Journal lulz, mots de passe et compagnie

Posté par (page perso) . Licence CC by-sa
Tags : aucun
11
30
juin
2011

Les frasques des lolers de lulzsec ont remis en lumière que sur le web on dispose de beaucoup de comptes sur beaucoup de sites, que fort peu de personnes s'embarrassent à avoir un mot de passe sûr et différent sur chaque site et encore moins de le retenir, que beaucoup de sites y compris des sites sérieux commettent des horreurs du point de vue de la sécurité en laissant transiter les mots de passe en clair, en les stockant en clair ou dans des endroits non sûrs (ou les trois à la fois) ; et qu'en conséquence, comme pour nos amis utilisateurs de pron.com dont les comptes ont été leakés récemment par lulz, il n'est pas à exclure qu'un site peu important et mal branlé nous mette en situation de risque pour des sites qui nous sont plus importants, que ce soit des webmails ou des sites avec des informations sensibles.

Alors pourquoi ne pas utiliser un algorithme simple nous permettant à la fois de retenir les mots de passe qu'on utilise - en d'autres termes, utiliser toujours le même, à une queue de vache près, et d'utiliser un mot de passe spécifique à chaque site - en d'autres termes, générer un mot de passe spécifique au site à partir de notre "vrai" mot de passe. J'ai trouvé l'idée pas mal (d'autant plus qu'elle n'est pas de moi) et j'ai fait un petit prototype que je livre en angliche ici :

http://zarb.org/~gc/html/fight-passwords-stored-unsecurely.html

Z'en pensez quoi ?

(et pour montrer que j'ai fait mes devoirs, je citerais la page wikipédia d'openid : "Bien qu'OpenID n'en soit plus à ses débuts, encore relativement peu de sites l’ont adopté")

  • # ça compile pas

    Posté par . Évalué à 10.

    utilisateurs de pron.com
    mal branlé

  • # Si je comprend bien ...

    Posté par . Évalué à 3.

    • [^] # Re: Si je comprend bien ...

      Posté par . Évalué à 1.

      Le récent vol de la base de donnée de mtgox.com a montré que le salage pour md5 n'a pas eu un grand effet.

      Systemd, the bright side of linux, toward a better user experience and on the road to massive adoption of linux for the desktop.

  • # Si déjà ton système nécessite un shell

    Posté par (page perso) . Évalué à 1.

    Et qu'en plus la sécurité de ton algorithme dépend de ce que personne ne le connaît, je pense que c'est à peine plus coûteux, finalement d'utiliser un gestionnaire de mots de passe protégé par un mot de passe fort.
    Pour la plupart des sites, je ne connais pas mon mot de passe, qui est généré par apg, et c'est viable.

    • [^] # Re: Si déjà ton système nécessite un shell

      Posté par (page perso) . Évalué à 3.

      Et il existe des extensions pour automatiser le procédé. Avec Firefox par exemple :

      qui permettent de se passer du shell (certaines permettant toutefois de générer les mots de passe pour un autre navigateur, au besoin).

      Ce n’est pas tout à fait comme utiliser Revelation ou apg et un gestionnaire de trousseaux car les mots de passe restent dépendants les uns des autres, mais si l’algo de génération est correct cette dépendance ne devrait pas être un défaut de sécurité (mais je n’ai pas lu les algos des extensions ci-dessus).

    • [^] # Re: Si déjà ton système nécessite un shell

      Posté par (page perso) . Évalué à 4.

      Oplop est pas mal pour ça.
      Il y a des implémentations pour Android, des extensions pour les navigateurs, une webapp... C'est pratique quand on change souvent de machine.

      Sinon, dans la catégorie sécurité, j'ai joué avec Google Authenticator aujourd'hui.
      Ça permet de faire de l'authentification forte avec un client pour smartphone et surtout un module PAM. C'est sympa pour se connecter en SSH sur un serveur quand on n'a pas ses clés sous la main et qu'on veut éviter les risques de keyloggers par exemple. C'est sous licence Apache 2.0 et ça ne nécessite pas de compte chez Google (bien qu'on puisse l'activer pour certaines Google Apps).

    • [^] # Re: Si déjà ton système nécessite un shell

      Posté par (page perso) . Évalué à 2.

      Ca n'est pas de la sécurité par l'obscurité. Ce que propose l'auteur du journal, c'est d'utiliser SHA(url|password). L'url est facile à connaître, mais ne permet pas de découvrir le mot de passe. Donc si tu utilise un mot de passe fort, ça va être tout autant sécurisé qu'utiliser un gestionnaire de mot de passe. Dans les deux cas, le seul moyen de cracker la chose est de connaître le mot de passe maître.

      Ceci dit, la page en question utilise SHA1, qui n'est plus sûr. Il y a SHA2 qui fait ça bien mieux.

      • [^] # Re: Si déjà ton système nécessite un shell

        Posté par . Évalué à 7.

        Oui, mais non. SHA1 (même MD5 et probablement MD4 d'ailleurs) ne sont considéré comme plus fiable si pour un hash donné tu sais générer un fichier qui possède le même hash (brèf quand on sait créer des collisions). De là a faire une fonction inverse c'est une autre histoire, je pense.

        Les logiciels sous licence GPL forcent leurs utilisateurs à respecter la GPL (et oui, l'eau, ça mouille).

    • [^] # Re: Si déjà ton système nécessite un shell

      Posté par (page perso) . Évalué à 2.

      Sa méthode à l'avantage de ne pas nécessité les données sur un disque particulier et donc de pouvoir se connecter de n'importe où.

      « Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » Raymond Devos

      • [^] # Re: Si déjà ton système nécessite un shell

        Posté par (page perso) . Évalué à 1.

        Oui. En gardant à l'esprit que sur "n'importe quelle machine" (machine publique, Windows d'un "ami", etc) on ne peut exclure un risque de keylogger, et donc de se faire compromettre son mot de passe :/ Ça reste tout de même un avantage pour lorsqu'on se trouve chez sa copine, ses parents, ses enfants, etc, bref à un endroit où il y a peu de risque qu'il y en ait un (pour peu que ce soit un Linux quoi).

  • # Papier, crayon.

    Posté par . Évalué à 8.

    J'utilise des mots de passe forts (générés par openssl) et mon gestionnaire de mots de passe c'est papier-crayon, le plus sûr contre une attaque à distance ! (je crois pas qu'un cambrioleur potentiel prendrait le temps de fouiller dans des cahiers d'écolier.)

    • [^] # Re: Papier, crayon.

      Posté par . Évalué à 2.

      À moins d’utiliser un ordinateur toujours au même endroit, tu dois bien transporter ton cahier. N’est-ce pas un peu risqué dans ce cas ?

      • [^] # Re: Papier, crayon.

        Posté par . Évalué à 2.

        J'utilise mon ordinateur toujours au même endroit. Effectivement certaines personnes peuvent avoir d'autres contraintes à ce sujet.

  • # Moi j'utilise...

    Posté par . Évalué à 8.

    pwgen, couplé à GPG pour chiffrer le fichier qui stocke tous les mots de passe.

    Le seul mdp que j'ai à retenir c'est ma passphrase.

    THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

    • [^] # Re: Moi j'utilise...

      Posté par . Évalué à -2.

      ...un login différent sur chaque site web et un mot de passe commun à tous mes comptes.

      • [^] # Re: Moi j'utilise...

        Posté par . Évalué à 1.

        SCHIZOPHRENE !

        • [^] # Re: Moi j'utilise...

          Posté par . Évalué à 2.

          Avant j'étais schizophrène, maintenant nous allons bien.

          Les logiciels sous licence GPL forcent leurs utilisateurs à respecter la GPL (et oui, l'eau, ça mouille).

    • [^] # Re: Moi j'utilise...

      Posté par (page perso) . Évalué à 2.

      pwgen, couplé à GPG pour chiffrer le fichier qui stocke tous les mots de passe.

      Presque pareil, pwgen et je bouine tout dans un fichier texte crypté avec ccrypt.

      Prochainement, je vous proposerais peut-être un commentaire constructif.

  • # Ce que j'en pense

    Posté par . Évalué à 10.

    http://zarb.org/~gc/html/fight-passwords-stored-unsecurely.html

    Z'en pensez quoi ?

    Que c'est un procédé très efficace pour récupérer les mots de passe de toutes les moules :P.

  • # Base + suffixe

    Posté par . Évalué à 2.

    Hum, à voir en vitesse, le principe que propose ton site est dès fois appelée "Base + suffixe". J'avais gardé dans un coin l'adresse d'une page qui explique bien toute cette histoire, mais d'une manière plus personnelle et moins informatisé.

    En espérant que ça puisse intéresser quelqu'un: http://luxsci.com/blog/security-simplified-the-basesuffix-method-for-memorable-strong-passwords.html

    • [^] # Re: Base + suffixe

      Posté par (page perso) . Évalué à 2.

      Je pense ce système moins bien, parce qu'il impose de retenir le "suffixe" différent pour chaque site, et qu'il leake la "base" sur tous les sites qui stockent en clair. Passer un hashage cryptographique est vraiment un très gros avantage sur ce système.

  • # > Z'en pensez quoi ?

    Posté par (page perso) . Évalué à 0. Dernière modification le 01/07/11 à 09:54.

    Z'en pensez quoi ?

    Que c'est moins pratique que http://supergenpass.com qui dispose en plus d'une application android.

  • # Passgrid

    Posté par (page perso) . Évalué à 3.

    Le système que tu cherches existe: tu gardes des grilles contenant des lettres et des chiffres dans ton portefeuille ou dans un dossier et tu ne retiens qu'un ensemble de cases.

    Cf https://linuxfr.org/wiki/Paranoia

    Ou http://bci.dyndns-server.com/devnewton/passgrid/ (quand mon hébergeur ne dort pas).

    Newton Adventure est sur Lumière Verte : http://steamcommunity.com/sharedfiles/filedetails/?id=187107465

    • [^] # Re: Passgrid

      Posté par (page perso) . Évalué à 2.

      je pense que passgrid est beaucoup plus sûr, mais beaucoup plus fastidieux à mettre en oeuvre, et il faut mémoriser un motif différent par site donc on retombe exactement dans le problème d'origine (= en pratique, personne ne peut mémoriser un mdp fort ou un motif différent par site s'il possède plus de quelques comptes) (ou alors il faut un passgrid par site, mais bon au vingtième passgrid ça devient fatigant je pense)

  • # Personnellement…

    Posté par . Évalué à 2.

    Généralement, pour les sites qui ne me semblent pas important, je donne un mot de passe au hasard (le plus dur étant de rejouer deux fois la même musique sur le clavier pour le confirmer). Ensuite j'essaye de me loguer de façon permanente avec un cookie (sauf si je n'ai pas envie d'être tracé par le site en y revenant) ou alors je joue avec la fonction «j'ai perdu mon mot de passe» pour m'y reconnecter.

    Quand le site me semble plus important, je change à chaque fois. (partie de mot de passe constant, partie dépendant du site (genre lfr ici, sauf que ce n'est pas ça) et partie aléatoire à retenir)(dans le désordre)

    Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

    • [^] # Re: Personnellement…

      Posté par . Évalué à 3.

      Et moi pour les sites pas important je met un mot de passe du style "qwerty".
      Pour ceux dont je tiens a mon identité, mais qui contiens rien d'important (info bancaire, ...), j'ai plusieurs variante autour d'un mot de passe

      Enfin pour les importants (banque, ...) j'ai un mot de passe différent qui est noté sur un papier (et que je retiens ou pas suivant le fréquence d'utilisation).

  • # Firefox Sync

    Posté par . Évalué à 2.

    Moi j'utilise firefox Sync est un mot de passe principal dans mes firefoxs.

    Les logiciels sous licence GPL forcent leurs utilisateurs à respecter la GPL (et oui, l'eau, ça mouille).

  • # Dois-je changer mon mot de passe ?

    Posté par (page perso) . Évalué à 1.

    Bonjour,

    voici une initiative intéressante d'un spécialiste en sécurité informatique.
    Si vous vous posez la question "Dois-je changer mon mot de passe ?"
    peut être que le site
    https://shouldichangemypassword.com/
    pourra vous aider à y répondre

    Cordialement

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.