Les mots de passe des premiers développeurs‐utilisateurs d’UNIX, notamment celui de Ken Thompson

29
14
oct.
2019
Sécurité

En 2014, une ingénieure, Leah Neukirchen, trouve un fichier /etc/passwd archivé avec du vieux code source BSD et décide de déchiffrer les mots de passe des premiers développeurs‐utilisateurs d’UNIX.

Assez facilement, les mots de passe sont trouvés les uns après les autres. Je ne sais quels étaient vos premiers mots de passe, mais, personnellement, j’utilisais le même sur beaucoup de mes comptes et c’était soit des mots de la langue française faciles à taper, soit le nom de ma copine.

Ces tout premiers développeurs‐utilisateurs d’UNIX étaient‐ils plus inventifs ? À vous d’en juger, les voici en deuxième partie.

Journal Freenaute, ton mot de passe d'abonné est stocké en clair chez Free

Posté par (page perso) . Licence CC by-sa.
38
6
août
2018

Bienvenue en 2018,

Année de la mise en application du RGPD.
Année de la maturité en cybersécurité ? Pas pour tout le monde en tous cas.

Mon expérience d'hier soir m'a laissé perplexe. Sur la page de connexion des abonnés Freebox, ayant perdu mon mot de passe, j'ai renseigné les champs me permettant de le récupérer et … surprise, je l'ai récupéré … en clair par mail.

Nous sommes en 2018 et Free stocke les mots de passe de ses (...)

Sortie de LDAP Tool Box Self Service Password 1.3

Posté par (page perso) . Édité par Davy Defaud et tankey. Modéré par ZeroHeure. Licence CC by-sa.
22
12
juil.
2018
Sécurité

Le logiciel Self Service Password est développé au sein du projet LDAP Tool Box. Il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP, y compris Active Directory ou Samba 4, ainsi que leur clef SSH.

Outre le changement de mot de passe simple, l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS. Les contraintes de qualité du mot de passe sont paramétrables : taille minimale, maximale, présence de différentes classes de caractères, caractères interdits, contrôle de la valeur par rapport à l’ancien mot de passe ou à l’identifiant.

Le logiciel Self Service Password est écrit en PHP et est sous licence publique générale GNU. La version 1.3 est sortie le 10 juillet 2018.

La suite de l’article présente les changements majeurs de cette version.

Gestionnaires de mots de passe

68
12
avr.
2018
Sécurité

La tâche première d’un gestionnaire de mots de passe est de garder en sécurité des informations sensibles (mots de passe, identifiants, adresses URL…) et de pouvoir les restituer de façon commode.

Certains gestionnaires permettent de générer des mots de passe à la demande : l’utilisateur n’a alors même plus besoin de voir ou de connaître le mot de passe, hormis le mot de passe maître (qui donne accès à tous les autres), et peut multiplier l’opération pour créer autant de mots de passe qu’il le souhaite. Sans avoir la prétention de résoudre toutes les questions relatives à la sécurité et à l’usage de mots de passe, cette pratique pourrait contribuer à augmenter leur sûreté d’un cran en dissuadant les usagers de réutiliser le même mot de passe pour des comptes différents, réduisant ainsi l’impact de leur compromission sur les serveurs (qui est un problème concret, comme peut l’illustrer le site Have I Been Pwned).

Il existe pléthore de gestionnaires, qui se distinguent par plusieurs critères :

  • logiciel libre ou propriétaire ;
  • sécurité (audits réalisés, utilisation d’algorithmes de chiffrement sérieux et non dépassés…) ;
  • synchronisation possible ou non entre plusieurs emplacements ou appareils ;
  • facilité d’utilisation (intégration avec les navigateurs) ;
  • disponibilité sur différents systèmes d’exploitation ;
  • format de stockage (portabilité) ;
  • type d’utilisation (personnel, groupe).

Nous n’en présentons ici qu'une sélection. Notre choix s’est d’abord porté sur des logiciels libres et supportés par une communauté active ; de même, il est important qu’ils soient disponibles sur un maximum de plates‐formes avec au moins une possibilité de synchronisation (Git, WebDAV, Dropbox…) pour pouvoir fonctionner au sein d’une famille ou d’un groupe. Le choix est forcément arbitraire et dépend aussi de la disponibilité et de la bonne volonté des rédacteurs.

Journal KeePassXC-Browser et gestion des mots de passe

24
6
mar.
2018

Bonsoir,

J'ai une approche très conservative (voire vieillotte) pour gérer mes mots de passe: je place tout dans un fichier texte chiffré.

Je suis séduit par l'idée d'avoir une intégration avec le navigateur, mais jusqu'ici j'étais un peu inquiet (peut-être à tort ?) qu'une faille dans le navigateur puisse facilement donner accès à tous mes mots de passe.

Je viens de voir passer la sortie de KeePassXC-Browser qui apparemment est une extension de navigateur avec une communication sécurisée avec le gestionnaire (...)

Journal Générateur de mot de passe

Posté par (page perso) . Licence CC by-sa.
10
20
jan.
2018

Bonjour.
Sans prétention aucune, j’ai créé un petit générateur de mot de passe, m’inspirant librement de l’idée du célèbre XKCD N° 936 sur le sujet.

C’est minimaliste (~50 lignes de codes, 300 de données, le tout dans un unique fichier), probablement plein d’erreur et d’amélioration à apporter.

C’est du JavaScript (avec une goutte de HTML et de CSS), sous licence MIT et disponible sur framagit : Lien vers le projet

Journal Microsoft voudrait de la biométrie

Posté par . Licence CC by-sa.
17
8
jan.
2018

On m'a mis le nez dessus : https://news.microsoft.com/features/whats-solution-growing-problem-passwords-says-microsoft/

Donc, en gros, Microsoft voudrait que tout le monde utilise la biométrie, parce que c'est mieux que les mots de passe.

Je pense que beaucoup de gens ici savent que « oui mais non », mais j'aime bien rajouter du contenu qui pourra peut-être un jour finir dans la page 1 de votre moteur de recherche favori.

Ça commence par :

Quick: Change your password again. Make sure it has a combination of capital (...)

Journal Hutch, gestionnaire de mots de passe

20
15
déc.
2017

Après avoir fini Glewlwyd et branché Angharad dessus, il me fallait un autre projet pas trop gros pour utiliser l'authentification unique, parce que un seul service qui utilise ton authentification unique, c'est un peu trop overkill on va dire.

Je ne voulais pas faire mon serveur de streaming tout de suite, parce que je savais que ca allait être long. Je voulais un projet moins gros, sur lequel je pouvais me faire la main coté serveur de ressource, mais utile (...)

Forum général.général Évaluation passman/nextcloud

1
30
sept.
2017

Bonjour,
j'ai un compte Nextcloud chez la mère Zaclys, et elle vient d'annoncer que l'appli nextcloud passman est désormais disponible.

Ça m'intéresse d'avoir un gestionnaire de mot de passe en ligne, mais je me demandais si certains d'entre vous utilisent déjà cette appli, et si vous aviez des informations sur sa fiabilité et les risques éventuels associés.

Je n'ai pas réussi en cherchant rapidement à trouver une analyse ou un audit.

Merci.

Forum général.hors-sujets Quand Synology incite à envoyer un mot de passe administrateur en clair

6
6
sept.
2017

Salut,

Pour faire court : le support technique de Synology me demande de lui envoyer un mot de passe administrateur de mon NAS, en clair, par mail. Je leur demande une clé publique PGP, un compte Wire, que sais-je ? Un canal chiffré.

Niet, ils insistent : par mail, en clair. Ils n'ont pas d'autre moyen…

C'est courant ce genre de situation ou c'est Synology qui est à l'Ouest ?

Franck.

PS: pendant ce temps, depuis que j'ai ouvert le port Telnet (...)

Forum Linux.débutant Changer le mot de passe oublié (xubuntu) ou comment récupérer les fichiers avant réinstallation?

0
5
sept.
2017

Bonjour,

J'ai dû changer une carte-mère sur un ordi dont j'ai malheureusement oublié le mot de passe de session. Je pensais l'avoir noté mais je le retrouve pas… Sur xubuntu 16.04.2 LTS

Trouvé une astuce ICI sur le blog de korben mais après avoir changé le pass (2x) il me dit :
"passwd : Erreur de manipulation du jeton d'authentification
mot de passe non changé"

Quelqu'un saurait pourquoi?
Ou alors y a t'il une autre astuce pour récupérer le pass (...)