Un incident a eu lieu dans les locaux d'OVH à Roubaix, et ce depuis quelques jours.
Pour résumer, le ou les attaquant(s) ont réussi à s'emparer des données clients Europe, à savoir:
- Le nom
- Le prénom
- Le nic
- L’adresse
- La ville
- Le pays
- Le téléphone
- Le fax
- Et le mot de passe (chiffré)
Avec pour ce dernier, une petite précision de la prt d'OVh
Le chiffrement du mot de passe est « salé » et basé sur SHA512, afin d’éviter le bruteforce. Il faut beaucoup de moyens technique pour retrouver le mot de passe en clair. Mais c’est possible.
Voila, voilou…
# Ça fait deux mails identiques en deux jours
Posté par hugoL . Évalué à 8.
Apres le mail d'OVH, aujourd'hui un mail de ubuntu forums
The Ubuntu forums software was compromised by an external attacker. As a result, the attacker has gained access to read your username, email address and an encrypted copy of your password from the forum database.
If you have used this password and email address to authenticate at any other website, you are urged to reset the password on those accounts immediately as the attacker may be able to use the compromised personal information to access these other accounts. It is important to have a distinct password for different accounts.
[^] # En fait, trois mails en 2 jours :(
Posté par ziliss . Évalué à 2.
Apple aussi: http://www.macrumors.com/2013/07/21/apple-developer-website-hacked-developer-names-addresses-may-have-been-taken/
Il s'agit des données des développeurs enregistrés.
[^] # Re: En fait, trois mails en 2 jours :(
Posté par MrLapinot (site web personnel) . Évalué à 2. Dernière modification le 25 juillet 2013 à 10:01.
J'ai aussi reçu un email de www.lakeland.co.uk qui annonçait un piratage d'ampleur non déterminée de sa base d'utilisateurs. C'est la saison ! A se demander s'il y a un dénominateur commun…
[^] # Re: En fait, trois mails en 2 jours :(
Posté par Sam E. (site web personnel) . Évalué à 3. Dernière modification le 25 juillet 2013 à 10:27.
J'ai eu droit à Ubisoft au début du mois :(
http://www.lesnumeriques.com/jeux-video/ubisoft-hacke-mots-passe-a-changer-n30244.html
Le plus «drôle» dans l'histoire, c'est qu'ils limitent la taille d'un mot de passe à 16 caractères.
[^] # Re: En fait, trois mails en 2 jours :(
Posté par LeMarsu . Évalué à 5.
Ça, c'est bien une chose que je n'ai jamais comprise. Pourquoi diable limiter la taille maximale des mots de passe ?
Que l'on limite la taille minimale, c'est évident et normal. Mais qu'elle pourrait être la raison technique, logique ou fonctionnelle de limiter la taille maximale des mots de passe ? Je parle de limite facilement atteignable, bien sur, on va pas laisser un utilisateur rentrer un mot de passe de 1 To, on se comprend. En dessous de 255 caractère (limite technique), je ne comprends vraiment pas la limite.
Est-ce que quelqu'un a une idée du pourquoi ?
Le pire, ce sont certaines banques, qui limitent à 4 ou 8 caractères numériques…
[^] # Re: En fait, trois mails en 2 jours :(
Posté par Anonyme . Évalué à 3.
Le crédit mutuel typiquement. C'est 8 caractères maximum mais ils acceptent les caractères « spéciaux » (si tant est que les accolades et les tirets soient considérés comme spéciaux).
[^] # Re: En fait, trois mails en 2 jours :(
Posté par totof2000 . Évalué à 2.
Bah, si le nmbre de tentatives autorisées est limitée (genre 3 tentatives avant blocage), qu'est-ce qu'aporte un mot de passe plus long ?
[^] # Re: En fait, trois mails en 2 jours :(
Posté par LeMarsu . Évalué à 2.
La question n'est pas qu'est-ce qu'apporte un mot de passe plus long, mais quel est l'intérêt de limiter la taille maximale du mot de passe. Parce que sinon, si au bout de trois tentatives, l'accès est bloqué, on a pas besoin de faire plus gros que 1 ou 2 caractères, même numérique…
[^] # Re: En fait, trois mails en 2 jours :(
Posté par Naabster . Évalué à 1.
N’exagérons pas trop quand même…
La probabilité de tomber sur le bon mot de passe, lors de la premier tentative, si celui-ci ne contient que 2 voir 1 seul caractères et quand même beaucoup plus élevée que pour 6 ou 8…
Après, je ne vois pas pourquoi il y a une limitation du nombre ? Surcharge du serveur lors du calcul du Hash ? Les gens oublient si c'est trop long (entrainant de nombreux appels)? No lo sé…
[^] # Re: En fait, trois mails en 2 jours :(
Posté par KiKouN . Évalué à 4.
Ils ont qu'a prendre des ASIC pour calculer les hash ( qui permettrait d'avoir des hash beaucoup plus long à hasher sans le-dit ASIC ).
Ils pourront ensuite miner tranquille des bitcoins entre chaque mot de passe.
[^] # Re: En fait, trois mails en 2 jours :(
Posté par totof2000 . Évalué à 2.
On appelle ça un code PIN sur 4 caractères numériques et qui se bloque au bout de 3 tentatives en échec. On a ça aussi sur les cartes bleues. Maintenant il est vrai que ce n'est pas évident de récupérer les hash de mot de passe ou de pin sur une carte bleue ou une carte SIM pour faire une attaque par force brute.
[^] # Re: En fait, trois mails en 2 jours :(
Posté par GG (site web personnel) . Évalué à 3.
En Chine, le code pin est de 6 caractères, on l'initialise lors de l'ouverture du compte bancaire, et la carte de retrait est délivrée immédiatement…
On peut aussi le changer librement dans les DAB.
Du coups, la carte bleue Visa est totalement inutilisable en Chine… parce que les DAB attendent les 6 chiffres.
Et dire que ma banque n'a pas changé mon code pin quand j'ai opté pour une carte bleue… heureusement on paye une assurance pour soutenir les banques en cas d'usage frauduleux…
A+
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: En fait, trois mails en 2 jours :(
Posté par Maclag . Évalué à 6.
"De mon temps" (en fait, ça fait pas si longtemps que ça), ça dépendait de l'ATM, certains marchaient, d'autres non, complètement aléatoire, donc pas suivant la banque (ce qui laisse rêveur sur l'uniformisation du logiciel derrière l'ATM, mais passons).
Ce que je préfère, dans ce système, c'est que tu tapes toi-même le code que tu veux le jour de l'ouverture du compte. Si tu es un tout petit peu hors des grandes villes, tout le monde se fout de la vie privée, de la sécurité, et toutes ces conneries: tu le tapes avec une armée de mecs qui te poussent et regardent par-dessus ton épaule pour voir ce que "le blanc" écrit dans ses formulaires. La ligne rouge avec la mention "Attendez votre tour derrière la ligne" est purement décoratrice, et certains te diront même qu'ils n'attendent pas pour le guichet si tu leur fais remarquer qu'ils sont en contact physique avec toi alors que la banque est quasiment vide et la ligne rouge un bon mètre derrière.
La première fois, t'as l'impression que le remplissage de ton formulaire, c'est un travail d'équipe, vu qu'ils commentent en temps réél.
[^] # Re: En fait, trois mails en 2 jours :(
Posté par gouttegd (site web personnel) . Évalué à 9. Dernière modification le 25 juillet 2013 à 15:02.
Peu importe que le nombre de tentatives est limité sur le site, parce que si—non, quand la base de données contenant les mots de passe hashés aura fuité (et ce n’est pas comme si ça n’arrivait jamais, d’ailleurs quelle news commentons-nous ici ?), cette limite ne s’appliquera pas et l’attaquant pourra essayer à volonté de retrouver les mots de passe correspondant aux hashes, ce qui sera beaucoup plus facile s’il sait que les mots de passe sont obligatoirement courts ou ne peuvent contenir de caractères spéciaux.
[^] # Re: En fait, trois mails en 2 jours :(
Posté par Anonyme . Évalué à 2.
Ça c'est vraiment cool comme principe. Ils t'envoient le mot de passe temporaire pas la Poste. Donc en gros, si tu connais mon numéro de compte courant qui sert d'identifiant (et tu le connais vu que tu connais mon RIB) et bien tu peux me faire chier pendant 3 jours.
[^] # Re: En fait, trois mails en 2 jours :(
Posté par totof2000 . Évalué à 3.
C'est valable pojur n'importe qui, sauf à avoir un identifiant décorrellé de ton numéro de compte. L'erreur n'est peut-être pas sur la longueur du mot de passe mais plutot sur le fait d'avoir assocuié le numéro de compte à l'identiant ?
[^] # Re: En fait, trois mails en 2 jours :(
Posté par Zenitram (site web personnel) . Évalué à 2.
Mauvaise banque, changer banque.
(je dis ça, mais bon, j'en garde une comme ça… Faudra que je change un jour. Ils se sont rendu compte sans doute de leur connerie, il y a quelques mois ils ont ajouté une lettre au numéro de compte, qui est… Devinable! Première lettre du nom de famille pour tout le monde, grave…)
# Github
Posté par ckyl . Évalué à 10. Dernière modification le 24 juillet 2013 à 10:29.
Encore un con de dev qui a poussé la base sur Github…
[^] # Re: Github
Posté par Atem18 (site web personnel) . Évalué à 5.
Ou sa clé privée.
# Oh oh remets moi un tonnelet de rhum moussaillon
Posté par Benoît Sibaud (site web personnel) . Évalué à 10.
En dehors du fait que c'est arrivé à OVH, Ubuntu Forums et Apple Dev à peu près en même temps, c'est surtout le titre du journal qui m'interpelle : utiliser « piraterie » ici, c'est faire le jeu des pénibles du verrouillage intellectuel et/ou du sensationnalisme journalistique et/ou des mauvais traducteurs depuis l'anglais. Bref « piratage » dans le pire des cas, et « intrusion dans un système de traitement automatisé de données » dans le meilleur.
[^] # Re: Oh oh remets moi un tonnelet de rhum moussaillon
Posté par Naabster . Évalué à 10.
J'ai utilisé "Piraterie" pour ne pas réutiliser celui d' OVH qui est "Hackeur"
Et là je trouve que OVH fait "le jeu des pénibles du verrouillage intellectuel et/ou du sensationnalisme journalistique et/ou des mauvais traducteurs depuis l'anglais."
Un pirate commet des vols, il s'agit là d'un vol, mais effectivement, celui-ci n'a pas eu lieu en mer…
[^] # Re: Oh oh remets moi un tonnelet de rhum moussaillon
Posté par totof2000 . Évalué à 10.
Techniquement il n'y a pas vol puisque les données n'ont à priori pas été supprimées de chez OVH …
[^] # Re: Oh oh remets moi un tonnelet de rhum moussaillon
Posté par Naabster . Évalué à 3.
Effectivement…
Piraterie n'est donc pas le bon terme…Mea culpa.
[^] # Re: Oh oh remets moi un tonnelet de rhum moussaillon
Posté par Troy McClure (site web personnel) . Évalué à 7.
Il aurait fallu dire "OVH sous le coup d'un acte de contrefaçon"
[^] # Re: Oh oh remets moi un tonnelet de rhum moussaillon
Posté par Gui13 (site web personnel) . Évalué à 10.
Si le "pirate" garde sa copie privée et ne la partage pas, c'est bon non?
[^] # Re: Oh oh remets moi un tonnelet de rhum moussaillon
Posté par LeMarsu . Évalué à 5.
Ah bah non, je suis pas d'accord. On nous l'explique tous les jours !
C'est comme quand tu copies un CD, c'est du même ordre que d'aller le voler en magasin !
Quoi, j'ai dit une connerie ?
Ok, ok ------> []
[^] # Re: Oh oh remets moi un tonnelet de rhum moussaillon
Posté par Enzo Bricolo 🛠⚙🛠 . Évalué à 6.
Hackeur vaillant rien d'impossible …
Nonobstant, même en français, ça s'écrit hacker et effectivement le terme générique ne fait pas la distinction de la couleur du chapeau.
[^] # Re: Oh oh remets moi un tonnelet de rhum moussaillon
Posté par Benoît Sibaud (site web personnel) . Évalué à 5.
C'est bien ce que je disais : tu voulais utiliser piratage (l'informatique selon les médias pressés), et non piraterie (les bateaux, le rhum et les abordages). (En tout cas en France, Wiktionary indique que « piraterie » reste très largement de mise en Afrique francophone).
Je suis d'accord qu'OVH utilise abusivement un terme « hackeur » francisé (ou dans son adoption messe-média si on préfère).
# bcrypt
Posté par Victor . Évalué à 2.
J'espère qu'ils ont utilisé bcrypt ;)
http://codahale.com/how-to-safely-store-a-password/
[^] # Re: bcrypt
Posté par vlamy (site web personnel) . Évalué à 5.
A priori non, puisqu'ils ne mentionnent que sha512.
[^] # Re: bcrypt
Posté par Anonyme . Évalué à 0.
ils ne vont pas non plus donner toutes les informations concernant un grain de sable si il y en a un ou pas, c'est l'interet d'en mettre sans le faire savoir. Amha
[^] # Re: bcrypt
Posté par cfx . Évalué à 6.
L'un des intérêts de la technique du grain de sable, c'est de pouvoir éviter/limiter les attaques par dictionnaire.
Imaginons que l'attaquant ait calculé les SHA512 de tous les mots du Larousse, si tous les mots de passes sont préfixés par "plop" avant d'être haché, l'attaquant doit se retaper le calcul de l'ensemble des hash en préfixant tous les mots du Larousse par "plop".
Et puis si on utilise correctement la technique, on met un grain de sable différent pour chacun, et l'attaque par dictionnaire devient légèrement plus compliquée…
[^] # Re: bcrypt
Posté par rewind (Mastodon) . Évalué à 3.
Justement, ce n'est pas ce qui est dit dans le lien mentionné plus haut ni dans l'article mentionné plus bas. Parce que quand on récupère une base de données comme dans le cas présent, le grain de sable se trouve en clair à côté donc ça ne change pas grand chose. Si tu attaques un seul mot de passe, ça ne change rien. Si tu attaques tous les mots de passe, le grain de sable ne protégera pas assez les plus faibles des mots de passe. Parce que de toute façon, tu vas péter 50% des mots de passe en quelques heures en testant les trucs les plus faciles.
Et puis le grain de sable, il vaut mieux le suffixer que le préfixer. Si tu le préfixe, tu peux calculer l'état du hash après avoir lu le grain de sable et ensuite tu repars de cet état pour tester la deuxième partie sans avoir à recalculer le début.
[^] # Re: bcrypt
Posté par diorcety . Évalué à 5.
Effectivement comme tu le dis un mot de passe faible avec un grain de sable reste un mot de passe faible.
Cependant vue que le grain de sable est(doit être) différent pour chaque mot de passe, tu ne peux pas "factoriser". Ce qui veut dire que pour un hash calculé tu peux uniquement le tester sur le mot de passe associé et pas sur plusieurs.
Ce qui fait que, si tu cherches a faire du brute force sur une mot de passe ça ne changera rien, par contre si tu cherches à faire du brute force sur une liste de mots de passe la par contre ça va commencer à être utile le grain de sable.
[^] # Re: bcrypt
Posté par cfx . Évalué à 1.
L'intérêt d'une attaque par dictionnaire, c'est de se baser sur un dictionnaire existant, sans avoir à calculer quoi que ce soit, pour ne faire que des recherches dans une table de hachage. Donc si le dictionnaire ne prend pas en compte le grain de sel, il ne te servira pas à grand chose.
Après, ça dépend des ressources dont tu disposes. Si tu as de quoi calculer un dictionnaire de hash rapidement, en effet, un grain de sel unique ne fait que délayer un peu les choses. Et si c'est des hashs différents, autant faire du brutforce, car il n'y a aucun intérêt à stocker le dictionnaire calculé.
[^] # Re: bcrypt
Posté par Jean-Philippe Garcia Ballester (site web personnel) . Évalué à 3.
Tu ne confonds pas dictionnaire et rainbow table ?
L'intérêt d'un dictionnaire pour moi c'est de calculer le hash de mots de passe « probables ».
[^] # Re: bcrypt
Posté par cfx . Évalué à 0.
En effet, il semble que j’opposai brutforce par dictionnaire à dictionnaire/rainbow table.
[^] # Re: bcrypt
Posté par Pinaraf . Évalué à 1.
Ça apporte quoi par rapport à ça ?
crypt ( "password", "$6$rounds=100000$" . random(16 caractères stp))
Sachant que crypt se contente pas de faire un sha512, ou une boucle de sha512, ça serait trop simple…
Si crypt dans ce mode là est «faillible», tu pètes toutes les distribs linux modernes quand même…
[^] # Re: bcrypt
Posté par Victor . Évalué à 5.
L’intérêt de donner un lien, c'est que les gens le lisent ;)
[^] # Re: bcrypt
Posté par Victor . Évalué à 1.
Bon, évidemment, ça veut dire savoir comment marche crypt, vu que le lien n'en parle pas :/
[^] # Re: bcrypt
Posté par Pinaraf . Évalué à 3.
Sauf que ce lien compare pas avec le sha512-crypt, qui fait un certain nombre d'opérations pour rendre encore plus complexe la récupération du mot de passe en cas de cassage de l'algo sha512.
http://www.akkadia.org/drepper/SHA-crypt.txt
Security departments in companies are trying to phase out all
uses of MD5. They demand a method which is officially sanctioned.
For US-based users this means tested by the NIST.
This rules out the use of another already implemented method with
limited spread: the use of the Blowfish encryption method. The choice
comes down to tested encryption (3DES, AES) or hash sums (the SHA
family).
[^] # Re: bcrypt
Posté par Victor . Évalué à 3.
La seule réponse à ça que je trouve sur le net est :
http://stackoverflow.com/questions/1561174/sha512-vs-blowfish-and-bcrypt
qui dit :
If however, the digest output is "fed back" thousands of times, it will take hundreds of years to test the same set of passwords on that hardware. Bcrypt achieves the same "key strengthening" effect by iterating inside its key derivation routine, and a proper hash-based method like PBKDF2 does the same thing; in this respect, the two methods are similar.
So, my recommendation of bcrypt stems from the assumptions 1) that a Blowfish has had a similar level of scrutiny as the SHA-2 family of hash functions, and 2) that cryptanalytic methods for ciphers are better developed than those for hash functions.
# Password manager
Posté par Nicolas Blanco (site web personnel) . Évalué à 10.
Dans ces moments la tu te dis vraiment que ceux qui utilisent pas un password manager avec un mot de passe different par site sont baises.
J'ai des collegues qui me disent : "Moi j'ai 2/3/4/5/X mots de passe differents selon la criticite du site.". Je leur raconte mon histoire…
Y a deux ans je fonctionnais aussi comme ca. Resultat : un forum phpBB sur lequel j'etais inscrit avec mon mot de passe que j'utilisais uniquement sur les sites les moins critiques s'est fait pirater. Le script kiddie a pirate d'autres forums ou j'etais inscrit avec le meme password et a utilise mon compte pour envoyer du spam. Moralite : un mot de passe different par site c'est la seule solution.
[^] # Re: Password manager
Posté par Maclag . Évalué à 3.
Ton gestionnaire de mots de passe, tu le stockes en local ou tu y a accès en ligne?
S'il est local, c'est dommage pour toi dès que tu n'es plus devant ton ordi, ou que ton ordi tombe en panne: tu perds tout jusqu'à réparation/retour maison.
S'il est en ligne, je te souhaite qu'il ne soit jamais compromis parce que là c'est gros gavage pour l'attaquant: il a accès à tout!
[^] # Re: Password manager
Posté par claudex . Évalué à 3.
Sans compter que celui qui est en ligne, il a intérêt à être intégrer au desktop/laptop/smartphone/tablet pour que ce soit utile. Sinon c'est beaucoup trop pénible.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Password manager
Posté par Nicolas Blanco (site web personnel) . Évalué à 2.
T'as regarde deux secondes les solutions existantes ?
La plupart (1password, lastpass, dashlane…) proposent une synchro iOS/Android et des extensions pour la plupart des navigateurs comme Chrome/Firefox.
[^] # Re: Password manager
Posté par téthis . Évalué à 10. Dernière modification le 24 juillet 2013 à 12:15.
D'où l'utilité de générer des mots de passe pour chaque site à partir d'une clef privée et, au minimum, d'une information variable (le nom de domaine). J'ai un programme qui génère un hash SHA256 à partir d'une clef privée et du nom de domaine, puis extrait une partie de ce hash pour l'utiliser dans un dictionnaire de caractères (dictionnaire de taille variable en fonction des ensembles de caractères que l'on souhaite avoir, par exemple décimaux, alphabétiques, spéciaux) afin de générer le mot de passe.
Cela me semble assez robuste. :p
L'idéal, c'est que je n'ai même pas à connaître mes mots de passe.
The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein
[^] # Re: Password manager
Posté par Nicolas Blanco (site web personnel) . Évalué à -10.
Cool. Et t'as aussi code une extension pour ton navigateur prefere ? Et apres t'as code une synchro avec ton cloud ? Et une appli smartphone ?
Enfin bon, moi je prefere utiliser une solution commerciale qui me fait tout ca pour moi…
[^] # Re: Password manager
Posté par téthis . Évalué à 6.
Ouaip. J'ai adapté une extension Firefox pour y intégrer mes améliorations.
Pour synchroniser quoi ? L'objectif de ce programme est de n'avoir aucune trace des mots de passe utilisés sur le web.
Oui et plus encore, une page web sur mon site perso qui reprend les mêmes fonctionnalités.
Les goûts et les couleurs…
The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein
[^] # Re: Password manager
Posté par glattering . Évalué à 1.
Tu as l'air d'y avoir beaucoup reflechi et d'y avoir passe du temps.
Ca ne serait pas par hasard a l'ordre du jour de partager ton code/extension/outils etc?
Ca pourrait profiter a beaucoup. Je n'y connais pas grand chose en securite et en programmation (je ne suis qu'ingenieur non informatique), mais je me suis deja demande comment avoir un systeme de mots de passe plutot securises et hermetiques entre sites web sans etre trop lourdingue a mettre en place et j'ai pas trouve.
[^] # Re: Password manager
Posté par téthis . Évalué à 5.
Pas vraiment, c'est carrément trivial.
C'est sur la page masterkey, les fichiers javascript à récupérer sont en bas du code HTML (md5.js, sha256.js et generator.js). Md5.js sert à générer des noms de connexion, j'ai dû utiliser ça 2 fois en 4 ans parce que ce n'est pas terrible.
L'extension pour Firefox est en bas de la page. Je n'arrive plus à trouver le site de l'extension d'origine.
Il n'y a pas de licence sur generator.js (le seul écrit par moi). Étant donné que c'est ridiculement simple, je ne vois aucun inconvénient à ce qu'on fasse n'importe quoi avec.
The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein
[^] # Re: Password manager
Posté par glattering . Évalué à 1.
Trivial pour toi, et peut etre pour beaucoup, mais pas pour un novice.
Avec le chiffrement, j'ai toujours peur qu'un jour je ne puisse plus acceder a mes donnes/mdp etc…
[^] # Re: Password manager
Posté par LeMarsu . Évalué à 3.
C'est aussi la solution pour laquelle j'ai opté. Mais pour rendre cela plus simple, je me sert de Password Maker. Il existe une extension Firefox, un client Android et tout un tas de clients ou de librairies disponible.
L'extension Firefox est vraiment sympathique, un click-droit, "Générer un mot de passe", il demande le mot de passe principal, puis génère en fonction des paramètres prédéfini un mot de passe et remplit le champ directement. Le mieux, comme dit téthis, c'est que je n'ai même pas à connaître le mot de passe ainsi généré.
Cela répond à 98% de mes besoins. Les 2% qui restent, sont les sites pour lesquels je ne peux pas choisir mon mot de passe car il m'est imposé. Pour cela, je n'ai pas encore trouvé de solutions satisfaisante, car le stockage dans le cloud, cela me paraît tellement en opposition totale avec la logique d'un trousseau.
[^] # Re: Password manager
Posté par Darckense (site web personnel) . Évalué à 1.
Salut,
Ta solution a l'air intéressante ! Tu peux diffuser ton programme et l'extension firefox qui marche avec ?
Je n'ai pas bien compris le but de la page web sur ton site. C'est pour retrouver ton mot de passe quand tu te connecte depuis un accés tiers ?
Merci pour l'idée en tout cas,
[^] # Re: Password manager
Posté par téthis . Évalué à 2.
L'extension est téléchargeable dans l'encart bleu. Quant au programme, il s'agit de la page web.
C'est ça.
The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein
[^] # Re: Password manager
Posté par Nicolas Blanco (site web personnel) . Évalué à -3.
Tu t'es renseigne deux secondes sur les differentes solutions de password manager avant de debiter cela ?
Cela fait longtemps que les passwords manager proposent de synchroniser les trousseaux dans le cloud.
Certains proposent leur propre cloud (ex. : lastpass, dashlane), et d'autres proposent la synchro sur des clouds "standards" tels que GDrive ou Dropbox (ex. : 1password).
Apres tout est une question de confiance dans le fournisseur de la solution que tu choisis d'utiliser, ils certifient tous que toi seul garde la master-key de ton trousseau, generalement crypte en AES.
[^] # Re: Password manager
Posté par CrEv (site web personnel) . Évalué à 10.
Je crois que c'est l'heure de prendre une camomille…
[^] # Re: Password manager
Posté par totof2000 . Évalué à 6.
J'ai failli me marrer quand j'ai lu ton post …
Mettre un trousseau de clé dans le cloud, c'est comme mettre toutes ses clés sous le tapis de l'entrée de la maison.
[^] # Re: Password manager
Posté par abraxas . Évalué à 1.
Le trousseau est chiffré.
[^] # Re: Password manager
Posté par Nicolas Blanco (site web personnel) . Évalué à -5.
Moi aussi je me marre en lisant ton post.
Ca me rappelle ma mere quand elle avait peur de laisser son numero de carte bleue sur Amazon et que j'ai du lui expliquer HTTPS.
Serieusement, forcement la totalite des fournisseurs te disent que ton trousseau est crypte en AES ou autre avant l'envoi sur Internet.
Donc faut faire confiance au fournisseur du password manager, pas du cloud ou du stockage utilise derriere.
[^] # Re: Password manager
Posté par totof2000 . Évalué à 3.
Je reprends tes propos :
Ma réponse porte principalement sur la première partie de ton post. Maintenant pour la seconde, c'est peut-être un peu mieux, mais je préfère personnellement garder ces infos ailleurs que dans le cloud.
[^] # Re: Password manager
Posté par totof2000 . Évalué à 4.
Un tel stockage recviendrait à mettre /etc/shadow en 777 sur une machine Unix.
[^] # Re: Password manager
Posté par Anonyme . Évalué à 1.
tu te corrige tous seul ? :D
[^] # Re: Password manager
Posté par Nicolas Blanco (site web personnel) . Évalué à -3.
Dire cela c'est exactement aussi bete que de dire que tu veux pas payer sur Amazon car tes informations bancaires vont transiter sur des routeurs, des serveurs que tu controles pas sur Internet, voire meme etre stockee quelque part. Forcement !
Et la tu me reponds que c'est pour cette raison qu'on utilise des standards cryptographiques, HTTPS, etc.
Bah la c'est exactement pareil. Ton trousseau est crypte, c'est justement pour ne pas se soucier de la confiance que tu as du fournisseur assurant son stockage ou son transfert.
Sinon tu n'utilises pas de cryptage, pas Internet et tu eteins vite ton ordinateur.
[^] # Re: Password manager
Posté par totof2000 . Évalué à 5.
1/ Tu aurais du lire ce que j'ai ecrit plus haut(omission dans mon premier message).
2/ il y a des informations que je ne mets pas en ligne, des conversations que je préfère ne pas avoir au téléphone, etc … J'évite par exemple de consulter mon compte bancaire en ligne lorsque je suis chez un client, chez mon employeur, ou sur une machine que je ne maitrise pas ( voir http://www.wired.com/threatlevel/2010/03/packet-forensics/ par exemple).
Là on parle quand même d'un trousseau de clé, pas d'une seule clé qui serait stockée sur un seul serveur chez un fournisseur parmis d'autres : c'est loin d'être anodin et c'est un sujet à ne pas prendre à la légère. Tu as peut-être raison sur la confiance que l'on peut accorder à certains prestataires (ou pas). Personnellement, je n'ai pas pris le temps de vérifier un minimum, donc pour le moment je préfère laisser ça chez moi (mais si j'ai un peu de temps, ou que le besoin se fait sentir, je reconsidèrerai peut-être les choses. A remarquer qu'avant de faire mon premier achat en ligne, je me suis renseigné sur le niveau de sécurité et la confiance que je peux accorder à ce genre de transaction, et surtout au recours que je pouvais avoir auprès de ma banqyue en cas d'utilisation frauduleuse de mes données bancaires.
[^] # Re: Password manager
Posté par fredix . Évalué à 3.
perso j'utilise un fichier keepassx (chiffré) qui est stocké dans un répertoire encfs (chiffré) dans dropbox. Et j'utiilise keepassdroid sur le smartphone.
[^] # Re: Password manager
Posté par Nicolas Blanco (site web personnel) . Évalué à 1.
T'as des extensions navigateurs pour generer des mots de passe a la volee lorsque tu t'enregistres sur un nouveau site et les stocker directement dans ton trousseau, faire de l'auto-fill de forms, etc ?
Parce que c'est generalement ce genre de choses qui sont les killers-features de la plupart des solutions commerciales… sans compter que la plupart permettent de gerer la multi-identite (ex. : un compte Paypal perso + pro, etc.).
[^] # Re: Password manager
Posté par fredix . Évalué à 2.
non les extensions browsers sont en général associé à un service cloud. Donc je génère un pass via keepassx, c'est moins pratique qu'une extension mais plus sur. L'idéal serait une extension qui arrive à interagir avec le keepassx, mais c'est peut etre pas possible.
[^] # Re: Password manager
Posté par Nicolas Blanco (site web personnel) . Évalué à 1.
De ce que je connais :
L'extension de 1password ne communique qu'avec le soft installe en local.
Et Dashlane propose une option pour ne synchroniser qu'en local. A tester.
Lastpass oblige a utiliser leur cloud.
http://keefox.org a tester. Je suis ouvert aux retours d'xp sur cette extension.
[^] # Re: Password manager
Posté par nozof . Évalué à 2.
KeepassX fait "l'auto-fill de forms" et te pose la question pour les multi-identiés
[^] # Re: Password manager
Posté par sifu . Évalué à 1.
Du coup, comment fait tu sur ton SmartPhone pour décrypter le encfs ?
J'avais cru comprendre qu'il fallait un téléphone rooter.
Merci.
[^] # Re: Password manager
Posté par fredix . Évalué à 2.
le encfs dans dropbox me sert qu'à synchroniser des datas entre mes ordi, dont le fichier keepassx. J'ai une copie du fichier keepassx dans mon smartphone en dehors du dropbox. Ca me permet d'éviter de stocker le keepassx tel quel dans dropbox et j'accède ainsi au pass dropbox. Il faut juste synchroniser de temps en temps le keepassx du encfs vers le smartphone. C'est un peu batard mais bon je doute que la NSA ne vole mon smartphone pour récup mon keepassx chiffré en dehors du encfs.
[^] # Re: Password manager
Posté par neil . Évalué à 2.
Effectivement, impossible de stocker des mots de passe sur des cahiers manuscrits ou des clés USBs.
[^] # Re: Password manager
Posté par devnewton 🍺 (site web personnel) . Évalué à 2.
Dans mon portefeuille!
http://calliopesounds.blogspot.fr/2009/05/password-generator-i-can-remember.html
http://devnewton.bci.im/projects/passgrid/index
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Password manager
Posté par barmic . Évalué à 4.
La petite extension bien sympa pour voir où on en est dans notre utilisation des mots de passe :
https://addons.mozilla.org/en-US/firefox/addon/password-reuse-visualizer/?src=search
Évidement patrick_g en avait déjà parlé : https://linuxfr.org/news/deux-extensions-originales-pour-firefox
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Password manager
Posté par Pierre-Marie D . Évalué à 1.
A ce propos connaissez-vous un générateur de mot de passe qui fasse gestionnaire de mot de passe le tout sous forme de d'addon Firefox ?
Comment ça j'en demande beaucoup ? :-p
[^] # Re: Password manager
Posté par Nicolas Blanco (site web personnel) . Évalué à 1.
A tester : http://keefox.org qui permet a priori de faire interagir keepass avec firefox.
Sinon la totalite des solutions commerciales que j'ai cite plusieurs fois proposent des extensions pour Chrome et Firefox avec generateurs de mot de passe+autofill+synchro.
[^] # Re: Password manager
Posté par Pierre-Marie D . Évalué à 1.
Merci.
Je vais tester plusieurs solutions pour voir un peu ce que ça donne.
Déjà KeeFox c'est pas à la portée de tout le monde.
Il faut installer Mono et KeePass, copier un fichier dans le dossier d'install de KeePass (donc à prori : exit l'install de KeePass par paquet).
[^] # Re: Password manager
Posté par Pierre-Marie D . Évalué à 1.
Bon ben y a celui là déjà : https://addons.mozilla.org/en-US/firefox/addon/lastpass-password-manager/
Il a l'air bien complet.
[^] # Re: Password manager
Posté par Nicolas Blanco (site web personnel) . Évalué à -1.
Merci Pierre-Marie de l'info, si tu regardes mes commentaires plus en haut tu verras que je n'ai pas cité lastpass une seule fois.
[^] # Re: Password manager
Posté par Pierre-Marie D . Évalué à 1.
Sorry, j'ai commenté sans rafraîchir la page.
# La solution est pourtant simple !
Posté par vlamy (site web personnel) . Évalué à 1.
[^] # Re: La solution est pourtant simple !
Posté par ckyl . Évalué à 6.
Simple pour en retenir 1. Ca ne change pas fondamentalement le problème pour 100+.
[^] # Re: La solution est pourtant simple !
Posté par vlamy (site web personnel) . Évalué à 2. Dernière modification le 24 juillet 2013 à 15:25.
Tout à fait, mais ta remarque me fait penser : dois-je préciser que c'est ironique ?
Le second mot de passe n'est pas plus fort ! Lire l'excellent article d'arstechnica d'où j'ai (re-)pêché le lien qui explique, entres autres, comment casser en quelques minutes ce genre de mot de passe.
Il y est mentionné :
[^] # Re: La solution est pourtant simple !
Posté par téthis . Évalué à 6.
L’espéranto est la solution, encore une fois. :)
The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein
[^] # Re: La solution est pourtant simple !
Posté par oao . Évalué à 6.
Ou le language Skyblog. Corectchevalbaterrieaggrafe dans la langue de Molaire. Introuvable par attaque au dictionnaire.
[^] # Re: La solution est pourtant simple !
Posté par eingousef . Évalué à 8.
Ouais mais là faut avoir une dent contre le français.
*splash!*
[^] # Re: La solution est pourtant simple !
Posté par Jean-Philippe Garcia Ballester (site web personnel) . Évalué à 2.
Je n'ai pas compris ça en lisant l'article, tu peux développer ?
[^] # Re: La solution est pourtant simple !
Posté par vlamy (site web personnel) . Évalué à 4. Dernière modification le 24 juillet 2013 à 16:24.
Sur la troisième page. Le principe résumé :
Donc en gros une combinaison de mots « simples » est à peine plus dure à casser qu'un mot simple.
Il y a plein d'exemples en plus, ce que je trouve génial pour comprendre.
Prenons « Apr!l221973, » : si tu as la date « 22 avril 1973 » dans ta base, l'attaque par combinaison va péter le mot de passe rapidement (tout est relatif bien sûr).
Notez l'excellent « You won't ever find it using brute force. » cassé en quelques secondes.
[^] # Re: La solution est pourtant simple !
Posté par Jean-Philippe Garcia Ballester (site web personnel) . Évalué à 2.
Je ne vois pas en quoi cela permet de casser les mots de passe de type xkcd. Ce que tu cites ne marche que pour les mot de passes faits à partir de deux mots du dictionnaire.
L'argument du xkcd, c'est justement de dire que si tu prends assez de mots, même sans aucune modification, la taille de l'espace des possibles devient trop grand pour pouvoir retrouver le mot de passe.
[^] # Re: La solution est pourtant simple !
Posté par vlamy (site web personnel) . Évalué à 2. Dernière modification le 24 juillet 2013 à 16:39.
Évidemment, la longueur du mot de passe influe forcément sur la difficulté de cassage. Et ce que tu dis est juste, mais à nuancer !
Simplement, il faut prendre beaucoup de mots, ou des mots peu courants. Car il faut garder à l'esprit que les « mots » dont on parle là ne sont pas les mots littéraux. En gros : « I love you my honey » correspond à un mot du dictionnaire de hash, au même titre que « I », « love », « you », « my » et « honey », dans la mesure où toutes ces expressions sont courantes dans les mots de passe.
Un truc du genre « endogène pendiculation nonobstant » doit être plus dur à casser !
Enfin, c'est ce que j'en ai compris en tout cas.
[^] # Re: La solution est pourtant simple !
Posté par Jean-Philippe Garcia Ballester (site web personnel) . Évalué à 1.
Oui, j'entends bien. C'est pour cela qu'il trouve iloveyousomuch, all of the lights, You won't ever find it using brute force (ce qui soit dit en passant est vrai puisqu'ils l'ont trouvé, mais pas par brute force), mais je ne vois pas en quoi cela contredit l'argument du xkcd et permet de trouver des compositions complètement aléatoires de quatre mots.
[^] # Re: La solution est pourtant simple !
Posté par vlamy (site web personnel) . Évalué à 3.
Non l'argument xkcd n'est pas mauvais, on montre juste qu'il a ses limites. Il est évident que de par la taille du mot de passe, le second est intrinsèquement plus costaud.
Mais la composition est réflexive, donc il ne faut pas se limiter à dire : « on compose deux mots pour craquer, moi j'en mets quatre alors je suis sauvé ! »
C'est une histoire de dictionnaire, donc tous les trucs courants sont indexés. Si le caractère « # » apparait aussi souvent que le mot « horsebattery », ce que je comprend c'est que « 123horsebattery4567 » est aussi costaud que « 123#4567 ». Et le mot « horsebattery » à été généré par composition de « horse » et de « battery ».
Ici, ni la longueur du mot de passe, ni le nombre de mots du dictionnaire littéral utilisés, n'influe sur la difficulté de cassage.
[^] # Re: La solution est pourtant simple !
Posté par Jean-Philippe Garcia Ballester (site web personnel) . Évalué à 3.
Je suis tout à fait d'accord avec presque tout ce que tu dis.
Pour l'argument xkcd n'est pas celui-ci. Il s'agit bien de prendre quatre mot complètement aléatoires et pas de choisir quatre mots (car dans ce cas effectivement il va y avoir des tendances qui vont apparaître et donc finir dans un dictionnaire).
Il ne me semble pas mis à mal par l'article donc.
[^] # Re: La solution est pourtant simple !
Posté par Marotte ⛧ . Évalué à 1. Dernière modification le 24 juillet 2013 à 19:47.
Le soucis c'est que si tu sais ou tu fais l'hypothèse que le mot de passe est un ensemble de mots (comme dans l'exemple XKCD) du dictionnaire faire :
semble facile et ne dois pas produire tant de possibilités que ça.
Je connais la formule mais je n'arrive pas à faire le calcul, bc n'apprécie pas trop que je lui demande la factorielle de 100000 (100000 c'est large, il doit pas y avoir autant de mots dans un dictionnaire donné). Si quelqu'un est plus doué que moi…
[^] # Re: La solution est pourtant simple !
Posté par Jean-Philippe Garcia Ballester (site web personnel) . Évalué à 1.
Ben non. C'est écrit dans le xkcd. Si tu veux tester toutes les permutations de quatre mots choisis parmi l'ensemble des mots, et que tu as un ensemble de 2048 mots (ce qui est supposé dans le xkcd), ça te fait 244 =~ 1012 possibilités.
[^] # Re: La solution est pourtant simple !
Posté par Marotte ⛧ . Évalué à 4. Dernière modification le 24 juillet 2013 à 20:07.
1012 soit le même nombre de possibilités qu'un mot de passe de 12 caractères qui ne contiendrait que des chiffres…
Je voudrais quand même faire le calcul en considérant de un à cinq mots sur un dictionnaire plus grand que 2048 mots.
Le mieux reste un mot de passe long avec chiffres/lettres/ponctuation. TrueCrypt par exemple recommande 25 caractères aléatoires minimum.
genre :
Moi perso je fais aussi long mais pas tant aléatoire… Et encore, ici pour linuxfr il ne fait que 12 caractères…
[^] # Re: La solution est pourtant simple !
Posté par Jean-Philippe Garcia Ballester (site web personnel) . Évalué à 2.
Ben si tu as n mots dans ton dictionnaire ça fait n + n2 + n3 + n4 + n5
Donc complètement impossible à retenir.
Comme l'a très bien dit vlamy plus haut, le problème c'est pas la taille, c'est la quantité d'aléatoire. Du coup c'est pas impossible que ton mot de passe soit moins fort qu'un mot de passe de 12 caractères qui ne contiendrait que des chiffres…
À toi de bien calculer la quantité d'aléatoire que tu utilises pour ta méthode.
[^] # Re: La solution est pourtant simple !
Posté par Marotte ⛧ . Évalué à 1.
Bah oui je suis con :/ En fait chaque mot peut être considéré comme un caractère.
En se forçant (en l'apprenant par cœur quoi) c'est pas impossible. Mais si on doit en retenir plusieurs effectivement…
Je pense qu'un bon compromis et d'inventer des mots et ajouter quelques trucs…
Exemples :
Ça fait 14 caractères plutôt aléatoires, mais facile à se souvenir.
Pour en revenir à linuxfr je pense que mon mot de passe doit pouvoir être brute-forcé assez rapidement, je fais confiance aux admins pour d'une part ne pas usurper mon identité et d'autres part sécuriser un peu les hashs des mots de passe :) Et oui, je suis peut-être trop confiant…
[^] # Re: La solution est pourtant simple !
Posté par jben . Évalué à 3.
Oh que non, une chaîne de Markov d'ordre 1 basée sur des transitions sur le clavier peut générer cela très facilement…
[^] # Re: La solution est pourtant simple !
Posté par Marotte ⛧ . Évalué à 2.
J'ai bien aimé l'exemple de Doudou le hamster sur http://fr.wikipedia.org/wiki/Cha%C3%AEne_de_Markov :) Je ne connaissais pas.
Par contre quand tu dis basée sur des transitions sur le clavier tu veux dire que l'on peut (définir une matrice Markov ?) en se basant sur les lettres les plus utilisées et leur enchaînements les plus probables ? Par exemple si la première lettre est un 'L' la deuxième sera un 'a' à 20%, un % à 2%, etc… ?
Sur quoi se base-t-on pour définir ces probabilités de départ ?
[^] # Re: La solution est pourtant simple !
Posté par oao . Évalué à 2.
Pour générer les probabilités, il suffit de demander à quelqu'un de taper sur le clavier "aléatoirement".
[^] # Re: La solution est pourtant simple !
Posté par Marotte ⛧ . Évalué à 2.
Je suppose que pour avoir des probabilités valables, qui peuvent fonctionner souvent et efficacement il faut demander à beaucoup de personnes.
Par contre c'est clair que les répétitions de caractères ou même de types de caractère doivent être assez communes (ou le fait d'alterner voyelles et consonnes quand on veut un truc mémorisable par exemple).
Si je veux pas de warning sur http://www.passwordmeter.com il ne faut pas mettre deux types de caractère côte à côte. Un truc comme
Est déjà mieux :)
[^] # Re: La solution est pourtant simple !
Posté par Frank-N-Furter . Évalué à 2.
Keyboard walking
Depending on the time of day, the French go either way.
[^] # Re: La solution est pourtant simple !
Posté par jben . Évalué à 4. Dernière modification le 24 juillet 2013 à 21:40.
Le xkcd suppose 16 bits d'entropie, donc pour un tirage uniforme on suppose une taille de dictionnaire de 65536. Et 2164 = 264 = 1.8 1019. Ça correspond à un mot de passe pris aléatoirement de manière uniforme dans [A-Za-z0-9]+ de 10.7 caractères.
[^] # Re: La solution est pourtant simple !
Posté par Jean-Philippe Garcia Ballester (site web personnel) . Évalué à 2.
Ça c'est pour la première méthode de génération de mot de passe. Pour la méthode facile à retenir chaque mot apporte 11 bit. Le dictionnaire supposé fait donc bien 211 mots.
[^] # Re: La solution est pourtant simple !
Posté par glattering . Évalué à 1.
Si je comprends bien, a partir du moment ou un mot est dans le dictionnaire, il compte comme un caractere normal du point de vue de la complexite.
[^] # Re: La solution est pourtant simple !
Posté par Boa Treize (site web personnel) . Évalué à 2.
XKCD a popularisé cette méthode sans forcément bien l'expliquer (il n'y a qu'à voir la discussion ici, qui est similaire à la plupart des discussions qui ont lieu lorsque ce XKCD est posté). Peu de gens comprennent que la solidité de la méthode est dans le tirage aléatoire des mots, et pas dans la longueur du résultat produit.
XKCD
a repompés'est fortement inspiré de Diceware, qui est certainement moins sexy (bon vieux design d'il y a 18 ans), mais qui donne nettement plus de détails et d'explications, dans l'article principal mais également dans sa FAQ.Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.