Auteur Sujet: Les FAIs et la sécurité des mots de passe (Lu 13513 fois)

Marin · « **Réponse #24 le:** 20 octobre 2013 à 23:02:38 »

Citation de: corrector le 20 octobre 2013 à 22:14:12

Est-ce que les autres données choisies par l'utilisateur sont limitées de la même façon?

Je ne sais pas encore (il faut apparemment 1h pour que les modifications soient visibles dans l'espace client, j'ignore pourquoi), par contre, je peux lire :

L'adresse email de secours est l'adresse à laquelle nous vous enverrons votre mot de passe en cas d'oubli.

Je suppose que ça répond à la question du hashage du mot de passe.

BadMax · « **Réponse #25 le:** 20 octobre 2013 à 23:03:31 »

Citation de: corrector le 20 octobre 2013 à 23:00:46

Je ne vois pas bien ce que "PKI" vient faire avec les OTP de RSA!

C'est juste un générateur pseudo aléatoire, il n'y pas de clé publique.

Le générateur utilise une suite basé sur un algo de chiffrement.

corrector · « **Réponse #26 le:** 20 octobre 2013 à 23:06:12 »

Citation de: BadMax le 20 octobre 2013 à 23:03:31

Le générateur utilise une suite basé sur un algo de chiffrement.

Oui, très certainement.

(Un algo qui n'a rien à voir avec RSA.)

corrector · « **Réponse #27 le:** 20 octobre 2013 à 23:07:17 »

Citation de: BadMax le 20 octobre 2013 à 22:56:48

Par authentification forte, je parlais d'une carte à puce associée à une PKI. Si tu perds la carte, on ne peut rien en faire (en dehors du pouvoir fanstasmatique de la NSA).

Où tu entres le mot de passe?

Nico · « **Réponse #28 le:** 20 octobre 2013 à 23:07:51 »

Citation de: BadMax le 20 octobre 2013 à 23:02:23

Pour les ayatollah ça fait une grosse différence.

J'en doute pas, après le code généré ne suffit pas. Même associé au login il faut la seconde moitié du password qui est un mdp "classique".

corrector · « **Réponse #29 le:** 20 octobre 2013 à 23:09:57 »

Citation de: Nico le 20 octobre 2013 à 23:07:51

J'en doute pas, après le code généré ne suffit pas. Même associé au login il faut la seconde moitié du password qui est un mdp "classique".

Mdp qui peut être capturé!

corrector · « **Réponse #30 le:** 21 octobre 2013 à 01:24:59 »

Citation de: Marin le 19 octobre 2013 à 15:05:10

Free
Cookie de session transmis directement dans l'URL, je suppose qu'ils ignorent l'existence d'un header HTTP dédié.

L'ID de session est dans l'URL; quel est au juste le problème?

En quoi un cookie de session est une bonne chose?

Marin · « **Réponse #31 le:** 21 octobre 2013 à 02:04:06 »

Citation de: corrector le 21 octobre 2013 à 01:24:59

L'ID de session est dans l'URL; quel est au juste le problème?

Si je ne m'abuse, il suffit par exemple que quelqu'un partage une URL de la console d'administration, et laisse l'ID de session par mégarde ou par ignorance de sa fonction, pour que le compte soit compromis...

La navigation est moins également moins pratique, par exemple si on utilise plusieurs onglets, ou bien qu'on retourne en arrière dans l'historique du navigateur, et que la session expire, le site risque de demander de se reconnecter une nouvelle fois et de créer plusieurs sessions indépendantes inutilement même si on vient juste de le faire.

corrector · « **Réponse #32 le:** 21 octobre 2013 à 02:12:01 »

Citation de: Marin le 21 octobre 2013 à 02:04:06

Si je ne m'abuse, il suffit par exemple que quelqu'un partage une URL de la console d'administration, et laisse l'ID de session par mégarde ou par ignorance de sa fonction, pour que le compte soit compromis...

Oui, mais en principe il n'y a pas de raison que quelqu'un partage URL de la console, s'il a un minimum de logique.

Comme le délai d'expiration est extrêmement court, cela limite ce problème.

Citation de: Marin le 21 octobre 2013 à 02:04:06

La navigation est moins également moins pratique, par exemple si on utilise plusieurs onglets, ou bien qu'on retourne en arrière dans l'historique du navigateur, et que la session expire, le site risque de demander de se reconnecter une nouvelle fois et de créer plusieurs sessions indépendantes inutilement même si on vient juste de le faire.

C'est surtout le délai d'expiration extrêmement court qui est un problème; en voulant programmer un enregistrement à distance, je me fais très souvent déconnecter.

Marin · « **Réponse #33 le:** 21 octobre 2013 à 02:26:14 »

Citation de: corrector le 21 octobre 2013 à 02:12:01

Oui, mais en principe il n'y a pas de raison que quelqu'un partage URL de la console, s'il a un minimum de logique.

Si la personne ignore le fonctionnement du système de sessions de Free.fr, elle peut bien copier le lien dans une discussion pour montrer de quoi elle parle sans y voir de problème...

Citation de: corrector le 21 octobre 2013 à 02:12:01

Comme le délai d'expiration est extrêmement court, cela limite ce problème.

Limite mais pas résout, si le lien est posté sur un chan IRC très fréquenté par exemple, il y a quand même des chances que quelqu'un s'amuse avec rapidement.

Et puis, si j'en crois l'assistance Free :

Citer

Saisissez deux fois votre nouveau mot de passe qui doit comporter entre six et huit caractères alphanumériques puis validez.

Il suffit de taper un nouveau mot de passe pour le changer ? Pas besoin de taper le mot de passe actuel ? Si c'est bien le cas, une personne malveillante pourrait prendre le contrôle du compte en s'affranchissant de cette limitation temporelle je suppose.

Citation de: corrector le 21 octobre 2013 à 02:12:01

C'est surtout le délai d'expiration extrêmement court qui est un problème; en voulant programmer un enregistrement à distance, je me fais très souvent déconnecter.

Je trouvais ça assez embêtant aussi. Si j'utilisais la console de gestion plus souvent, j'aurais certainement créé un userscript pour me reconnecter automatiquement dans ce genre de situation.

corrector · « **Réponse #34 le:** 21 octobre 2013 à 02:31:15 »

Citation de: Marin le 21 octobre 2013 à 02:26:14

Si la personne ignore le fonctionnement du système de sessions de Free.fr, il peut bien copier le lien dans une discussion pour montrer de quoi il parle sans y voir de problème...

Si je poste une URL, c'est bien que je pense que mon interlocuteur peut y avoir accès, et que je veux qu'il y ait accès.

Citation de: Marin le 21 octobre 2013 à 02:26:14

Limite mais pas résout, si le lien est posté sur un chan IRC très fréquenté par exemple, il y a quand même des chances que quelqu'un s'amuse avec rapidement.

Il y a un risque en effet

Citation de: Marin le 21 octobre 2013 à 02:26:14

Il suffit de taper un nouveau mot de passe pour le changer ? Pas besoin de taper le mot de passe actuel ? Si c'est bien le cas, une personne malveillante pourrait prendre contrôle du compte en s'affranchissant de cette limitation temporelle je suppose.

Je ne comprends pas.

Citation de: Marin le 21 octobre 2013 à 02:26:14

Je trouvais ça assez embêtant aussi. Si j'utilisais la console de gestion plus souvent, j'aurais certainement créé un userscript pour me reconnecter automatiquement dans ce genre de situation.

J'utilisais la fonction "actualiser toutes les minutes".

Marin · « **Réponse #35 le:** 21 octobre 2013 à 02:40:19 »

Citation de: corrector le 21 octobre 2013 à 02:31:15

Si je poste une URL, c'est bien que je pense que mon interlocuteur peut y avoir accès, et que je veux qu'il y ait accès.

Qu'il y ait accès mais pas forcèment avec mon compte.

Si un système de cookie était utilisé (ce qui est le cas sur la grande majorité du web) alors ce problème ne se poserait pas, or l'utilisateur lambda peut croire à un fonctionnement par cookie s'il ignore comment fonctionne la console de gestion Free et ce que signifient les paramètres dans l'URL.

Citation de: corrector le 21 octobre 2013 à 02:31:15

Je ne comprends pas.

Si la personne malveillante accède au lien avant son expiration, il semblerait qu'elle puisse changer le mot de passe, et ainsi pouvoir se reconnecter indéfiniment en cas d'expiration.