Le forum francophone de l'ukulélé

À propos du forum... => Infos et questions techniques concernant le forum => Problèmes résolus => Discussion démarrée par: Briuke le 23 mai 2021 à 02:07:37

Titre: Fuite de données
Posté par: Briuke le 23 mai 2021 à 02:07:37
Bonjour,
En me connectant, j’ai eu un message comme quoi mon mot de passe avait fait l’objet d’une fuite de données  et on me proposait d’en recréer un autre sur « le site ». Quelle conduite tenir ?
Titre: Re : Fuite de données
Posté par: jll074 le 23 mai 2021 à 05:16:33
Bonjour
je n 'ai pas eu ce message en me connectant ce matin .
Titre: Re : Fuite de données
Posté par: Garp84 le 23 mai 2021 à 07:08:06
Moi non plus.
J'ai eu il y a quelques semaines par google depuis un autre site de ukulele, mais rien a voir avec le forum.
Titre: Re : Fuite de données
Posté par: Plouf le 23 mai 2021 à 08:43:27
Bonjour Briuke,

Fort curieux...
Un message qui s'affiche à l'écran quand tu es sur une page du forum ? C'était en français ?

Je n'ai pas souvenir que l'on ait ce genre de message, je vais chercher dans les fichiers.

Pas de souci me concernant non plus, en tout cas.
Ne change ton mot mot de passe "sur le site" que si tu es bien certaine d'être sur ce site ukulele-forum.fr
Titre: Re : Fuite de données
Posté par: Briuke le 23 mai 2021 à 08:50:18
Cela s’est produit au moment de l’identification car j’étais déconnectée . Oui le message était en français. C’est peut être comme Garp un message de Google car Google proposait de créer le nouveau mot de passe.
Titre: Re : Fuite de données
Posté par: R i C o O le 23 mai 2021 à 08:55:32
Bonjour,
Moi aussi j’ai été averti par mon iPhone que mon mot de passe pour le site ukulélé.fr avait été compromis suite à une fuite de donnée, c’était il y a plusieurs semaines.
Ce n’est pas le site qui m’a prévenu mais mon iPhone, et le site était épinglé non pas car il avait été piraté mais par ce que mon mot de passe était identique à celui d’un autre compte qui lui avait été piraté.

J’ai du coup changé mon mot de passe (ainsi que sur TOUS mes comptes internet) pour avoir des mots de passe différents pour chaque compte. Ça a été du boulot !
Titre: Re : Fuite de données
Posté par: Briuke le 23 mai 2021 à 09:01:39
C’est un message sur i-phone effectivement mais pas aussi explicatif que celui de Ricoo.
Titre: Re : Fuite de données
Posté par: R i C o O le 23 mai 2021 à 09:07:22
Briuke, si tu utilises un mot de passe identique pour le forum et pour d’autres sites, il est probable que ton iPhone ne soit pas content et continue de t’envoyer la notification.
Soit tu t’en fiches, soit tu te lances dans le grand changement des mots de passe!

En tous les cas le site ukulélé.forum.fr n’est pas en cause .
Titre: Re : Fuite de données
Posté par: Briuke le 23 mai 2021 à 09:58:03
Merci Ricoo
Titre: Re : Fuite de données
Posté par: Plouf le 23 mai 2021 à 10:55:20
Merci Ricoo !

En effet, rien dans les fichiers du forum qui n'est donc pas l'auteur du message.
Titre: Re : Fuite de données
Posté par: Corinto le 23 mai 2021 à 10:58:29
Aucun message pour moi, ni sur l'iphone, ni sur le macbook.
Titre: Re : Fuite de données
Posté par: R i C o O le 23 mai 2021 à 11:07:43
Aucun message pour moi, ni sur l'iphone, ni sur le macbook.

Oui ce n'est pas obligatoire, l'iPhone ne prévient qu'en cas de problème de fuite de données.

Moi j'ai eu ce problème car je n'utilisais qu'un seul mot de passe pour TOUS mes comptes internet. En tous j'en ai plus de 100...
Il y a eu un problème de fuite de donnée pour un seul : du coup mon iPhone m'a donné plus de 100 alertes car le mot de passe qui avait été compromis à cause d'un piratage d'un site rendait vulnérable les mots de passe (enfin plutôt LE mot de passe) des autres sites.
Du coup je passe maintenant par une application de gestion de mot de passe que j'ai payé, mais j'ai quand même une sécurité importante pour mon utilisation et la protection de mes données.
Titre: Re : Fuite de données
Posté par: bernie le 23 mai 2021 à 11:14:11
voilà ce qu'on appelle un gestion sérieuse RicoO !

de mon côté et jusqu'ici, pas de message de ce genre non plus
Titre: Re : Fuite de données
Posté par: 3.14.RO le 23 mai 2021 à 14:57:44
Salut,
Oui ce n'est pas obligatoire, l'iPhone ne prévient qu'en cas de problème de fuite de données.

Moi j'ai eu ce problème car je n'utilisais qu'un seul mot de passe pour TOUS mes comptes internet. En tous j'en ai plus de 100...
Il y a eu un problème de fuite de donnée pour un seul : du coup mon iPhone m'a donné plus de 100 alertes car le mot de passe qui avait été compromis à cause d'un piratage d'un site rendait vulnérable les mots de passe (enfin plutôt LE mot de passe) des autres sites.
Du coup je passe maintenant par une application de gestion de mot de passe que j'ai payé, mais j'ai quand même une sécurité importante pour mon utilisation et la protection de mes données.
Oula ! Ça voudrait dire qu'Apple a connaissance de tous tes mots de passe !  :-w :eek: :trouille:

@+
Titre: Re : Fuite de données
Posté par: C UK le 23 mai 2021 à 18:40:08
Bonjour,
En me connectant, j’ai eu un message comme quoi mon mot de passe avait fait l’objet d’une fuite de données  et on me proposait d’en recréer un autre sur « le site ». Quelle conduite tenir ?

tu utilise le même mots passe sur plusieurs site?
Titre: Re : Fuite de données
Posté par: Em6 le 23 mai 2021 à 19:01:22
Salut,Oula ! Ça voudrait dire qu'Apple a connaissance de tous tes mots de passe !  :-w :eek: :trouille:

@+
mais aussi la CIA le Mossad ... le KGB ... biensur Google lui ne sait rien ;-)
Titre: Re : Fuite de données
Posté par: 3.14.RO le 23 mai 2021 à 19:10:30
Salut,

mais aussi la CIA le Mossad ... le KGB ... biensur Google lui ne sait rien ;-)
Oui, mais là, c'est quand même sous couvert d'un service officiel... donc l'Iphone enregistre, conserve et compare tous les mots de passe sans se cacher.
Donc quiconque d'un petit peu "technique" qui peut consulter les données de ton téléphone (et il y en a, surtout à travers les applications !) peut s'en servir pour organiser une fuite de données grâce à un service qui se prétend être une barrière (donc un peu le mec qui vole les maisons dans lesquelles il a installé une alarme).... et comme il sait comment il va se débrouiller que ça ne se voit pas surtout du service ad hoc !

@+
Titre: Re : Fuite de données
Posté par: Briuke le 23 mai 2021 à 19:51:47
Effectivement il y a qq jours je me suis inscrite sur le site monuments nationaux avec ce même mot de passe.
Titre: Re : Fuite de données
Posté par: C UK le 23 mai 2021 à 20:34:27
il existe une liste de mots passes et d'identifiants qui traine sur le net, google vérifie tes mots de passe pour voir si tu n apparait pas sur cette liste.
ça as du être le cas!
si tu va dans le paramètre de sécurité dans google tu peux checker tes mots de passe il me semble, voir si ils sont risqués ou pas.
Titre: Re : Fuite de données
Posté par: R i C o O le 23 mai 2021 à 20:34:34
Apple connaît les mots de passe qu’on enregistre sur le navigateur qu’on utilise (safari) car il les enregistre dans le trousseau, un coin sécurisé accessible par mot de passe, en ce qui me concerne, il faut que je sois présent près de l’ordi pour qu’il s’ouvre grâce à la proximité de mon Apple Watch.

Je pense que c’est comme ça que ça se passe aussi si on est pas chez Apple ?

On peut aussi retenir tous ces mots de passe par cœur ? Je n’en suis pas capable.

En revanche je me dis que je dois pouvoir supprimer mes mots de passe du trousseau d’Apple vu que j’ai une application de gestion de mots de passe… mais bon, du coup c’est l’application de mot de passe (Sesame) qui connaît mes mots de passe…

Bref, il faut bien les conserver qq part ? Tu préfères les noter dans un petit carnet Pierrot ?
Titre: Re : Fuite de données
Posté par: L'âne à tôles le 23 mai 2021 à 20:46:02
Juste une petite précision technique, les sites web vérifient que tu entres le bon mot de passe sans stocker ce dit mot de passe.

Pour cela, ils utilisent une fonction de hachage : https://fr.wikipedia.org/wiki/Fonction_de_hachage

Donc, non, les sites web ne connaissent pas nos mots de passe : ils peuvent juste vérifier que le mot de passe que tu tapes est valide ou non.

Après, pour les fuites de données, c'est la même chose, Apple crée un hash du mot de passe dans ton navigateur, et vérifie dans des bases de mots de passe fuités si ce hash s'y trouve. Il ne connaît logiquement pas le mot de passe (à part au moment du hash, dans le navigateur, bien sûr).

Pour plus d'infos : https://haveibeenpwned.com/Passwords
Titre: Re : Fuite de données
Posté par: R i C o O le 23 mai 2021 à 20:48:17
Merci pour ces précisions!
Titre: Re : Fuite de données
Posté par: Briuke le 23 mai 2021 à 22:19:41
Merci également
Titre: Re : Fuite de données
Posté par: 3.14.RO le 24 mai 2021 à 21:48:20
Salut,

Bref, il faut bien les conserver qq part ? Tu préfères les noter dans un petit carnet Pierrot ?
Heu, moi je n'ai rien dit sur le fait que tu utilises le même mot de passe.

Non pas de petit carnet, mais des moyens mnémotechniques selon des infos très personnelles (et surtout pas évidents) et surtout selon la nature des infos à protéger.
Que l'on me pique mon compte du forum ceci ne me sera que très peu préjudiciable (surtout que dire des conneries je sais le faire tout seul), si on me pique le mot de passe de ma messagerie professionnelle, il y a plus de risque.

Juste une petite précision technique, les sites web vérifient que tu entres le bon mot de passe sans stocker ce dit mot de passe.

Pour cela, ils utilisent une fonction de hachage : https://fr.wikipedia.org/wiki/Fonction_de_hachage

Donc, non, les sites web ne connaissent pas nos mots de passe : ils peuvent juste vérifier que le mot de passe que tu tapes est valide ou non.

Après, pour les fuites de données, c'est la même chose, Apple crée un hash du mot de passe dans ton navigateur, et vérifie dans des bases de mots de passe fuités si ce hash s'y trouve. Il ne connaît logiquement pas le mot de passe (à part au moment du hash, dans le navigateur, bien sûr).

Pour plus d'infos : https://haveibeenpwned.com/Passwords
Si une fonction de hashage permettait vraiment de sécuriser les données ça se saurait.

C'est d'un niveau très basique.

Non cela ne fait que changer la "forme" des infos à transmettre.

Plus on a d'info, plus il est facile de craquer une barrière.

Donc si l'Iphone (c'est quand même un terminal qui se promène partout et qui est facile à récupérer) possède un moyen de savoir que tous les mots de passe sont identiques, c'est une info assez capitale. Et s’il a un moyen de le savoir, ce ne sera pas difficile à quiconque possède l'envie et la compétence de s'en servir.

En sécurité, a fortiori informatique, il est une (des) règle(s) que l'information soit protégée en fonction de sa sensibilité, le temps qu'elle possède cette sensibilité.
Inutile de protéger un message "on attaque demain matin" après demain matin  ;)

Par contre, nos mots de passe donnent accès à des infos sensibles, voire plus que sensibles, qui évoluent se créent et se détruisent rapidement. Mais il y a toujours une info sensible quelque part.

Donc si le même mot de passe protège plusieurs données, sensibles ou moins, et qu'en plus on a une info comme quoi c'est le même mot de passe, là où la protection n'est pas très importante et donc moins verrouillée sera une porte d'entrée pour trouver comment s'attaquer à un lieu beaucoup plus sensible.

Imaginons que l'on ait une clé passe-partout pour à la fois notre boite aux lettres, le cabanon d'outils, le coffre à jouet dans le jardin et un autre coffre dit fort (avec pleins de pépettes dedans)... qui par le fait sera beaucoup faible... et en plus un porte-clés avec marqué dessus ce que ça ouvre... ou alors que sur le coffre il y ait marqué "utiliser la clé du cabanon"... enfin quoiqu'il en soit que l'on ait quelque part accès à l'information comme quoi c'est la même clé !

Bon, je ne développe pas plus....

@+

Titre: Re : Fuite de données
Posté par: L'âne à tôles le 24 mai 2021 à 22:19:38
Si une fonction de hashage permettait vraiment de sécuriser les données ça se saurait.

Bien sûr, mais c'est pour expliquer un peu comment ça marche.

Mais bon, si je te donne un hash avec un sel, t'es pas prêt de remonter au mot de passe, non ?  >:D
Titre: Re : Fuite de données
Posté par: kanikapila le 24 mai 2021 à 22:27:21
biensur Google lui ne sait rien ;-)

Tiens à ce propos, j'ai demandé à Google le contenu des données me concernant stocké sur leur serveur (tout le monde peut le demander via son espace perso). J'ai reçu un dossier de plus de 250 fichiers pour  330 Mo.
Et là, c'est... effrayant !!!!  :-w
Faites-le, vous allez halluciner.
Si vous ne vous souvenez plus de la question stupide que vous avez posée à l'assistant vocal de votre smartphone le 12 janvier 2016, google s'en souvient et vous pourrez réécouter votre voix. Si vous ne vous souvenez plus quelle était votre géolocalisation le 27 juillet 2018, google vous le rappellera. Si vous ne vous souvenez plus avoir acheté une cafetière en ligne en décembre 2014, google, lui, n'a pas oublié.  :green:
Non franchement, c'est carrément flippant.
Titre: Re : Fuite de données
Posté par: 3.14.RO le 24 mai 2021 à 22:39:03
Salut,

Bien sûr, mais c'est pour expliquer un peu comment ça marche.

Mais bon, si je te donne un hash avec un sel, t'es pas prêt de remonter au mot de passe, non ?  >:D
N'oublions pas que les attaques sont faîtes par des gens dont c'est l'occupation principale (et en général une source de revenus très importante), et qui utiliserons toutes les infos à leur portée. Le salage c'est bien, mais ça n'évite pas les dérapages  ;)
Et pour ce qui est de l'information qui est dans le "terminal" il y a tout ce qu'il faut même si le salage est utilisé en local sur le terminal (hash de stockage des mdp pour les comparer  ;) )... d'où le paradoxe de ce qui est présenté comme une fonctionnalité sécuritaire et donc sécurisante.


Après faut faire gaffe avec ton histoire de hash avec du sel, si Big Brother nous espionne il va croire que tu proposes de la cocaïne avec du shit  >:D :green:.

@+

Titre: Re : Fuite de données
Posté par: L'âne à tôles le 25 mai 2021 à 08:36:25
Tiens à ce propos, j'ai demandé à Google le contenu des données me concernant stocké sur leur serveur (tout le monde peut le demander via son espace perso). J'ai reçu un dossier de plus de 250 fichiers pour  330 Mo.
Et là, c'est... effrayant !!!!  :-w
Faites-le, vous allez halluciner.
Si vous ne vous souvenez plus de la question stupide que vous avez posée à l'assistant vocal de votre smartphone le 12 janvier 2016, google s'en souvient et vous pourrez réécouter votre voix. Si vous ne vous souvenez plus quelle était votre géolocalisation le 27 juillet 2018, google vous le rappellera. Si vous ne vous souvenez plus avoir acheté une cafetière en ligne en décembre 2014, google, lui, n'a pas oublié.  :green:
Non franchement, c'est carrément flippant.

Pour le coup, chez Google, on peut facilement modifier les réglages pour qu'il ne trace pas tout ça sur nous (du moins, on l'espère).

Dans Paramètres du Compte -> Données et personnalisation, il faut tout suspendre dans Commandes relatives à l'activité : pas de suivi de la position, pas de de suivi des activités web, ...

Après, il y a d'autres réglages et/ou extensions qui peuvent être efficaces aussi...
Titre: Re : Fuite de données
Posté par: BB9 le 25 mai 2021 à 08:47:21
Pour le coup, chez Google, on peut facilement modifier les réglages pour qu'il ne trace pas tout ça sur nous (du moins, on l'espère).

Dans Paramètres du Compte -> Données et personnalisation, il faut tout suspendre dans Commandes relatives à l'activité : pas de suivi de la position, pas de de suivi des activités web, ...

Après, il y a d'autres réglages et/ou extensions qui peuvent être efficaces aussi...

Oui et il faut surtout faire très attention lors de l'ouverture des comptes pour les enfants. Pour mon fils et sa tablette, je n'avais pas d'autre solution que d'installer l'appli gérée par Google. Et là tu te dis que ça y est on va commencer à le pister. Bref je ne l'ai pas installée, et le contrôle c'est moi qui m'y colle. Je préfère largement ça que laisser la vie privée de mon enfant entre les sales pattes de Big Brother.
Titre: Re : Fuite de données
Posté par: Benkalele le 25 mai 2021 à 09:54:43
Bah moi j'ai le même mot de passe de base pour tous mes sites auquel je rajoute une variante en fonction de chaque site (genre les initiales...)
par exemple pour le forum "UFmotdepasse" pour la boite aux lettres "GMmotdepasse"...
C'est assez efficace (même si c'est un peu plus tordu que sur mon exemple) surtout pour s'en souvenir !
Bien sûr le mot de passe de base est assez "costaud"...
Cela dit, des mots de passe différents pour chaque site, c'est quand même bien plus sécurisant !
Titre: Re : Fuite de données
Posté par: 3.14.RO le 25 mai 2021 à 23:23:38
Salut,

Le problème, c'est qu’actuellement, on doit gérer plus de mots de passe que ce qui est gérable par notre mémoire... et que tous les moyens d'assistances sont aussi des failles.

Pour moi il n'y a rien de plus stupide qu'un mot de passe que l'on a du mal à retenir et surtout du mal à saisir de manière fluide.
Et quand on vous oblige d'avoir au moins une majuscule, un chiffre, un caractère spécial, c'est autant d'indications pour celui qui veut craquer.
Il est assuré qu'au moins un des caractères est un caractère spécial, au moins un est un chiffre et au moins un est une majuscule ce qui réduit pour au moins 3 caractères le panel possible. Donc une réduction du nombre de combinaisons mais aussi du nombre de combinaisons ordonnées. Qui plus est souvent un utilisateur mettra la majuscule sur le premier caractère et le craquage de mot de passe c'est aussi une question de statistique.

Je tiens à préciser que je ne suis pas un parano des mots de passe, mais sur des connexions sensibles il vaut mieux se prémunir... et finalement on a peu de connexions vraiment sensibles si on les traite comme telles et donc pas dans le flux des autres connexions.

@+
Titre: Re : Fuite de données
Posté par: te popaa iti le 05 août 2021 à 15:14:28
Je sais le dernier post date un peu, mais avec ma grande gueule je ne peux m'empêcher
Et quand on vous oblige d'avoir au moins une majuscule, un chiffre, un caractère spécial, c'est autant d'indications pour celui qui veut craquer.
Il est assuré qu'au moins un des caractères est un caractère spécial, au moins un est un chiffre et au moins un est une majuscule ce qui réduit pour au moins 3 caractères le panel possible. Donc une réduction du nombre de combinaisons mais aussi du nombre de combinaisons ordonnées.
C'est totalement faux. Au contraire ça multiplie les possibilités. En incluant les chiffres et les caractères spéciaux ça oblige ceux qui craquent à piocher dans une grille de caractères bien plus vaste.
Perso, pour les codes j'ai une méthode pas mal. Je fais une phrase évidente en rapport avec le compte à protéger. Par exemple pour le forum ça pourrait être "j'aime l'ukulele". Avec les critères des codes (majuscule, pas d'espace, caractères spéciaux) ça donnerait "J'<3-l'ukulele"
Là, impossible d'oublier mon code d'accès au forum.
Titre: Re : Fuite de données
Posté par: bartleby le 05 août 2021 à 16:20:53
Oui cela démultiplie les possibilités et donc demande au programme pirate beaucoup plus de temps

Titre: Re : Fuite de données
Posté par: 3.14.RO le 24 août 2021 à 13:40:23
Salut,
Je sais le dernier post date un peu, mais avec ma grande gueule je ne peux m'empêcher C'est totalement faux. Au contraire ça multiplie les possibilités. En incluant les chiffres et les caractères spéciaux ça oblige ceux qui craquent à piocher dans une grille de caractères bien plus vaste.
Perso, pour les codes j'ai une méthode pas mal. Je fais une phrase évidente en rapport avec le compte à protéger. Par exemple pour le forum ça pourrait être "j'aime l'ukulele". Avec les critères des codes (majuscule, pas d'espace, caractères spéciaux) ça donnerait "J'<3-l'ukulele"
Là, impossible d'oublier mon code d'accès au forum.
Dire que c'est totalement faux est totalement faux, mais je m'explique :
Tu n'as pas compris ce que j'ai dit !
Je n'ai pas dit qu'il ne fallait pas inclure de caractères spéciaux mais qu'il ne fallait pas les rendre obligatoires.

Si il faut forcément un caractère spécial, un chiffre et une majuscule alors les combinaisons qui en sont dépourvues sont forcément mauvaises, donc à ne pas tester.
Donc on sait qu'il y a forcément au moins un caractère qui est dans la liste des caractères spéciaux, au moins un qui est un des 10 chiffres et au moins un qui est dans la liste des 26 majuscules.
Même si la force brute n'est plus d'actualité pour craquer un mot de passe, sur le principe on donne des indications.

Une petite démo :
Imaginons qu'il y ait 15 caractères spéciaux (je n'ai pas compté, mais environ), et que les codes fassent tous 8 caractères.
Imaginons aussi que l'on veut trouver les caractères présents de manière non ordonnée et que l'on va chercher l'ordre ensuite.
Nous avons pour chaque caractère un choix de 1 parmi 77 (15 + 10 + 26 + 26). Soit 778 = 1 235 736 291 547 681
Dans la cas des obligations on réduit le choix pour 3 caractères à 15 pour le caractère spécial, 10 pour le chiffre et 26 pour la majuscule.
Soit 775 x 15 x 10 x 26 = 10 556 458 212 300.
On a donc un nombre de combinaisons qui représente moins de 1% (0.85% pour être précis) de celui sans l'obligation.
CQFD.

De plus la majuscule, quand elle est obligatoire, est souvent mise en début de mot de passe (cf ton exemple). Il n'est pas rare que les chiffres soit mis à la fin et correspondent à une année ou un département...
Quand on oblige les gens à choisir ces types de caractères ils font "au plus vite" et donc adoptent des comportements plus prévisibles.

@+
Titre: Re : Fuite de données
Posté par: Plouf le 24 août 2021 à 15:06:02
Imaginons qu'il y ait 15 caractères spéciaux (je n'ai pas compté, mais environ), et que les codes fassent tous 8 caractères.
Imaginons aussi que l'on veut trouver les caractères présents de manière non ordonnée et que l'on va chercher l'ordre ensuite.
Nous avons pour chaque caractère un choix de 1 parmi 77 (15 + 10 + 26 + 26). Soit 778 = 1 235 736 291 547 681
Dans la cas des obligations on réduit le choix pour 3 caractères à 15 pour le caractère spécial, 10 pour le chiffre et 26 pour la majuscule.
Soit 775 x 15 x 10 x 26 = 10 556 458 212 300.
On a donc un nombre de combinaisons qui représente moins de 1% (0.85% pour être précis) de celui sans l'obligation.
CQFD.

Ca, c'est oublier que chacun des caractères spéciaux peut être à une place ou à une autre. Donc pour certains caractères il y a moins de possibilités, mais pour chaque position il y a davantage de possibilités puisque chaque caractère peut être soit un chiffre, soit une lettre majuscule, soit une lettre minuscule, soit un caractère spécial.


De plus la majuscule, quand elle est obligatoire, est souvent mise en début de mot de passe (cf ton exemple). Il n'est pas rare que les chiffres soit mis à la fin et correspondent à une année ou un département...
Ah ? Quelle drôle d'idée ! en ce qui me concerne je n'ai aucun mot de passe ainsi constitué qui ait une majuscule en tête et aucun chiffre ne correspond à une année ou un département. Au contraire, plus c'est compliqué et plus on sort des sentiers battus pour constituer son mot de passe.
Houps ! J'ai dit qu'il n'y avait pas de majuscule en début du mien, encore un indice pour retirer 26 possibilités pour ce qui constitue le premier caractère !! Il n'y a plus de quelques milliards de combinaisons possibles !  :trouille:


Quand on oblige les gens à choisir ces types de caractères ils font "au plus vite" et donc adoptent des comportements plus prévisibles.

Alors que quand on les laisse libre de choisir 6 ou 8 chiffres ils choisissent leur date de naissance !  :green:



Titre: Re : Fuite de données
Posté par: 3.14.RO le 24 août 2021 à 16:01:15
Ca, c'est oublier que chacun des caractères spéciaux peut être à une place ou à une autre. Donc pour certains caractères il y a moins de possibilités, mais pour chaque position il y a davantage de possibilités puisque chaque caractère peut être soit un chiffre, soit une lettre majuscule, soit une lettre minuscule, soit un caractère spécial.

Ben non ! Car tout indice sera exploité.... si besoin est. Mais bon vu que tu es sur le mode mauvaise foie (comme souvent d'ailleurs) :

Ah ? Quelle drôle d'idée ! en ce qui me concerne je n'ai aucun mot de passe ainsi constitué qui ait une majuscule en tête et aucun chiffre ne correspond à une année ou un département. Au contraire, plus c'est compliqué et plus on sort des sentiers battus pour constituer son mot de passe.
Houps ! J'ai dit qu'il n'y avait pas de majuscule en début du mien, encore un indice pour retirer 26 possibilités pour ce qui constitue le premier caractère !! Il n'y a plus de quelques milliards de combinaisons possibles !  :trouille:


Alors que quand on les laisse libre de choisir 6 ou 8 chiffres ils choisissent leur date de naissance !  :green:
Je crois donc comprendre que tu considère la plupart des gens comme étant beaucoup moins intelligent que toi !
Mais cette attitude est celle qui est attendue... en effet la première erreur en sécurité est de penser que l'on est mieux protégé que les autres !

Allez... au-revoir
Titre: Re : Fuite de données
Posté par: Plouf le 24 août 2021 à 17:32:37
Ton calcul est faux.

Citer
Dans la cas des obligations on réduit le choix pour 3 caractères à 15 pour le caractère spécial, 10 pour le chiffre et 26 pour la majuscule.
Soit 77^5 x 15 x 10 x 26 = 10 556 458 212 300
Il n'est vrai que dans le cas où tu as 77 possibilités pour certains caractères et 15 pour un autre dont la place est déterminée et 10 pour un autre encore que tu as identifié et 26 enfin pour un troisième caractère dont tu connais la place.

Mais entre un mot de passe de "8 caractères avec majuscules et minuscules" et un mot de passe de "8 caractères avec majuscules et minuscules et chiffres et caractères spéciaux" (il y en a 27 différents : ~ ! @ # $ % ^ & * ( ) – _ = + [ ] { } ; : , . < > / ? ), la différence est suffisamment importante pour que la contrainte que l'un au moins, sans qu'on sache lequel, soit parmi les 26, ou les 27, ou les 10, est tout à fait négligeable.

Que des lettres : 52^8 = 53 459 728 531 456 possibilités

Avec aussi des chiffres : 62^8 =  218 340 105 584 896 combinaisons

Avec aussi des caractères spéciaux : 89 ^ 8 =  3 936 588 805 702 081 combinaisons. 4 000 milliards !

Alors effectivement, certaines combinaisons ne sont pas possibles, mais si peu au regard des possibilités.

Et contraindre à avoir au moins un chiffre et au moins un caractère spécial et au moins une minuscule et au moins une majuscule réduit (un peu) les possibilités.
Mais ne pas contraindre revient à avoir 95% des mots de passe qui n'utilisent que 26 ou 36 (avec lettres et chiffres) caractères possibles, soit au mieux 2 821 109 907 456 combinaisons. Et même beaucoup moins si, comme tu le prétends, chacun va mettre une année ou un département et donc deux chiffres à la fin (30 891 577 600).

Bref...
Titre: Re : Fuite de données
Posté par: Olive Thom le 24 août 2021 à 18:59:06
Je travaillais à La Banque Postale en service informatique, et comme dans toute boite sérieuse nos MDP devaient aussi contenir chiffre(s) et caractère(s) spéciaux. Je ne pense pas que les ingénieurs du service de sécurité informatique national étaient sots, comme d'ailleurs tous ceux de toutes grandes entreprises mondiales.
Titre: Re : Fuite de données
Posté par: 3.14.RO le 24 août 2021 à 21:47:59
 :siffle: https://votreargent.lexpress.fr/consommation/la-banque-postale-apres-l-incident-quelles-consequences-pour-les-clients_1586440.html
Titre: Re : Fuite de données
Posté par: Olive Thom le 24 août 2021 à 22:28:28
Article de 2013... Je ne vois pas trop le rapport entre un incident applicatif ou technique, et le sujet de sécurité des mots de passe dont on parlait... Sinon toutes les banques connaissent un jour ou l'autre ce genre de soucis, personne n'est parfait, ça se serait.  ;)
Titre: Re : Fuite de données
Posté par: Plouf le 24 août 2021 à 23:35:10
Je ne vois pas trop le rapport

Fais un effort Olive !


Avoir eu un problème informatique un jour discrédite de fait la société toute entière pour les siècles à venir y compris pour des questions qui n'ont aucun rapport comme sur sa politique des mots de passe !

C'est quand même assez évident !

 :bouffon:
Titre: Re : Fuite de données
Posté par: BB9 le 25 août 2021 à 18:49:18
eh bien que de sueurs pour un mot de passe dont on ne se rappelle jamais.

Le plus marrant c'est quand on a besoin de modifier un mot de passe dont on ne souvient plus, qu'on ne peut donc pas se connecter, qu'on demande à récupérer son compte sur un autre compte mail, mais là, comme on est à l'étranger il y a un petit message qui vous dit qu'il faut un moyen de récupération. Mais là manque de bol le mot de passe oublié, c'était le pin du téléphone, et pour le réinitialiser à partir d'un autre téléphone depuis l'étranger, on vous redemande confirmation avec un test ADN, mais là pas de bol, votre pass sanitaire est sur votre smartphone, c'est mort pour rentrer à la maison  :sos:

bref ce n'est pas grand chose d'imposer des caractères spéciaux ni des majuscules. A juste titre cela n'est pas pour les gens qui sécurisent leurs comptes mais justement pour ceux qui ne le font pas. L'imposer force les gens à choisir des mots de passes plus difficiles à hacker. On parle d'ailleurs de "forcer la sécurité des mots de passe". Après si aucune mesure n'est prise contre les attaques brute force, cela ne change pas grand chose. Les robots travaillent très bien pour ça.

Après des moyens de hacker un compte il en existe une multitude (enregistrement de la saisie clavier par exemple - c'est pour ça que certains mots de passes ou codes sont sur des claviers qui changent les caractères de position à chaque connexion et saisissables par clic : du coup plus besoin de combinaisons de caractères, des chiffres suffisent), et il n'y a pas que par le mot de passe.

Les moyens de hacker un site aussi. Il y a des failles, le plus risible étant qu'elles sont rendues publiques au moment de la publication des mises à jour. les hacker n'ont donc pas besoin de trop se creuser la tête. Plus besoin de chercher à l'aveugle des failles, il suffit de regarder où il en existe, puis de lancer des petits robots qui vont les tester partout, jusqu'à ce qu'ils trouvent une porte d'entrée.

Pour ma part si je dis ça c'est parce que des sites hackés, j'en voie passer régulièrement, et la plupart du temps le propriétaire du site (souvent des gens sérieux dans leur profession) ont mis des mots de passe bidons.

Et très clairement majuscules + minuscules + caractères spéciaux + chiffres avec un minimum de 8 caractères, le mec qui veut le casser, il faut déjà qu'il soit sérieusement motivé. Ajouté à ça des mesures contre le brute force (la base) et cette porte d'entrée est fermée (mais ça ne ferme pas les autres)

Et croyez moi, pour avoir travaillé avec un boîte de sécurité en informatique, quelqu'un (qui en a les compétences, heureusement ils ne sont pas si nombreux) qui veut hacker un compte ou un site, il finit par y arriver.