3 membres en ligne. Connectez-vous !

Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Recherche dans le sujet
Piratage informatique
#1
1
Eldiablo9903
0
Un sujet qui servira à tout lecteur de ce forum.

https://www.nouvelobs.com/societe/202102...enant.html

Citation :### Pourquoi vous devez changer votre mot de passe, tout de suite et maintenant ###
Une gigantesque base de données de 3,28 milliards de e-mails-mots de passe vient d’être publiée sur internet. Et il y a fort à parier que vous êtes dedans !
Répondre
#2
3
géotrouvetout
Pyro
Raska
0


Pirates !
go chier sur l'épaule d'un géant
Répondre
#3
1
PonyClub
0
ouaip, enfin c'est toujours la même base qui ressort... et qui n'est pas mise à jour... donc si tu as déjà changé tes mots de passes 3 ou 4 fois en prenant soin de ne pas réutiliser les anciens t'es à peu près tranquille.

Sinon il y as la solution de facilité : 2FA ( 2 Factor Authentication ) avec un générateur de code sur le téléphone et/ou la tablette. ( en complément du mot de passe )
( partout ou c'est possible... c'est pas possible sur tout les site, mais si la solution est offerte il faut le faire )
Répondre
#4
1
rustylover
2
choco
Tanière
(Mer. 17 Fév. 2021, 14:40)Xalran a écrit : Sinon il y as la solution de facilité : 2FA ( 2 Factor Authentication ) avec un générateur de code sur le téléphone et/ou la tablette. ( en complément du mot de passe )
( partout ou c'est possible... c'est pas possible sur tout les site, mais si la solution est offerte il faut le faire )

Comme ça, on te récupére aussi ton numéro de téléphone.
Malin !
https://www.facebook.com/photographie.souterraine/
"Les catacombes disparaîtront sous les injections. Les cataphiles disparaîtront sous leurs déjections" (Nostradamus)
Répondre
#5
0
0
Y a pas les mots passe en clair dans tous ces leaks (voire pas de mot de passe du tout)
Si vous avez des mots de passe un peu plus robustes que azerty ou la date de naissance du chien, y a pas grand chose à craindre.
Répondre
#6
1
Raska
0
(Mer. 17 Fév. 2021, 15:07)Atreyu a écrit : Y a pas les mots passe en clair dans tous ces leaks (voire pas de mot de passe du tout)
Si vous avez des mots de passe un peu plus robustes que azerty ou la date de naissance du chien, y a pas grand chose à craindre.

Ce qui est faux.
Comme y'a des gens qui font du golf, y'a des gens qui font de l'extraction de mots de passe en clair de ces fuites... et des mots de passes très élaborés sont souvent trouvés.



Quelques bons conseils à répéter partout :

  1. Un bon mot de passe ne change que quand y'a des fuites et surtout n'est jamais réutilisé à deux endroits.
  2. La seule manière de choisir un bon mot de passe, c'est tiré au hasard, avec un logiciel dédié ou simplement des dés¹.
  3. Le seul truc pratique pour les mots de passe, c'est vraiment d'utiliser un gestionnaire de mots de passe.
Propagez la bonne parole : si un de vos proches ne retient ne serait-ce que deux de ces conseils, il sera moins exposé que la plupart des gens !




Pour les anglophones, je recommande la lecture de cet article qui parle de cette fuite en particulier : The 773 Million Record "Collection #1" Data Breach

Pour le 2FA (téléphone, QR-codes) à utiliser pour tout ce qui est critique (banque, mail, impôts, ...) autant que possible, mais pas toujours possible.

¹pour les curieux, c'est que le seul mot de passe qu'un attaquant ne peut pas deviner est celui qui est tiré au hasard²
²l'ordre de grandeur du « hasard minimum³
» est cinq mots tirés au hasard avec 4 dés dans une liste de 6x6x6x6 de mots (~1300 mots)
³le maximum « raisonnable » est avec six ou sept dés – ce qui équivaut à environ 12 minuscules / majuscules / chiffres tirés au hasard
go chier sur l'épaule d'un géant
Répondre
#7
1
Xalran
1
2006
(Mer. 17 Fév. 2021, 16:42)2006 a écrit :
(Mer. 17 Fév. 2021, 15:07)Atreyu a écrit : Y a pas les mots passe en clair dans tous ces leaks (voire pas de mot de passe du tout)
Si vous avez des mots de passe un peu plus robustes que azerty ou la date de naissance du chien, y a pas grand chose à craindre.

Ce qui est faux.
Comme y'a des gens qui font du golf, y'a des gens qui font de l'extraction de mots de passe en clair de ces fuites... et des mots de passes très élaborés sont souvent trouvés.



Quelques bons conseils à répéter partout :

  1. Un bon mot de passe ne change que quand y'a des fuites et surtout n'est jamais réutilisé à deux endroits.
  2. La seule manière de choisir un bon mot de passe, c'est tiré au hasard, avec un logiciel dédié ou simplement des dés¹.
  3. Le seul truc pratique pour les mots de passe, c'est vraiment d'utiliser un gestionnaire de mots de passe.
Propagez la bonne parole : si un de vos proches ne retient ne serait-ce que deux de ces conseils, il sera moins exposé que la plupart des gens !




Pour les anglophones, je recommande la lecture de cet article qui parle de cette fuite en particulier : The 773 Million Record "Collection #1" Data Breach

Pour le 2FA (téléphone, QR-codes) à utiliser pour tout ce qui est critique (banque, mail, impôts, ...) autant que possible, mais pas toujours possible.

¹pour les curieux, c'est que le seul mot de passe qu'un attaquant ne peut pas deviner est celui qui est tiré au hasard²
²l'ordre de grandeur du « hasard minimum³
» est cinq mots tirés au hasard avec 4 dés dans une liste de 6x6x6x6 de mots (~1300 mots)
³le maximum « raisonnable » est avec six ou sept dés – ce qui équivaut à environ 12 minuscules / majuscules / chiffres tirés au hasard

Non, c'est faux. Tes trucs ne servent qu'à faire des bons mots de passe CONTRE les ordinateurs qui essaient la force brute ou bien les pirates.
Mais, je suis désolé, "esrlmrkj563$$£-_dsore"  est un mauvais mot de passe, car les humains ne peuvent pas s'en souvenir.

Un bon mot de passe doit associer la facilité de mémorisation ET la complexité syntaxique, tout en n'ayant aucun nom propre ou mot du dictionnaire.
Ainsi, écrire une phrase, avec des chiffre pour remplacer les articles, et un point à la fin par exemple, peut constituer un bon mot de passe.
Exemple : Ma1ereMobyletteEtait1PeugeotBleue.

On peut faire plus court bien-sûr...
Répondre
#8
0
0
Pour le coup ton mon de passe contient plein de noms du dictionnaire.

Moi j'aurais plutôt mis:

m41ereM0b1l3ttEétaiTbl3uE!
Attention, il m'arrive fréquemment de dire des conneries. Mais heureusement je suis capable de le reconnaître !
Répondre
#9
0
0
(Mer. 17 Fév. 2021, 18:36)saintloup a écrit : Non, c'est faux. Tes trucs ne servent qu'à faire des bons mots de passe CONTRE les ordinateurs qui essaient la force brute ou bien les pirates.
Mais, je suis désolé, "esrlmrkj563$$£-_dsore"  est un mauvais mot de passe, car les humains ne peuvent pas s'en souvenir.

Je suis d'accord, l'exemple que tu donnes est un mauvais mot de passe, pour deux raisons :

  1. Tu dois t'en souvenir, alors que tu devrais utiliser un gestionnaire de mot de passe.
  2. Tu n'as manifestement pas utilisé du hasard pour le fabriquer... et maintenant tout le monde est au courant !
Mais ce n'est pas un mot de passe que l'on peut choisir avec une bonne méthode qui utilise du hasard.


J'insiste que le choix d'un mot de passe doit se faire avec du hasard. La seule manière d'être « difficile à deviner » est de contenir beaucoup de hasard...

...tout le reste, l'attaquant sera plus malin que toi ou moi, dans tous les cas.  Wink

(Mer. 17 Fév. 2021, 18:36)saintloup a écrit : Un bon mot de passe doit associer la facilité de mémorisation ET la complexité syntaxique, tout en n'ayant aucun nom propre ou mot du dictionnaire.
Ainsi, écrire une phrase, avec des chiffre pour remplacer les articles, et un point à la fin par exemple, peut constituer un bon mot de passe.
Exemple : Ma1ereMobyletteEtait1PeugeotBleue.

On peut faire plus court bien-sûr...

La phrase est une recommandation ancienne, on préfère Diceware ou similaire aujourd'hui !

La méthode que l'on recommande beaucoup aujourd'hui :

  1. Je choisis un seul mot de passe fort au hasard (avec des dés) et j'ai une histoire : ChevalCorrectBatterieAgrafeusePlafond (un cheval correct à batterie agrafeuse au plafond)
  2. J'utilise un gestionnaire de mot de passe pour tous les autres mots de passe, qui lui saura mieux que moi choisir et retenir mes mots de passe.
Il faut prendre l'habitude, mais se sentir bien sur internet commence avec de bons mots de passe ! Smile



Par exemple, pour mon métier qui implique beaucoup de gestion de mot de passe dont dépendent beaucoup de choses, j'ai donc un gestionnaire de mot de passe déverrouillé par 5 mots choisis au hasard dans une liste de 700k mots. J'ai certains collègues qui déverrouillent leur gestionnaire avec une clé physique FIDO pour ajouter à la paranoïa mais aucun j'espère qui utilise des caractères étranges ou choisit des mots de passes compliqués à retenir...

...et pour les curieux, quand j'ai besoin d'un mot de passe court, par exemple pour mon téléphone, j'utilise un seul mot (ou deux) tiré au hasard dans la liste.
go chier sur l'épaule d'un géant
Répondre
#10
0
0
(Mer. 17 Fév. 2021, 15:06)gaspard duval a écrit :
(Mer. 17 Fév. 2021, 14:40)Xalran a écrit : Sinon il y as la solution de facilité : 2FA ( 2 Factor Authentication ) avec un générateur de code sur le téléphone et/ou la tablette. ( en complément du mot de passe )
( partout ou c'est possible... c'est pas possible sur tout les site, mais si la solution est offerte il faut le faire )

Comme ça, on te récupére aussi ton numéro de téléphone.
Malin !

je crois que t'as pas compris... le numéro de téléphone n'a rien à voir la dedans ( surtout sur une tablette qui n'a pas de SIM ).
Avant d'utiliser une appli sur le téléphone on se baladait avec une calculette RSA SecureID ( ou assimilé ).
[ certaines fois plus... a une époque les semaines d'astreinte j'en avais 3 en plus de celle du bureau, pour pouvoir me connecter chez Orange, SFR et Bouygues... ]


il y as une opération à faire au début ( synchroniser l'appli 2FA avec le site ou tu l'actives en entrant un code ou en flashant un QR Code ) qui n'implique pas de fournir son numéro de teléphone.

Par exemple au bureau on utilises Symantec VIP Access ( ouaip c'est un App, avant on avait une Secure Card ( HardToken ) et/ou une autre app ( SoftToken ) ) pour l'initialiser il faut qu'on se connectes depuis le PC du bureau à un site web interne, sur le téléphone après le téléchargement de l'App on as un code. il faut qu'on entre ce code sur le site en question et voila notre App authentifiée. 
quand je veux me connecter depuis Internet sur les sites webs du bureau il faut que j'entre mon login/password et un code en provenance de cette App ( et comme je l'ai installée sur un téléphone et deux tablettes je peux indifférement donner un code en provenance d'une des trois sources )

il y as la même chose pour tout un tas de site webs... et tu peux utiliser diverses applications pour générer les code à usage unique ( ca va de Google Authenticator à Symantec VIP Access en passant par SteamGuard ( pour Steam ) ).
Répondre
#11
1
Raska
0
(Mer. 17 Fév. 2021, 15:07)Atreyu a écrit : Y a pas les mots passe en clair dans tous ces leaks (voire pas de mot de passe du tout)
Si vous avez des mots de passe un peu plus robustes que azerty ou la date de naissance du chien, y a pas grand chose à craindre.

C'est pas très vrai, dans un ancien leak, qui se retrouve aussi là dedans j'ai un mdp un peu plus costaud qui avait fuité quand même. Bon j'ai plus de soucis mais c'est pas seulement une question de caractères, c'est aussi des sites sur lesquels on les utilise. Le gros risque c'est surtout d'utiliser un seul et même mot de passe partout. En prenant le mot de passe les hackers de base font le tour des sites pour en trouver un où la carte bancaire est enregistré.
Ça va, ça va, ça va, j’ai compris, j’ai pigé, j’ai pigé ! Merde, je pige plus.
Répondre
#12
1
Skara
0
Citation :J'utilise un gestionnaire de mot de passe pour tous les autres mots de passe, qui lui saura mieux que moi choisir et retenir mes mots de passe.
Oui mais non. 
Tous les mots de passes ne protègent pas l'accès au compte root du serveur central de la Banque de France. Parfois, tu veux juste te connecter à ton compte Netflix chez un ami, ou consulter tes emails sur un PC libre d'accès en vacances, dans un webcafé (oui je sais les keylogger, touça..). Tu n'es pas toujours en permanence sur TON pc d'informaticien.
Je parle de l'usage courant, des personnes lambda, qui elles, souvent, utilisent des codes bien trop simples, et rechignent à utiliser un mot de passe vraiment complexe.
Je persiste et signe avec ma mobylette bleue. C'est pas l'idéal, mais bien mieux que toto1234.
Répondre
#13
1
BiBi
0
(Jeu. 18 Fév. 2021, 13:20)saintloup a écrit :
Citation :J'utilise un gestionnaire de mot de passe pour tous les autres mots de passe, qui lui saura mieux que moi choisir et retenir mes mots de passe.
Oui mais non. 
Tous les mots de passes ne protègent pas l'accès au compte root du serveur central de la Banque de France. Parfois, tu veux juste te connecter à ton compte Netflix chez un ami, ou consulter tes emails sur un PC libre d'accès en vacances, dans un webcafé (oui je sais les keylogger, touça..). Tu n'es pas toujours en permanence sur TON pc d'informaticien.
Je parle de l'usage courant, des personnes lambda, qui elles, souvent, utilisent des codes bien trop simples, et rechignent à utiliser un mot de passe vraiment complexe.
Je persiste et signe avec ma mobylette bleue. C'est pas l'idéal, mais bien mieux que toto1234.

Je persiste et signe que le hasard devrait être le seul critère de choix de mot de passe. Wink 

Les gestionnaires de mot de passe qui sont utilisables par tout un chacun (sur mobile ou en ligne) et à défaut, un carnet papier de mots de passe à la maison et sur soi suffit.

Y'a évidemment d'autres manières de fonctionner, mais un mot de passe « Netflix » tranquillou avec deux mots au hasard sera meilleur qu'une mobylette bleue.  Cool
go chier sur l'épaule d'un géant
Répondre
#14
3
elsantos
saintloup
Skara
0
Si il tombe sur mobylette bleue en choisissant au hasard c'est vraiment pas de bol.
Répondre
#15
0
2
2006
Beach
Citation :Je persiste et signe que le hasard devrait être le seul critère de choix de mot de passe. Wink 

Les gestionnaires de mot de passe qui sont utilisables par tout un chacun (sur mobile ou en ligne) et à défaut, un carnet papier de mots de passe à la maison et sur soi suffit.


bah non, encore plus non. Devoir ouvrir son téléphone pour se rappeler de ses mots de passe, c'est juste un handicap de plus. Quand à conseiller aux gens d'avoir un carnet chez soi à la maison où ils sont notés... c'est... comment dire ? 

Absurde ? Obsolète ? A côté de la plaque ?

Aucun mot de passe n'est parfaitement inviolable. Si tu as le titulaire du compte sous la main et que tu le travailles doucement au fer blanc , le gars te livrera certainement son petit carnet avec célérité. Quant à avoir un truc hyper long avec des  caractères unicodes invisibles, voire pourquoi pas une paire de clés ssh ... pour simplement se connecter à un compte email bateau où ne transite aucune info sensible, c'est, encore une fois décalé et à côté de la plaque.

Tout dépend de ce qu'on veut protéger, il n'y a pas de règles absolue. Ainsi, quand j'ouvre un partage de connexion avec mon téléphone pour 5 minutes, le mot de passe est précisément : "toto1234"*. Aucun intérêt dans ce cas précis d'avoir un mot de passe complexe...

* depuis le début du thread, j'ai livré deux de mes mots de passe, hackers de tous les pays, unissez-vous !
Répondre




Utilisateur(s) parcourant ce sujet : 3 visiteur(s)