Auteur Sujet: Les FAIs et la sécurité des mots de passe (Lu 13537 fois)

Marin · « **le:** 19 octobre 2013 à 15:05:10 »

Un petit récapitulatif pour les deux FAIs auxquels j'ai été abonné récemment :

Free

Mots de passe limités à 16 caractères (8 caractères il y a peu).
Au niveau des caractères autorisés, je ne me souviens plus mais je ne crois pas que ce soit très brillant non plus.
Mots de passe renvoyés en clair par e-mail en cas d'oubli...
Donc pas hashés dans la base de données.
Cookie de session transmis directement dans l'URL, je suppose qu'ils ignorent l'existence d'un header HTTP dédié.
Et pour couronner le tout, l'interface n'a pas été disponible en HTTPS avant de nombreuses années : il a fallu attendre mars 2010 pour avoir un peu de sécurité à ce niveau.

SFR

Mots de passe limités à 16 caractères.
Caractères alphanumériques uniquement.
Ces limitations indiquent qu'ils ne sont très probablement pas hashés, surtout que si sur certaines pages il y a un message d'avertissement qui s'affiche, il me semble que le mien avait été tronqué silencieusement.
Certains d'entre vous ont sûrement entendu parler de la fameuse protection contre les injections SQL de SFR Business Team ?

Et vous, comment est-ce que votre FAI traite vos mots de passe ?

butler_fr · « **Réponse #1 le:** 19 octobre 2013 à 15:55:47 »

chez orange c'est plus simple dès que tu es connecté sur une livebox et que tu passe sur un site orange tu es automatiquement connecté sur l'espace client du proprio de la livebox!
bref ici même pas besoin de regarder la sécurité il n'y en a pas!

kgersen · « **Réponse #2 le:** 19 octobre 2013 à 17:33:07 »

16 caractères seulement avec des contraintes a la noix alors que les passphrases sont plus surs.

Pour reprendre un classique:

minidou · « **Réponse #3 le:** 19 octobre 2013 à 21:51:43 »

j'ai toujours apprécié l'utilisation des phrases (et mots multiples) en mots de passes (même si on est limité en nombre de caractère)

mais en pratique, cela ne change pas grand chose point de vue sécurité, les gens ont de toute façon une très mauvaise imagination

il faut démocratiser la double authentification (le token+pin, j'imagine que c'est ce que fait orange, avec la livebox en guise de token, mais je ne l'ai pas étudié), mon espoir étant l'initiative browserID de firefox, un gros plus en sécurité (certes imparfait, cela ne leur sera jamais) avec un bénéfice en expérience utilisateur, soit le contraire de ce que certains "experts sécurité" vendent
c'est gagnant gagnant

BadMax · « **Réponse #4 le:** 19 octobre 2013 à 21:59:43 »

Sans même parler des FAI,
- combien d'entre vous utilisent une authentification forte dans leur travail ?
- Combien en ont déjà vu une en application ?
- Combien savent de quoi je parle ?

corrector · « **Réponse #5 le:** 20 octobre 2013 à 03:33:09 »

Citation de: Marin le 19 octobre 2013 à 15:05:10

Free
Mots de passe limités à 16 caractères (8 caractères il y a peu).
Au niveau des caractères autorisés, je ne me souviens plus mais je ne crois pas que ce soit très brillant non plus.

Je me souviens que des personnes qui avaient mis des caractères accentués avaient eu des problèmes en migrant sous Zimbra.

Même si des caractères non ASCII sont autorisés, ce n'est donc pas forcèment une bonne idée.

Citation de: Marin le 19 octobre 2013 à 15:05:10

Mots de passe renvoyés en clair par e-mail en cas d'oubli...
Donc pas hashés dans la base de données.

Cela ne concerne que le mot de passe de compte ADSL ou accès gratuit ou compte email additionnel (mot de passe "principal"). Par contre le mot de passe FTP spécifique (si différent du MdP principal) d'un site perso lui est haché.

Citation de: Marin le 19 octobre 2013 à 15:05:10

Et pour couronner le toutwww, l'interface n'a pas été disponible en HTTPS avant de nombreuses années : il a fallu attendre mars 2010 pour avoir un peu de sécurité à ce niveau.

Ni POP/S, ni IMAP/S jusqu'à relativement récemment : Yohan (administrateur Zimbra et pages perso) considérait que SSL n'est utile que pour les usages pros! (véridique, ça ne s'invente pas)

vivien · « **Réponse #6 le:** 20 octobre 2013 à 07:56:51 »

Et l'ensemble du personnel de Free a accès facilement aux mot de passe, cela s'affiche sur les fiches client en clair sans faire de demande particulière, a coté du nom / prénom / adresse postale / adresse mail.
Les données bancaires sont plus sécurisées.

Nico · « **Réponse #7 le:** 20 octobre 2013 à 12:34:48 »

Citation de: BadMax le 19 octobre 2013 à 21:59:43

Sans même parler des FAI,
- combien d'entre vous utilisent une authentification forte dans leur travail ?
- Combien en ont déjà vu une en application ?
- Combien savent de quoi je parle ?

Une clé RSA pour mon VPN c'est bon ? (en plus d'un login/mdp)

Sinon ce n'est pas de l'authentification forte mais j'ai du Sophos Truecrypt sur mon disque dur pour éviter qu'il soit trop facilement lisible.

BadMax · « **Réponse #8 le:** 20 octobre 2013 à 13:05:03 »

Une clé RSA ça tombe dans la catégorie "semi-forte" car la clé n'est "physiquement" pas protégée. Si tu la perds, on peut potentiellement s'en servir. Pour certains ayatollah ça n'est même pas du semi-fort, ça renforce juste ton mot de passe.

Mon post avait juste pour but de montrer que la prise en compte de la sécurité des accès est encore assez peu répandue. Je trouve assez malsain de la part des FAI de ne pas tenir le bon discours auprès du grand public. Mais ça ne choque personne vu qu'au niveau des entreprises le travail est encore énorme en matière de sensibilisation à la sécurité.

corrector · « **Réponse #9 le:** 20 octobre 2013 à 17:30:33 »

Citation de: vivien le 20 octobre 2013 à 07:56:51

Les données bancaires sont plus sécurisées.

Qu'est-ce qu'on peut faire avec un RIB?

corrector · « **Réponse #10 le:** 20 octobre 2013 à 17:55:57 »

Citation de: BadMax le 20 octobre 2013 à 13:05:03

Mon post avait juste pour but de montrer que la prise en compte de la sécurité des accès est encore assez peu répandue. Je trouve assez malsain de la part des FAI de ne pas tenir le bon discours auprès du grand public.

Pareil!

Comme l'interface "sécurisée" de SFR :

https://lafibre.info/cryptographie/securisation-http-chez-sfr/

corrector · « **Réponse #11 le:** 20 octobre 2013 à 21:23:02 »

Citation de: Marin le 19 octobre 2013 à 15:05:10

SFR
Mots de passe limités à 16 caractères.
Caractères alphanumériques uniquement.
Ces limitations indiquent qu'ils ne sont très probablement pas hashés, surtout que si sur certaines pages il y a un message d'avertissement qui s'affiche, il me semble que le mien avait été tronqué silencieusement.

Je ne vois pas du tout en quoi cela indiquerait une telle chose!

Citation de: Marin le 19 octobre 2013 à 15:05:10

Certains d'entre vous ont sûrement entendu parler de la fameuse protection contre les injections SQL de SFR Business Team ?

Belle approche de la sécurité.

Il faudrait plus de panneaux :
- "Intrusion interdite"
- "Interdit de pirater"
- "Merci de n'utilisez que votre compte, pas celui d'un autre."
- "Ne cassez pas les mots de passe, merci d'avance."

Auteur Sujet: Les FAIs et la sécurité des mots de passe (Lu 13537 fois)

corrector

corrector

corrector

corrector