Bistro => Discussion démarrée par: xp25 le 29 septembre 2022 à 15:41:05 Bistro => Discussion démarrée par: xp25 le 29 septembre 2022 à 15:41:05Si on suivait les préconisations du changement de mot de passe à chaque hacking majeur, on devrait changer notre mot de passe sur tous les sites où on est inscrit à peu près tous les 3 jours.J'ai effectivement des mots de passe sur des palanquées de sites, et le couple identifiant mot de passe n'est jamais le même...
J'ai mon chrome qui me supplie de le faire régulièrement car "mon mot de passe a été compromis". Seulement il me demande de le changer sur ... 308 sites. Autant vous dire que j'ai autre chose à foutre de ma life.
Tu ne mets pas un mdp par site ?
Pour quoi faire ? ::)...et dans les ténèbres, les lier...
un mdp pour les gouverner tous!
Pour quoi faire ? ::)Et la meilleure porte d'entrée pour une potentielle usurpation d'identité... Du nanan! Sans aucune importance (!), vu que résoudre une problématique d'usurpation d'identité, tout le monde sait que c'est trivial par nature et que c'est instantané! ;) :) :D
un mdp pour les gouverner tous!
Zut je me suis fait voler ma commande secrète pour mon anniversaire de mariage ;DEt voilà, ça devait arriver!!! :D :D :D
Zut je me suis fait voler ma commande secrète pour mon anniversaire de mariage ;DL'intérêt de "voler" des comptes mcdo c'est de récupérer les points fidélité.
L'intérêt de "voler" des comptes mcdo c'est de récupérer les points fidélité.
Il y a des petits malins qui revendent quelques euros les comptes ayant assez de points pour un menu best of offert...
L'intérêt de "voler" des comptes mcdo c'est de récupérer les points fidélité.ça, c'est de l'arrache de haut vol! Clair qu'il faut au moins une association de hackers russes pour monter un truc aussi balèze! Bref, devaient pas être compliqués à hacker les serveurs, non? ;)
Il y a des petits malins qui revendent quelques euros les comptes ayant assez de points pour un menu best of offert...
Ont peu payer en BTC ? 8)Selon les markets français oui.
ça, c'est de l'arrache de haut vol! Clair qu'il faut au moins une association de hackers russes pour monter un truc aussi balèze! Bref, devaient pas être compliqués à hacker les serveurs, non? ;)Pas de hack de serveur, c'est du script kiddie qui récupère une combolist (mail+mdp) trouvée sur le net, qui la teste sur différents sites ayant des récompenses fidélités (mcdo, brioche dorée, ...) via un outil qui automatise ça (associé à une liste de proxy pour pas se faire ban son IP) et qui revend les comptes intéressants 2-3€ via un banal shopify ou autre.
Pas de hack de serveur, c'est du script kiddie qui récupère une combolist (mail+mdp) trouvée sur le net, qui la teste sur différents sites ayant des récompenses fidélités (mcdo, brioche dorée, ...) via un outil qui automatise ça (associé à une liste de proxy pour pas se faire ban son IP) et qui revend les comptes intéressants 2-3€ via un banal shopify ou autre.D'où l'intérêt, tant que le système de mots de passe vivra (!), d'avoir autant de couples id/pwd que de sites... Et c'est là qu'un petit soft aide bien... Ceci même si la mise à jour des mots de passe (certains sites sont un peu hystériques!) peut ne pas être triviale avec certains de ces softs...
Vu que plein de monde a le même mdp de partout, dès qu'un site est hacké leur compte devient accessible de partout.
La même technique permet de récupérer des comptes netflix, c+, spotify, ... qui eux ont plus de valeurs (ce qui attire plus de monde donc plus dur de trouver quelque chose à revendre) et cela pousse à l'adoption de la double authentification (pour bloquer ces techniques)
Et pour un ado, vendre quelques dizaines de comptes comme ça, c'est du rab d'argent de poche (et au final peu de risque de se faire prendre vu les sommes en jeu)
Et c'est là qu'un petit soft aide bien...
genre Lastpass ? ::) :-XJ'utilise keepass 2
J'utilise keepass 2
c’était un petit troll pour faire eco a ça :Keepass 2 en "natif", rien sur le cloud (*). Seule une base de donnée interne, avec un mot de passe un peu costaud, mot de passe utilisé tous les jours, donc inscrit dans le marbre de mes derniers neurones en état de marche!!!
https://www.it-connect.fr/piratage-de-lastpass-les-cybercriminels-ont-eu-acces-a-lenvironnement-pendant-4-jours/
nous aussi c'est keepass :)
J'ai effectivement des mots de passe sur des palanquées de sites, et le couple identifiant mot de passe n'est jamais le même...
Ce qui fait que lorsqu'un site est compromis, un seul mot de passe à changer...
J'utilise tout bêtement un truc appelé keepass, et c'est ce soft qui a généré les mots de passe, et je n'ai qu'un seul mot de passe d'entrée dans keepass à me souvenir, même si ce dernier est peu compliqué.
La base de mots de passe est propagée sur mon phone et mes machines locales à chaque fois que je modifie un mot de passe de site sur keepass, et rien n'est stocké sur le cloud!
En passant Keepass est un truc qui n'a pas été "jeté" par l'ANSSI... Sans être une garantie absolue, c'est déjà positif. Et le truc est très fréquemment mis à jour.
On peut éventuellement coupler keepass grâce à des plugins sur Chrome ou Firefox, si l'on est un peu flemmard...
Salut Fansat70,Il existe dans l'onglet "Outils" Keepass un choix qui s'appelle "Déclencheurs".
J'utilise aussi KeePass 2 et le principal défaut que je lui trouve c'est l'absence de partage de la Bdd sur mes différents périphériques.
Comment fais-tu pour propager la base de mot de passe sur l'ensemble de tes périphériques ?
J'aimerai avoir un coffre fort de mot de passe à jour sur l'Android de ma femme, le mien, mon Windows et son Mac.
Mais à ce jour, c'est KeePass sur mon Windows, le trousseau du Mac, et Chrome pour les Androïd, donc pas terrible.
J'hésite entre bidouiller un truc avec mon NAS et KeePass ou passer en abonnement famille sur NordPass, mais je ne connais pas la fiabilité du truc.
Merci pour ton aide et conseil ;)
KeePass disputes vulnerability allowing stealthy password theft
By Sergiu Gatlan January 30, 2023
...
The development team behind the open-source password management software KeePass is disputing what is described as a newly found vulnerability that allows attackers to stealthily export the entire database in plain text.
KeePass is a very popular open-source password manager that allows you to manage your passwords using a locally stored database, rather than a cloud-hosted one, such as LastPass or Bitwarden.
To secure these local databases, users can encrypt them using a master password so that malware or a threat actor can't just steal the database and automatically gain access to the passwords stored within it.
The new vulnerability is now tracked as CVE-2023-24055, and it enables threat actors with write access to a target's system to alter the KeePass XML configuration file and inject a malicious trigger that would export the database, including all usernames and passwords in cleartext.
The next time the target launches KeePass and enters the master password to open and decrypt the database, the export rule will be triggered, and the contents of the database will be saved to a file the attackers can later exfiltrate to a system under their control.
Après, il parait que les trojan stealer peuvent maintenant voler les mots de passe dans les password manager.Tout est possible, mais avec une base de donnée qui n'est que sur des appareils t'appartenant, en chiffrage quasi-militaire, il va falloir "un peu" de CPU pour déchiffrer la base...
Voir :
Je me demande si avec une base de mots de passe centralisée dans un gestionnaire de mots de passe, on ne facilite pas en fait la tâche de certains malwares, qui n'ont plus qu'à piocher pendant qu'il est ouvert.
Il n'y a pas besoin de CPU dans le cas cité, car c'est e mot de passe maître qui est volé, qui sert au chiffrement des mots de passe.:)
Il n'y a pas besoin de CPU dans le cas cité, car c'est e mot de passe maître qui est volé, qui sert au chiffrement des mots de passe.La formule est de d'avoir un mot de passe "costaud", et de prendre des précautions élémentaires d'utilisation de son matériel et de "vadrouille" sur le Net.
le pire des trucs non sécure est le pense-bête écrit!Pirater une feuille de papier, c'est pas gagné
Je suis mitigé sur les gestionnaires de mot de passe. Ça encourage presque les hackers à cibler directement un gestionnaire populaire plutôt que les différentes bases de données des sites internet.Comme le dit @alain_p, il faut déjà avoir une "hygiène" d'utilisation d'internet plus que sérieuse, pour pouvoir utiliser ensuite un gestionnaire de mot de passe.
Comme le dit @alain_p, il faut déjà avoir une "hygiène" d'utilisation d'internet plus que sérieuse, pour pouvoir utiliser ensuite un gestionnaire de mot de passe.
Perso, j'utilise le gestionnaire cité car la base de données n'est pas stockée ni gérée par un tiers sur internet.
Et le pourquoi de l'utilisation d'un gestionnaire?
Tout bêtement qu'étant enregistré (sous plusieurs identifiants) sur quelques centaines de sites divers et (a)variés pour des raisons X ou Y (Certains sites contraignent à ouvrir un compte pour faire quoi que ce soit, et j'utilise pour tout site le couple identifiant/mot de passe le plus sécure possible...).
Il m'est donc impossible de mémoriser chaque couple identifiant / mot de passe, différents sur chaque site... Le foutoir et que certains sites ont des règles qui gèrent les mots de passe "à la Dubout", certains (de plus en plus rares, heureusement) en sont encore à limiter à 12 caractères (!!!). Même si l'on a 12 caractères Maj/Min, Chiffres et carac spéciaux, ce n'est pas le pied! Si l'on rajoute selon les sites des règles différentes pour la définition des caractères spéciaux, encore trop de sites ne gérant des mots de passe "musclés" vers 32 carac. et au-dessus, faire cela sans gestionnaire, je ne vois pas bien!
Quant à noter sur le torche balle sur le coin du bureau ou dans le portefeuille, on oublie...
En résumé, quelle que soit la formule utilisée, si vous n'avez pas une certaine rigueur de base, et que vous vous baladez n'importe où n'importe comment, autant aller dans un élevage de crocos et tester combien de temps vous allez pouvoir laisser votre tête dans la gueule d'un croco... ::) :-[
l'énorme probleme des gestionnaires de mdp : à un moment où à un autre ils apparaissent en clair à l'écran. L'idée ne me plait pas.
Tous les connus sont multiplateforme
Lol.Mouais... Pas cherché beaucoup!
connu ou pas connu, ce qui fait la popularisation d'un logiciel c'est soit son efficacité, soit sa gratuité, et souvent les deux, bien que microsoft n'arrose pas toujours dans le second.
je vous mets au défi d'en trouver un qui soit à la fois utlilisable sous windows, osx, linux et openbsd plus particulièrement, sans oublier qu'il tournera sous ios, android et postmarketos, que j'utilise au quotidien.
dès lors qu'on cause vrais os extirpés des gafamnt (manjaro mobile, postmarketos, librem) ou orientés cybersécu (openbsd..) ya plus grand monde sur l'estrade
qui sait, j'aimerais vraiment que vous me donniez tort (j'admets pas avoir cherché plus que ca, mais quand je vois que la plupart des "grandes applis" excepté les LL, se cantonnent à win/osx/nux(ubuntu uniquement), moi qui tourne avec openbsd et postmarketos ca me fait doucement sourire avant de tousser, comme argument non recevable : non, je ferai pas comme tout le monde :))
(mais ce n'est que mon cas, je n'ai rien contre ceux qui utilisent un gestionnaire de mdp, c'est un choix perso ; juste pour moi, j'utilise pas de logiciel non porté sur les plateformes plus exotiques)
Mouais... Pas cherché beaucoup!
En passant, des "Vrais" os Secure, il n'y en a quasiment plus. En dehors des mainframes, je n'ai connu qu'un OS "sécure": VMS qui gérait la sécurité de façon intégrée, en gérant plus de 64 niveaux de privilèges, que ce soit au niveau logiciel ou hard, ceci en dehors des mots de passe qui pouvaient être doublés et à l'époque 32 caractères ou passphrase, sorti de là, on oublie tout le reste, où la sécurité est plus ou moins "désintégrée"!
J'utilise Win, Linux, Ios et Android, pour cela mon gestionnaire de mot de passe me convient...
Quand à la "joyeuse farce" du MDP piraté sur un site qui permet de retrouver les MDP d'autres sites, Ouaaarff!!! Effectivement, si dans le gestionnaire de mots de passes, on met systématiquement des prénoms ou le mot "password", clair que cela va très bien marcher pour le premier sous-aide apprenti hacker en goguette!
Quand on fait les choses sérieusement, pas de problème, mais bon, on peut faire comme dans une certaine pub d'un système d'alarme, en affichant clairement les endroits où le cambrioleur peur entrer et où sont les planques diverses de valeurs...
Bye!