Bonjour à tous,
Je vous propose un enième article sur un sujet bien connu : comment sécuriser des mots de passe dans une base de données. Et au passage, comment éviter de se taper la honte si votre BDD est leakée.
Après une longue réflexion, j'ai décidé de présenter ce journal sous forme de niveaux. Deux négatifs (-2 et -1) qui correspondent à des solutions (trop) souvent mises en place mais pas sécurisées du tout.
Puis, un niveau 0 qui (…)
Depuis quelques années, la Free Software Initiative of Japan (FSIJ, association de promotion des logiciels libres au Japon) travaille sur un ensemble de projets à la croisée des chemins entre cryptographie, informatique embarquée et matériel libre.
Ces projets sont l’œuvre de Niibe Yutaka (Gniibe ou g新部), qui, entre autres casquettes, est président de la FSIJ, coordinateur des traductions japonaises du projet GNU, développeur Debian et contributeur à GnuPG (où il travaille notamment sur la cryptographie à courbes elliptiques et la gestion des cartes à puce — deux aspects qui sont directement liés aux projets dont il va être question dans cette dépêche).
Votre serviteur avait déjà très brièvement évoqué l’existence de deux de ces projets (Gnuk et le FST-01) dans une dépêche précédente consacrée à la carte OpenPGP (dont la lecture est recommandée avant de poursuivre), mais sans donner aucun détail, ce que la présente dépêche va corriger.
Le projet LDAP Tool Box regroupe de nombreux outils pour l’installation, l’administration et l’utilisation des annuaires LDAP, et en particulier OpenLDAP.
Après Self Service Password, interface de changement de mot de passe, White Pages, permettant de rechercher et afficher les utilisateurs et groupes, voici le dernier né de la famille : Service Desk.
Service Desk est une interface Web pour vérifier, débloquer et modifier les mots de passe des comptes d’un annuaire LDAP. Il est publié sous licence GPL v3.
Cher journal, je me retrouve aujourd’hui à préparer la montée en version de plusieurs serveurs Samba de plusieurs organisations et puisqu’il faut repasser par la case labo pour tester et valider la migration, c’est l’occasion pour moi de remettre à plat certains choix techniques passés que j’ai faits ou que d’autres ont faits avant moi ou avec moi. Aussi, j’hérite de certains choix techniques qui ont été faits à une époque où il n’y avait pas le choix tout simplement (…)
Le logiciel Self Service Password est développé au sein du projet LDAP Tool Box. Il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP, y compris Active Directory ou Samba 4.
Outre le changement de mot de passe simple, l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS.
Les contraintes de qualité du mot de passe sont paramétrables : taille minimale, maximale, présence de différentes classes de caractères, caractères interdits, contrôle de la valeur par rapport à l’ancien mot de passe ou à l’identifiant.
Le logiciel Self Service Password est écrit en PHP et est sous licence publique générale GNU. La version 1.0 est sortie le 14 octobre 2016.
Bonjour Nal,
Depuis peu, j'utilise des gestionnaires de mots de passe qui utilisent un format de fichier commun, et qui me permettent donc de partager la même archive aussi bien à la maison qu'au travail. Maintenant, le problème, c'est que cette archive des mots de passe, je dois la partager. J'ai pour l'instant quelques solutions en tête, et j'aimerais savoir ce que vous, mes moules paranoïaques préférées, vous faites ou feriez…
Les solutions actuelles sont :
Le logiciel Self Service Password est développé au sein du projet LDAP Tool Box. Il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP, y compris Active Directory ou Samba 4, ainsi que leur clé SSH.
Outre le changement de mot de passe simple, l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS.
Les contraintes de qualité du mot de passe sont paramétrables : taille minimale, maximale, présence de différentes classes de caractères, caractères interdits, contrôle de la valeur par rapport à l’ancien mot de passe ou à l’identifiant.
Le logiciel Self Service Password est écrit en PHP et est sous licence publique générale GNU. La version 1.1 est sortie le 1er septembre 2017.
Bonjour Nal,
Plein de sites webs permettent de s'inscrire via un login et un mot de passe. Les mots de passe, on le sait, c'est la loose absolue. Entre la très grande majorité des gens qui continuent de mettre 123456 ou password comme mot de passe et les formulaires webs qui imposent un minimum de 23 caractères dont au moins une majuscule, une minuscule, un nombre, un caractère spécial, deux emojis et une résistance au dictionnaire, on ne sait pas (…)
Voici un petit article que j'ai écris il y a quelques jours. Initialement la cible n'était pas LinuxFR donc je vais l'adapter un peu pour le public de barbus que vous êtes.
Introduction qui dit qu'il y a des méchants pirates et qu'il faut faire attention à ses identifiants.
Blabla que vous connaissez par coeur : alpha-numérique + minuscule/majuscules + caractères spéciaux + >= 8 caractères.
Salut à tous,
je voulais vous faire partager un petit projet que j'ai récemment mis en ligne mais que j'utilisais depuis de nombreuse années afin de générer mes mots de passe: Password Grids
Je l'ai récemment ré-écrit, d'une part en JS afin d'avoir une version qui marche 100% offline (tirant également parti d'HTML5), ainsi qu'une version en ligne de commande écrite en Scala.
L'idée est de faire un générateur de mots de passe avec 2 éléments de sécurités:
- (…)
Je ne sais pas s'ils se sont donné le mot, mais j'ai l'impression que tous mes flux se sont mis à parler de la sécurité des mots de passe. Ça a commencé avec developpez.com qui explique que les mots de passes sont trop simples et sont donc facilement crackables, puis ce fut autour de blogzinet de proposer une extension qui vérifie notre mauvaise utilisation des mots de passe, intel de nous dire combien mes mots de passe sont (…)
Tout le monde a un jour eu quelques difficultés de se souvenir d'un de ses mots de passe. Cloud Kee Pass est un nouveau projet personnel permettant de stocker ceux-ci de manière sécurisée.
NdM : merci à ondex2 pour son journal.
Une fois par mois depuis septembre 2015, l'association LoLiCA anime un « Atelier Vie Privée » qui, pour cette séance du 3 Novembre 2015, aura pour sujet les Mots de Passe et l'Authentification.
C'est à partir de 18H30, salle 104 de la Maison Associative de Reims (122 Bis rue du Barbatre) — 45 minutes de Paris Est en TGV pour ceux qui seraient vraiment motivés.
Gratuit, ouvert à tous, quel que soit le niveau des participants.
Cher journal,
Après le succès planétaire rencontré lors de l'ébauche de ma dernière causerie, tu m'as vraiment donné envie de continuer à échanger avec toi, cette fois de manière plus apaisée.
Me sentant d'humeur loquasse, je souhaitais partager sur un sujet qui m'intéresse la sécurité, et notamment la gestion des mots de passe.
Inutile de te présenter : https://haveibeenpwned.com/
De plus une rapide recherche dans google actu avec les mots clés "leak password" ferait transpirer n'importe quel RSSI, ça semble (…)
Nal', je dois t'avouer quelque chose.
Il y a bien des années, j'utilisais Chromium avec la synchro sur le nuage de Google. Pas totalement fou, j'utilisais le chiffrement des mots de passe annoncé comme était fait localement, avec un mot de passe maître. L'interface web du panneau de contrôle Google m'indique bien que la synchro Chrome est activée aussi pour les mots de passe, mais qu'ils ne sont pas affichables car chiffrés.
Le temps passe, et je repasse sous Firefox (…)