Je suis bien d'accord je n'aurais pas approuvé cette news si j'étais passé par là à ce moment là.
Tout est dans le titre n'est pas une news, c'est rien. Dans ce cas on poste l'url dans tribune libre et sans doute que quelqu'un trouvera le temps de poster une vraie news.
Ca donne juste une petite idée du nombre de personnes qui lisent les news de linuxfr.
Comme tous le monde click pour voir de quoi ca parle on arrive à 1000 hits.
(perso. j'avais dejà vu la news sur Zdnet)
Peut-être mais une liste de passwd avec 'hello', 'bill', 'whistler', ça doit pas être difficile à cracker. Et puis faut la gérer, cette liste, le pauvre programmeur de base doit utiliser un soft pour ça.
Peut-être qu'il pense aussi aux mots de passe du type SecureID : le mot de passe est composé d'une partie fixe (5 caractères par exemple) et d'une partie aléatoire donnée par une carte à pile. Ce système permet effectivement d'avoir un mot de passe différent toutes les 30 sec, et donc l'interception ou le brut force deviennent inutiles.
> Le mec doit retaper un nouveau mot de passe toutes les 30 secondes ?
Effectivement, tu n'as pas tout compris.
En lisant http://www.rsasecurity.com/products/securid/(...) tu verras l'explication suivante : "RSA SecurID two-factor Authentication is based on something you know (a password or PIN), and something you have (an authenticator) -- providing a much more reliable level of user authentication than reusable passwords.
En gros, le mot de passe que tu rentres de chez toi pour te connecter sur ton réseau d'entreprise est composé d'une partie que tu connais (un mot de passe fixe) et une partie que tu as (issue d'un calcul par une carte à pile). Le mot de passe de connexion est la concaténation des 2 précédents mots de passe. La partie que tu as changes toutes les 30 sec. ou toutes les minutes. Ce qui permet d'avoir un mot de passe qui n'est pas fixe. Donc si quelqu'un intercepte le mot de passe ou essaye de faire un "brute force cracking" dessus, c'est inutile et le pirate n'arrivera à rien. Mais une fois que tu es connecté, tu n'as pas à retaper ton mot de passe. Par contre, si tu te reconnectes plus tard, le mot de passe que tu entreras sera différent.
C'est utilisé dans l'entreprise dans laquelle je travaille et sans doute dans bien d'autres. Tu peux trouver légèrement contraignant de regarder la carte à chaque fois que tu te connectes, mais ca reste un bon équilibre sécurité/utilisabilité.
> Comment avoir ce genre de truc sur sa distro linux de base ?
Avant de répondre, je précise que c'est une solution professionnelle (ça sert a priori pas pour des particuliers).
La solution complète proposée par http://www.rsasecurity.com(...) est composée de la partie matérielle (la carte à pile) et logicielle ("RSA Server").
La partie logicielle existe sous Windows NT SP4 et SP5 (voir le site web cité au-dessus). Il existe aussi sur Sun Solaris (2.6 et 2.7), Solaris 2.6 and 2.7, AIX 4.3.2, HP/UX 10.20 et 11.0 . Sous GNU/Linux je ne sais pas. Il semble que le client existe (ou au moins un patch) mais pas la partie serveur. Je laisse quelqu'un d'autre confirmer ou compléter.
# "Tout n'est pas dans que dans le titre"
Posté par Anonyme . Évalué à 0.
[^] # Re: "Tout n'est pas dans que dans le titre"
Posté par Fabien Penso (site web personnel, Mastodon) . Évalué à 1.
Tout est dans le titre n'est pas une news, c'est rien. Dans ce cas on poste l'url dans tribune libre et sans doute que quelqu'un trouvera le temps de poster une vraie news.
[^] # Re: "Tout n'est pas dans que dans le titre"
Posté par Stéf . Évalué à 1.
En même temps vu le contenu de l'article, c'est carrément décevant.
Faut arrêter de prendre Kevin Mitnick comme un gourou informatique hein...
[^] # Re: "Tout n'est pas dans que dans le titre"
Posté par Gauthier (Mastodon) . Évalué à 1.
Comme tous le monde click pour voir de quoi ca parle on arrive à 1000 hits.
(perso. j'avais dejà vu la news sur Zdnet)
# Question
Posté par MetalX . Évalué à 1.
[^] # Re: Question
Posté par Anonyme . Évalué à 0.
Jamais le(s) même(s) MdP quoi!
[^] # Re: Question
Posté par MetalX . Évalué à 1.
Et apparemment, je ne suis pas le seul a m'interroger, vu les reponses :-)
[^] # Re: Question
Posté par Anonyme . Évalué à 0.
[^] # Re: Question
Posté par Anonyme . Évalué à 0.
[^] # Re: Question
Posté par Yachar . Évalué à 1.
[^] # Re: Question
Posté par trollhunter . Évalué à 1.
[^] # Re: Question
Posté par tomazi . Évalué à 1.
[^] # Re: Question
Posté par Anonyme . Évalué à 0.
[^] # Re: Question
Posté par tomazi . Évalué à 1.
[^] # Re: Question
Posté par Anonyme . Évalué à 0.
[^] # Re: Question
Posté par Yachar . Évalué à 1.
[^] # Réponse
Posté par tomazi . Évalué à 1.
Effectivement, tu n'as pas tout compris.
En lisant http://www.rsasecurity.com/products/securid/(...) tu verras l'explication suivante : "RSA SecurID two-factor Authentication is based on something you know (a password or PIN), and something you have (an authenticator) -- providing a much more reliable level of user authentication than reusable passwords.
En gros, le mot de passe que tu rentres de chez toi pour te connecter sur ton réseau d'entreprise est composé d'une partie que tu connais (un mot de passe fixe) et une partie que tu as (issue d'un calcul par une carte à pile). Le mot de passe de connexion est la concaténation des 2 précédents mots de passe. La partie que tu as changes toutes les 30 sec. ou toutes les minutes. Ce qui permet d'avoir un mot de passe qui n'est pas fixe. Donc si quelqu'un intercepte le mot de passe ou essaye de faire un "brute force cracking" dessus, c'est inutile et le pirate n'arrivera à rien. Mais une fois que tu es connecté, tu n'as pas à retaper ton mot de passe. Par contre, si tu te reconnectes plus tard, le mot de passe que tu entreras sera différent.
C'est utilisé dans l'entreprise dans laquelle je travaille et sans doute dans bien d'autres. Tu peux trouver légèrement contraignant de regarder la carte à chaque fois que tu te connectes, mais ca reste un bon équilibre sécurité/utilisabilité.
J'espère que c'est plus clair comme ça.
[^] # Re: Réponse
Posté par MetalX . Évalué à 1.
[^] # Re: Réponse
Posté par tomazi . Évalué à 1.
Je lis régulièrement des commentaires très intéressant ici, si parfois je peux rendre le service c'est normal.
[^] # Re: Question
Posté par Anonyme . Évalué à 0.
[^] # Re: Question
Posté par tomazi . Évalué à 1.
Avant de répondre, je précise que c'est une solution professionnelle (ça sert a priori pas pour des particuliers).
La solution complète proposée par http://www.rsasecurity.com(...) est composée de la partie matérielle (la carte à pile) et logicielle ("RSA Server").
La partie logicielle existe sous Windows NT SP4 et SP5 (voir le site web cité au-dessus). Il existe aussi sur Sun Solaris (2.6 et 2.7), Solaris 2.6 and 2.7, AIX 4.3.2, HP/UX 10.20 et 11.0 . Sous GNU/Linux je ne sais pas. Il semble que le client existe (ou au moins un patch) mais pas la partie serveur. Je laisse quelqu'un d'autre confirmer ou compléter.
[^] # Re: Question
Posté par Obsidian . Évalué à 1.
date | cut -b 12-19 | passwd lenomduuser
dans le cron avec 1 seconde d'intervalle,
et la même chose sur ton Palm Pilot :) :) :)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.