

        Dessine un mouton avec les touches c'est ludique ;) Bon c'est vrai qu'un poisson c'est plus simple :

        wqa&zdvbnji_è-('es

        Blague à part, reprendre l'idée du dessin comme sur les téléphones mais en utilisant les touches (pas le pavé numérique) peut être une approche intéressante.

        Ensuite le firewall ne te protège que des accès directe distants; si ta machine sert de relai (par exemple via du javascript, tu vas commencer à taper les machines du réseau local) https://stackoverflow.com/questions/38689707/connecting-to-remote-ssh-server-via-node-js-html5-console à vérifier si ça marche si le serveur n'est pas sur le réseau local, mais ça donne l'idée.

        Tu peux aussi gérer le verrouillage de session par usb, bluetooth, empreinte digitale, ou reconnaissance faciale (https://stackoverflow.com/questions/52353483/how-to-add-facial-recognition-based-login-in-ubuntu-linux)

        Moi j'ai des mots de passe faible pour certains forums ou sites dont je me fiche éperdument que quelqu'un essayer d'usurper ou piquer le login, de toutes façons le mail associé n'existe pas ou pointe sur yopmail, mais pour mon PC fixe j'ai un vrai mot de passe.

        Et si jamais c'est un compte windows 10 y a des chance que ce soit associé à un compte mail, avec le même mot de passe.

        Il ne faut pas décorner les boeufs avant d'avoir semé le vent

        • [^] # Re: erreur

          Posté par  (site Web personnel) . Évalué à 3.

          Merci, tu nourris ma réflexion.

          Pas de serveur ssh ? pas de partage de fichier windows? pas de seveurs ftp, rlogin, mail, remote desktop, puppet, chef? même un petit pour dépanner sans bouger son cul? Le fait de ne pas servir de serveur, ne veut pas dire qu'il n'y en a pas qui tourne :/

          Oui bon d'accord, il y a bien un sshd qui tourne ;) Mais c'est tout.

          En ce qui concerne IPv6 je suis chez SFR et ma box ne semble pas être compliant (une Neuf Box v6, j'ai insisté pour ne pas en changer vu que je n'ai pas de TV), et du coup pas d'IPv6 dans Network Manager. Mais je vais gratter un peu les logs, voir installer Fail2Ban.

          « Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes. »

  • # fail2ban

    Posté par  . Évalué à 4. Dernière modification le 11/08/20 à 09:02.

    Ce qui peut être utile, c'est de bloquer la source (IP souvent) de celui qui essaye plus de X mots de passes incorrects, grâce à fail2ban. Même si le mot de passe n'est pas très robuste, ça compliquera la tâche de l'attaquant.

    Il est possible de tester la robustesse du mot de passe avec des outils comme zxcvbn.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.