Jump to content

"Collection#1", la liste aux plus de 773 millions d'email piratés


Alchimi

Recommended Posts

Alors, je ne veux pas faire mon parano, mais faire confiance à un logiciel dont on n'a pas accès aux sources pour avoir accès à l'intégralité de sa vie numérique, c'est quand même osé. Qu'est-ce qui me dit que la NSA n'y a pas mis une backdoor?

  • Yea 3
Link to post
On 1/21/2019 at 3:41 PM, L'affreux said:

J'ai essayé pour voir : "jojo lapin va au marché"

 

image.png

 

 

Mais c'est un très bon mot de passe.. sauf quand il est publié sur un forum.

 

Link to post
6 hours ago, cedric.org said:

Alors, je ne veux pas faire mon parano, mais faire confiance à un logiciel dont on n'a pas accès aux sources pour avoir accès à l'intégralité de sa vie numérique, c'est quand même osé. Qu'est-ce qui me dit que la NSA n'y a pas mis une backdoor?

Ça reste le meilleur compromis. 

 

De toute façons si la NSA veut te hacker...

 

 

Link to post

Sinon un programme crypté dédié à ça style une blockchain ou un registre excel crypté? (Si une blockchain ne permet pas du tout d'avoir une base de donnée cryptée me tapez pas, je ne suis pas ingé en progra).

Link to post
32 minutes ago, cedric.org said:

 

Euh non. Le meilleur compromis c'est un logiciel libre avec build reproductible.

Ben tu peux juste crypter ton fichier de password avec ton implantation d'un algo crypto. Que ton OS soit remplie de backdoors tu n'y peux rien. C'est pire au niveau du Hardware. 

Link to post

Malheureusement, il y a effectivement toujours une limite à se fier à une code extérieur, car l'organisme de création et celui de contrôle peuvent évidemment être de mèche sur la mise en oeuvre d'un backdoor. De plus le libre ne démontre rien, un backdoor, c 'est d'abord une démarche complexe de construction de la faille dans le code, donc on compte (à mon avis) plus sur le niveau de compétence du contrôleur que sur la réelle capacité à avoir un code safe.

 

Sinon il y a keepass qui est préconisé par l'ANSSI, voir phrase du dessus :)

 

Sans être développeur, j'ai demandé à mon frangin qui a construit une petite sécurité perso à ce sujet, et ce qu'il en ressort c'est que de toute façon, si le password peut être dupliqué par l'intermédiaire du programme vers un autre ( du genre écrire le pass crypté en automatique avec lastpass) c'est mort pour la confiance, car il y a obligatoirement une possibilité d'interception de la part d'un tiers mal-intentionné. Mais vu que si on écrit soi même on est toujours à la solde d'un potentiel keylogger ( qui sauve la frappe dans un fichier , donc); c'est mort aussi. Donc , il y a de toute façon une limite à la confiance que l'on peut donner à la conception d'un verrouillage par password quoi qu'il arrive ... Et ce sans compter qu'on ne rentre pas dans la discussion d'un backdoor hardware: Ca se trouve on envoie tous la totalité de notre frappe à Intel ou son sous-fifre chinois.

Et il semble que le 2 factor anthentification soit maintenant piraté aussi:  https://www.csoonline.com/article/3272425/authentication/11-ways-to-hack-2fa.html

Du coup, malgré mon sentiment de viol IT pur et simple,  j'ai regardé un peu ce qu'il se dit sur les pass et l'enthropie pour construire un vrai mot de passe, donc here my 2 cents:

- D'un point de vue puissance brute il semble que 12 caractères suffisent encore. 8 caractère c'est mort, il y a des démos sur youtube (computerphile). Par contre il faut bien utiliser la totalité du spectre. Ensuite l'enthropie a l'air de s'exprimer non seulement en quantité de caractères, mais aussi en position: 34a vaut moins que 3a4.

On sait grâce à HaveIbeenpwned qu'il y a 22 millions de pass unique pour 700 millions de comptes, et on comprend donc pourquoi il est essentiel de construire des dictionnaires, côté hackers. donc les mots du dictionnaire sont maintenant en cours d'analyse, et construire des phrases tel que préconisé par xkcd est maintenant discutable: le problème avec lapetitemaisondanslaprairie c'est que non seulement la phrase est connue, mais les mots qui la composent sont tous dans les 1000 premiers de la langue française, donc leur variabilité est très faible: tester toutes les variantes d'une chaine de 3 mots dans une liste de 1000 ne prend qu'une seconde.
 

In fine il me semble donc que les préconisations modernes sont:

- 12 caractères mini

- pas de mots trop connus (genre dexeryl ca passe)

- pas de mots/noms actuels (bon ben dexeryl ca passe plus, c'est un top 1000 produits de conso sans problème)

- aucune référence extérieure. (exemple:mon vieux pass est une variation d'une clé pirate de windows 98: Pwned, malheureusement bien que ca soit CKHWM3WXVT7GKC2, je me sentais confiant ...)

- obliger de varier dans "a A 1 ! " pas seulement "a 1"

- et dans tous les cas, ne pas ressembler, même de loin,  à la liste des 22 millions de pass connus.

OU

 

40 caractères :)

 

OU

 

Lastpass en espérant que ce soit pas des nazis aux commandes.

 

Et enfin (sorry pour la longueur du message) sécurisation simple de tous les jours: vous recherchez "inscription" dans votre gmail, et vous SUPPRIMEZ tous les messages :) (ca marche aussi avec "carte d'identité", "documents", etc.) car il y a rien de pire que de se faire ouvrir son gmail.

 

  • Yea 2
  • Ancap 1
Link to post

Pour tester les emails, il y a un site encore plus puissant que pwnd: https://sec.hpi.de/ilc/search?lang=de

 

il s'agit d'un site de l'université de Potsdam, vous pouvez y aller tranquille. L'avantage c'est qu'il vous dit de quels sites web proviennent les comptes piratés associés à votre email. Perso le site du gars de MS ne m'avait détecté aucun leak, celui-ci m'en a filé une belle tripotée!

Link to post
  • 1 year later...

Coucou,

 

En ce nouveau monde post covid post 2020, je vous suggère de changer rapidement vos mots de passe:

image.thumb.png.cfd47894f5413db7202b239ca6c1e138.png

On peut voir en bas qu'une nouvelle collection a fait son apparition.

La ou ça craint c'est qu'il semblerait que la liste contienne les passwords EN CLAIR.

 

Cette alerte vient du fait qu'apple vient de m'envoyer que mon pass de 9 caractères a été cracké par un type a l'autre bout du monde qui a soi disant un iphone 4S. Vu qu'il faut encore un peu de temps pour tester 9 caractères, c'est que le password se ballade.

 

Du coup après 10 ans a remettre au lendemain ce travail fastidieux, je me lance dans keepass, on verra bien :D

Link to post

Du coup je check et me rappelle que Google fait lui aussi une vérification des tous les mdp (il m'a trouvé que le compte d'une Application mobile avait été compromis), et jeme rends compte que même Chrome se targue d'une petite fenêtre quand tu te connectes à un compte compromis

cool

image.png.da8a8fca38750cf5a52f2938281c0bff.png

Link to post
5 hours ago, Prouic said:

En ce nouveau monde post covid post 2020, je vous suggère de changer rapidement vos mots de passe

 

Merci pour ce rappel.  Une de mes adresses mail apparait dans 6 "breach", mais seulement 2 contiennent le mot de passe.  Je les ai changés.

 

J'utilise Password Safe qui est le gestionnaire de mdp recommandé chez mon employeur.  Pour mon boulot j'ai plusieurs centaines de mdp en magasin, pas question de les mémoriser tous, même avec un algorithme...

Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...