La Fibre
Fonctionnement du forum => A lire avant de commencer... => 
Évolution de LaFibre.info, bugs et critiques => Discussion démarrée par: Leonito le 06 mai 2024 à 00:57:09
-
Bonjour, je viens juste de m'inscrire et quelle surprise, le mail contenant le lien de validation contient aussi... mon mot de passe, en clair !!
D'où ma question, les mots de passe sont-ils tous stockés en clair malgré tous les risques que ça pose ??
C'est d'autant plus surprenant sur un forum comme celui-ci.
Utilisant un gestionnaire de mdp le mien est aléatoire et unique, mais je doute que ce soit le cas de tout le monde...
Désolé pour le premier message un peu négatif, quand même hâte de continuer à explorer ce site passionnant !
-
Bonjour, je viens juste de m'inscrire et quelle surprise, le mail contenant le lien de validation contient aussi... mon mot de passe, en clair !!
D'où ma question, les mots de passe sont-ils tous stockés en clair malgré tous les risques que ça pose ??
C'est d'autant plus surprenant sur un forum comme celui-ci.
Utilisant un gestionnaire de mdp le mien est aléatoire et unique, mais je doute que ce soit le cas de tout le monde...
Désolé pour le premier message un peu négatif, quand même hâte de continuer à explorer ce site passionnant !
Bienvenue :)
Sur SMF, les pass sont hashés en SHA-1.
J'imagine que le pass que tu tapes est stocké en mémoire juste le temps du traitement du POST (qui envoie l'email de validation).
-
Bienvenue :)
Sur SMF, les pass sont hashés en SHA-1.
J'imagine que le pass que tu tapes est stocké en mémoire juste le temps du traitement du POST (qui envoie l'email de validation).
Néanmoins le mail ne transitant pas forcément de manière chiffrée de bout en bout, ce n’est pas une conduite recommandable que d’envoyer et afficher en clair un MDP.
-
Cela n'aurait pas d'importance s'il s'agissait d'un mot de passe à usage unique avec obligation d'en définir un nouveau à la première connexion, mais cela n'est pas le cas. Pas terrible sur le papier en effet.
J'ai vérifié le mail d'activation et j'ai toujours le même mot de passe :P.
-
Ceci vient du codage du moteur de ce forum: SMF.
Ici, c'est une version de la branche 2.0 qui est utilisée: https://lafibre.info/forum/mentions-legales/msg542247/#msg542247
La 2.0 est sortie en 2011, et la dernière mise à jour corrective est sortie en 2021.
Plusieurs choses s'amélioreront avec l'implémentation de SMF 2.1 dans ce forum.
-
Le mot de passe n'est pas stocké en clair dans la base de donnée, (d'où le fait qu'en cas de changement de pseudo ou de perte de mot de passe, la seule solution est la réinitialisation), mais il est transmis en clair dans le mail de bienvenue.
Cela sera changé avec la prochaine mise à jour (plus d'envoi du mot de passe par mail), car ce n'est vraiment pas une bonne pratique.
-
D'un autre coté, je ne vois pas comment transmettre le mot de passe au demandeur lors d'une récupération de mot de passe oublié !
Faut bien qu'il le lise, non ? ;D
-
D'un autre coté, je ne vois pas comment transmettre le mot de passe au demandeur lors d'une récupération de mot de passe oublié !
Faut bien qu'il le lise, non ? ;D
Le mot de passe ne peut pas être récupéré, seulement réinitialisé : c'est-à-dire modifié
-
Néanmoins le mail ne transitant pas forcément de manière chiffrée de bout en bout, ce n’est pas une conduite recommandable que d’envoyer et afficher en clair un MDP.
Même chiffré de bout en bout, je parie que ça finira chez un provider américain qui n'a aucun souci à lire tes mails ;D
-
Le mot de passe ne peut pas être récupéré, seulement réinitialisé : c'est-à-dire modifié
Je sais pas, jamais oublié mon mot de passe sur LafibreInfo, certains sites te renvoient ton mot de passe.
Mais du coup ça ne change rien niveau sécurité, si c'est un tiers qui a accès à ton mail, demande la réinitialisation, il va recevoir le lien pour réinitialiser et il pourra usurper le compte.
-
Aujourd'hui plus aucun site ne renvoie le mot de passe si tu l'as perdu, car cela signifie qu'il serait en clair sur le serveur.
Une personne qui arriverait à corrompre le serveur pourrait récupérer tous les mots de passe !
La procédure est toujours une réinitialisation.
Sur SMF (le moteur utilisé par lafibre.info) en cas de changement de pseudo, la réinitialisation est obligatoire, parce que le pseudo doit rentrer d'algorithme pour saler* le mot de passe.
* Le salage des mots de passe, aussi appelé password salt en anglais, consiste à ajouter une portion de données aléatoires au mot de passe avant de le soumettre à l'algorithme de hachage de façon sécurisée.
-
OK merci pour ces réponses !
-
Hello,
En effet c'est une bad practice à proscrire, mais qui se faisait couramment sur les forums et autres CMS au temps ou la sécurité de l'identité n'était pas encore mature.
Malgré le fait que SMF ait pris un coup de vieux niveau code, c'est un CMS gratuit que j'apprécie particulièrement!
@Vivien, le passage en 2.1 est prévu? Je vois qu'on est en 2.0 dans les credits.
De ce que j'avais vu à l'époque, SMF 2.1 utilise l'algo one-way, CRYPT_BLOWFISH avec un cost a 10 par défaut pour les mots de passe.
Si j'avais une suggestion à donner, ça serait de profiter de cette mise à jour pour implementer du passwordless du MFA, ça permettrait de mitiger toute tentative de takeover.
Un dernier conseil destiné à toutes personnes utilisant n'importe quelle plateforme, bien que je suis persuadé que ce ne soit pas le cas ici:
Utilisez toujours des mots de passes unique par site, rien n'empèche un administrateur de modifier son code afin de stocker les mots de passe en clair ou encore de logger, toujours en clair, toutes les tentatives infructueuses.
-
Même chiffré de bout en bout, je parie que ça finira chez un provider américain qui n'a aucun souci à lire tes mails ;D
Tu en connait beaucoup des provider Français indépendant de l'Etat (Laposte.net, FAI) et qui soient suffisamment fiable ? ;)
La France entière est gangrenée par le @gmail.com ... :(
-
La France entière est gangrenée par le @gmail.com ... :(
S'il y avait une alternative aussi simple d'utilisation et proposant les mêmes services, gratuitement bien entendu ...
-
HS sur les mails : il y'a un comparatif des fournisseurs mails européen ici fait par la communauté Next : https://docs.google.com/spreadsheets/d/1hKss7oFiWwg_CmbyVSlQyxkymV1lhgkMP7CQ2BeDKbE/
En même temps si beaucoup de gens sont chez Gmail c'est par facilité et que à l'époque l'offre était alléchante sur la quantité de stockage de la boite mail qui s'agrandissait au fil du temps ( je me rappelais d'une animation sur la page de présentation de Gmail vantant cela )
-
Comparatif hébergé par Google, Next ::)
-
Oui SMF 2.1 va arriver cet été (désolé, cela a décalé).
Si j'avais une suggestion à donner, ça serait de profiter de cette mise à jour pour implementer du passwordless du MFA, ça permettrait de mitiger toute tentative de takeover.
Pour le MFA (Multi Facteur Authentification) cela sera une bonne chose, si je trouve une solution simple et gratuite via une app type Authy. Je n'ai pas regardé.
-
je préférerais un oauth ou 'social login'.
Gérer des comptes et des mdp c'est un métier et un savoir faire qui demande de gros moyens techniques et humains pour bien le faire. Autant s'appuyer sur des tiers qui le font bien plutôt que de chercher a tout faire soi-même moins bien voir mal.
-
Me souvenant n'avoir pas eu besoin de renseigner mes codes de moyens de paiement lors de mon inscription à La Fibre, la gestion des mots de passe ne me semble pas être d'importance stratégique majeure 8)
D'autant que les marchands de soupe déguisés sont repérés par IH avant même que d'avoir eu le temps de moufter, les exemples sont nombreux.
-
Supprimer la ligne de code html qui indique le mot de passe en clair dans le mail de bienvenue serait efficace ;)
-
Oui SMF 2.1 va arriver cet été (désolé, cela a décalé).
Pour le MFA (Multi Facteur Authentification) cela sera une bonne chose, si je trouve une solution simple et gratuite via une app type Authy. Je n'ai pas regardé.
Bonne nouvelle dans ce cas, SMF 2.1 supporte le 2FA par défaut, j'ai réalisé un test en local et ça fonctionne nativement avec Microsoft Authenticator par exemple. (;
Il suffit ensuite d'entrer le code OTP fourni par l'app où on s'est enroll.
Admin:
(https://i.imgur.com/ZV4CO57.png)
User:
(https://i.imgur.com/V8RIObW.png)
(https://i.imgur.com/kmASudv.png)
-
Bonjour,
Je n'ai pas essayé SMF de mon côté. Je préfère phpBB qui n'a pas encore de 2FA nativement.
Donc je regroupe parmi les communiqués et les retours sur internet.
Côté SMF, c'est plutôt léger en communication.
Many security enhancements, including support for optional Two Factor Authentication
https://www.simplemachines.org/community/index.php?topic=580585.0
Et un peu plus complet mais avec une erreur dedans:
Hello all!
It's been a steady two weeks since we released the first beta of SMF 2.1 and since then we've had mostly positive feedback I think, we have fixed a few bugs and did a few improvements marching towards Beta 2 and a part of that was Two-Factor Authentication which I implemented over last week.
Two Factor Authentication adds an additional layer of security over your usual username and password, it works by pairing a device using a compatible app to your account which would then be required whenever you wish to log-in again into the forums. This allows security against those who even managed to steal your username/password, blocking them off as long as they don't have the paired device. For more technical details of the implementation, have a look at the original pull request. SMF 2.1 is compatible with apps listed on the Wikipedia entry here, allowing you to pair with any one app of your preference.
Admins get the option to disable, enable (default) and force 2FA for all users. Although I personally would not recommend forcing 2FA for all since it does require a separate dedicated device but if you wish for that, the option is available. If you're impatient you can checkout GitHub master right now and see it in action (Not recommended for production) or wait for Beta 2 and further releases. With SMF 2.1 we have juiced up the security by a good margin, hopefully you'll like that.
I've attached a few screenshots of it in action, subject to change. These are from the latest build as of this post and I was using Authy for Android as a client but I couldn't take it's screenshots since it wouldn't allow me.
Thank you!
https://blogs.simplemachines.org/dev/530816/Two+Factor+Authentication+in+SMF+2.1
Cela date de 2014, la 1ere beta de la 2.1.
L'erreur est surtout le lien "Wikipedia entry here" (je n'ai pas intégré le lien, voir la source). Elle envoi à la page https://en.wikipedia.org/wiki/Time-based_one-time_password#Client_implementations ... où il n'est fait aucune mention de la solution de Microsoft. Pourtant réussi nativement par X ici présent.
Donc il y un lien dans cette page Wikipédia qui est la bonne: https://en.wikipedia.org/wiki/Comparison_of_OTP_applications
Authy en fait parti, à priori.
J'ai trouvé des infos d'une solution 2FA par email (ou déjà par application mobile) dans SMF, mais c'est uniquement par un mod.
Rien par SMS.
Et pour les fous de sécurité, rien sur tout ce qui est encore plus sécurisé qu'Authy &co (clé de sécurité, biométrie, ou MFA qui est juste basé sur la sécurité du facteur le plus sécurisé mais ce n'est pas le sujet ici).
Côté paramètre, je n'ai pas trouvé de retours sur les différents choix. Juste pour un mod pour du 2FA par email (ou déjà par application mobile) où il met 4 choix. Je ne sais pas si les devs de SMF s'en sont inspirés ou pas: Disabled, Enabled, Force on selected membersgroups, Force for all users.
Nativement dans SMF 2.1, j'ai cru aussi voir qu'on peut désactiver le 2FA déjà en place pour un compte en cas de blocage avéré, mais c'est écrit trop succinctement pour être sûr:
This PR adds support for 2FA for SMF using TOTP protocol, allowing users to register a secondary layer of authentication via a device with app such as Google Authenticator, Authy, Duo Mobile etc.
This implementation is based on RFC 6238 Time-Based One Time Password protocol, The user can register a secondary 2FA device via their Account Settings profile area allowing them to add a layer of security upon logging in. This setup provides them a backup code as well, should they lose the device they can use this (it is recommended to store this backup code in a secure place and use only in emergency).
Internally the authentication is stored in a cookie generated with the data sha512(tfa_backup + password_salt), this is checked in loadUserSettings and the user is logged out if it fails and is forwarded to 2FA login screen.
To-do:
Allow Admins to enable, disable and force 2FA
Allow Admins to disable 2FA on other members
Add credits for \TOTP\Auth class to contributors/credits etc
https://github.com/SimpleMachines/SMF/pull/2547
-
Implémenter les clés d'accès (https://fr.wikipedia.org/wiki/Cl%C3%A9_d%27acc%C3%A8s) avec WebAuthn (https://fr.wikipedia.org/wiki/WebAuthn) serait un bel exemple de pratique à démocratiser.
-
Pour SMF, il existe une extension payante pour intégrer du 2FA depuis SMF 2.0 (et peut être SMF 1.1).
Avec phpBB, que je connais mieux, il existe une extension gratuite qui fonctionne depuis phpBB 3.2. Même si la dernière version de l'extension se contente des dernières versions phpBB du moment de sa sortie (mini 3.3.1 et mini 3.2.10).
phpBB 4 est en cours de dev, et personne ne le demande en natif.
Ici, on est juste des gros geek. Mais un forum de notre côté, c'est rarement un gros besoin de sécurité. Une extension est suffisante pour le proposer.
C'est juste dommage et très capitaliste que dans la communauté de SMF ce soit une extension payante (jusqu'à la sortie de SMF 2.1 qui rend quasi inutile cette extension).... pour le coup, c'est très marché de niche. Je trouve que le système à la phpBB est un bon équilibre.
-
Ce que j'ai montré n'a rien de payant, c'est intégré nativement à SMF, et en beta depuis 2014.
Concernant une éventuelle extension payante, en soit c'est simplement le modèle capitaliste dans lequel nous sommes, et cela s'applique pour tous types de CMS existant.
J'ai eu l'occasion de gérer plusieurs forums, sur plusieurs plate-forme, allant de vBulletin à IPB en passant par phpBB ou autre pun/fluxbb, et force de reconnaître que de nos jours, l'authentification multifacteur est un fondement de la sécurité de l'identité, à mon sens il faut différencier la criticité du besoin, et la demande du public, le public n'a pas forcément conscience des risques encourus alors que nous, administrateurs, avons une vue d'ensemble ainsi qu'une responsabilité envers les données et la sécurité de nos utilisateurs.
En revanche il ne faut pas aller non plus à l'extrême. Le ratio temps/coût de développement et d'intégration d'une solution passwordless pour un forum est overkill, d'autant plus que cela requiert des pré-requis que toutes plateformes clientes ne peuvent pas forcément supporter.
Cela peut être un chantier réalisé sur le long terme, mais pour l'instant le landscape actuel consiste en l'arrêt de transmission des mots de passe en clair par email, et l'ajout d'un facteur pour éviter l'overtake d'un compte, tout cela le plus simplement possible par l'équipe, et si possible, sans augmenter la surface d'attaque en utilisant d'obscures plugins probablement non audités.
-
Ce que j'ai montré n'a rien de payant, c'est intégré nativement à SMF, et en beta depuis 2014.
Je sais parfaitement.
https://blogs.simplemachines.org/dev/530816/Two+Factor+Authentication+in+SMF+2.1
Cela date de 2014, la 1ere beta de la 2.1.
Et ce n'est même plus du tout en beta.
C'est inclus dans SMF 2.1, sorti officiellement en version stable en 2022.
Many security enhancements, including support for optional Two Factor Authentication
https://www.simplemachines.org/community/index.php?topic=580585.0
-
Cela peut être un chantier réalisé sur le long terme, mais pour l'instant le landscape actuel consiste en l'arrêt de transmission des mots de passe en clair par email, et l'ajout d'un facteur pour éviter l'overtake d'un compte, tout cela le plus simplement possible par l'équipe, et si possible, sans augmenter la surface d'attaque en utilisant d'obscures plugins probablement non audités.
Après en effet comme il a été dit dans ce fil de discussion, il faut pondérer les efforts en fonction de la criticité de la chose. Le TFA est un "nice to have", mais si mon compte se fait pirater (probablement via la ré-utilisation des quelques mots de passe "basse sécurité" que j'utilise pour tout ce qui n'est pas critique), il suffira de contacter Vivien pour qu'il fasse le ménage - même si en effet, il a peut-être d'autres choses à faire ! Entre-temps l'usurpateur aura peut-être posté quelques messages disant que le réseau de Free est infiniment supérieur à tous les autres, que le FFTLA ne doit pas être appelé fibre ou que les éoliennes c'est le mal, mais je ne pense pas que ce sera un grand drame.
Au final il me semble que sur ce forum, le plus grand risque est une tentative d'attaque/takeover de comptes par des anciens membres "revanchards" (on a eu quelques cas...);
Ce forum reste un "hobby" pour Vivien et il faut aussi qu'il trouve du plaisir ou de l'intérêt aux moyens de sécurité qui seront mis en place. Tant que les mots de passe ne sont pas stockés en clair...
-
Je suis d'accord avec toi dans l'ensemble, notamment pour la partie hobby, etc. ! (;
En revanche pour le 2FA, c'est un nice to have, sauf si cela s'applique à un compte disposant de privilèges, prenons celui de @Vivien par exemple, ce qui peut mener à un disaster, voire à un deface du site, si la partie serveur web est mal configurée, à travers de l'EoP.
Il le faudrait donc à minima sur les comptes à privilèges, puis en optional sur les membres, même si forcer le MFA est une pratique qui tend à devenir obligatoire, on peut "encore" pondérer cette fonctionnalité pour les standard end-users, et la plus belle des transitions consisterait à rendre ce choix possible dans un premier temps.
-
Très bonne remarque en effet
-
Du coup, je me demande si SMF 2.1 permet de forcer le 2FA uniquement selon le groupe de forum.
Si oui, ce serait de forcer que pour les modérateurs (s'ils sont préalablement d'accord). Et de toute façon, ça va forcer déjà Vivien à utiliser le 2FA pour le forcer à d'autres.
-
Je regarderai après la migration ce qu'il est possible de faire.
-
En ce qui me concerne, je trouve le 2FA extrêmement pénible, et je préfère l'éviter, sauf si nécessité. Et à mon avis, il n'a aucune nécessité, il n'y a pas eu à ma connaissance de problème particulier avec le 1FA. Et on n'enregistre pas de carte bancaire sur lafibre.info...
Dernièrement, j'ai eu un souci sur un site où mon adresse mail était enregistrée, je n'ai jamais reçu le code pour le 2FA. Il a fallu que je passe par le support pour enregistrer mon numéro de portable. Mais je trouve que c'est donner aussi beaucoup d'informations à certains sites, et se faire ensuite spammer.
Je me suis fait aussi volé mon téléphone portable il y a 6 mois, et cela a été plutôt galère, à cause de cela justement. Mais c'était quand même avant que Free mobile n'impose le 2FA pour se connecter à son site, uniquement avec le numéro de portable. Comment on fait quand on a perdu ou s'est fait voler son portable, et que l'on doit commander une nouvelle SIM ?
Après des semaines de nombreuses protestations d'abonnés, ils ont finalement accepté d'utiliser l'adresse mail de contact, quand la première méthode échoue.
Mais de grâce, restons simple quand il n'y a aucune obligation de faire compliqué.
-
Aujourd'hui plus aucun site ne renvoie le mot de passe si tu l'as perdu, car cela signifie qu'il serait en clair sur le serveur.
Une personne qui arriverait à corrompre le serveur pourrait récupérer tous les mots de passe !
La procédure est toujours une réinitialisation.
Sur SMF (le moteur utilisé par lafibre.info) en cas de changement de pseudo, la réinitialisation est obligatoire, parce que le pseudo doit rentrer d'algorithme pour saler* le mot de passe.
* Le salage des mots de passe, aussi appelé password salt en anglais, consiste à ajouter une portion de données aléatoires au mot de passe avant de le soumettre à l'algorithme de hachage de façon sécurisée.
Il y a 2 ou 3 ans (je ne sais pas si c'est encore le cas), j'avais réinitialisé un mot de passe nordnet et plus tard j'avais reçu un courrier de bienvenue imprimé avec ce même mot de passe... J'ignore si c'est toujours le cas mais à l'époque je n'avais pas spécialement signalé mais j'avais pas trouvé la pratique tip top.
En ce qui me concerne, je trouve le 2FA extrêmement pénible, et je préfère l'éviter, sauf si nécessité. Et à mon avis, il n'a aucune nécessité, il n'y a pas eu à ma connaissance de problème particulier avec le 1FA. Et on n'enregistre pas de carte bancaire sur lafibre.info...
Dernièrement, j'ai eu un souci sur un site où mon adresse mail était enregistrée, je n'ai jamais reçu le code pour le 2FA. Il a fallu que je passe par le support pour enregistrer mon numéro de portable. Mais je trouve que c'est donner aussi beaucoup d'informations à certains sites, et se faire ensuite spammer.
Je me suis fait aussi volé mon téléphone portable il y a 6 mois, et cela a été plutôt galère, à cause de cela justement. Mais c'était quand même avant que Free mobile n'impose le 2FA pour se connecter à son site, uniquement avec le numéro de portable. Comment on fait quand on a perdu ou s'est fait voler son portable, et que l'on doit commander une nouvelle SIM ?
Après des semaines de nombreuses protestations d'abonnés, ils ont finalement accepté d'utiliser l'adresse mail de contact, quand la première méthode échoue.
Mais de grâce, restons simple quand il n'y a aucune obligation de faire compliqué.
Je me suis fais la réflexion il y a pas longtemps. Le mieux étant donc d'avoir des backup, avec des yubikey par exemple.
-
Si SMF 2.1 implémente la version complète du 2AF par application mobile (et il me semble que c'est le cas mais Vivien verra ça après la migration pour tout expliquer clairement le moment venu), alors il y aura des codes de backups.
-
Je me suis fais la réflexion il y a pas longtemps. Le mieux étant donc d'avoir des backup, avec des yubikey par exemple.
Demander que les abonnés à un forum public aient une yubikey pour se connecter, au moins en secours, bof. Je sais que l'on ait sur un forum de technophiles, mais quand même, tout le mon ne l'est pas. KISS.
P.S : attention à trop de sécurité, car cela pourrait décourager les gens de venir sur le forum.
-
Bien que le MFA tends à devenir mandatory, je suis d'accord avec toi sur le critère de pénibilité versus la criticité.
Le proposer aux membres en tant qu'option est donc un plus, l'utiliser pour l'équipe est néanmoins fondamental.
En cas de perte, tu as une recovery key textuelle, cela t'es communiqué en one-time à la mise en place.
N’empêche, je suis un adepte du KISS principle, content de voir d'autres personnes l'adoptant! (:
Le but n'étant pas non plus de discriminer les utilisateurs n'ayant pas de matériels adéquats et/ou legacy, pas de solutions overkill, just secure privileged access.
-
Ce n'est pas un peu dépassé le couple Password+MFA, à l'heure du Passkey ?
(C'est une question)
-
Tout comme le 2FA par autre chose que sms ou email, le passkey à l'air, de l'aveu même de Google, pas démocratisable à l'état actuel des usages numériques.
Je ne connais pas bien cette méthode d'authentification pour émettre mes propres hypothèses, mais Google ne compte pas encore imposer le passkey, alors qu'il a pourtant imposé du 2FA, même si les formes les plus simples de leur part sont des codes par sms (vu dans leur FAQ), par email (vu par une personne utilisant un iPhone pour accéder aux services Google), ou encore un code par notification Android (ce que j'utilise mais je suppose que c'est par l'app pre installé "Google" car je n'ai pas le Google Authenticator et jamais de QR code avec Google pour moi pour le moment).
Et en terme de confiance, un des gestionnaires de passkey est 1Password... qui s'est fait piraté pas plus tard que l'année dernière...
-
Je ne connais pas bien cette méthode d'authentification pour émettre mes propres hypothèses
Le mieux c'est de l'essayer, il y a une démo ici : https://passkey.org/
-
ca marche pas mal passkey mais l'adoption est lente. Le smartphone sert de clé avec validation en le déverrouillant (empreinte, code, etc). C'est clairement mieux qu'un mot de passe + 2FA.
-
ca marche pas mal passkey mais l'adoption est lente. Le smartphone sert de clé avec validation en le déverrouillant (empreinte, code, etc). C'est clairement mieux qu'un mot de passe + 2FA.
Et que se passe-t-il si on perd ou se fait voler son smartphone ? Il y a environ 600.000 vols de smartphones par an en France.
https://www.tomsguide.fr/comment-des-telephones-et-ordinateurs-voles-se-retrouvent-a-des-milliers-de-kilometres/
-
Et que se passe-t-il si on perd ou se fait voler son smartphone ? Il y a environ 600.000 vols de smartphones par an en France.
https://www.tomsguide.fr/comment-des-telephones-et-ordinateurs-voles-se-retrouvent-a-des-milliers-de-kilometres/
pas le choix...il faut récupérer une nouvelle SIM chez son opérateur, la mettre dans un nouveau smartphone, et rentrer son compte google/icloud pour récupérer ses données.
-
Avec double authentification avec le téléphone volé? ;)
-
Avec double authentification avec le téléphone volé? ;)
la SIM du tel tel volé sera soit bloquée par le voleur après 3 tentatives, soit par le proprio lorsqu'il appelera son opérateur pour en commander une nouvelle.
-
Et que se passe-t-il si on perd ou se fait voler son smartphone ? Il y a environ 600.000 vols de smartphones par an en France.
https://www.tomsguide.fr/comment-des-telephones-et-ordinateurs-voles-se-retrouvent-a-des-milliers-de-kilometres/
rien tu changes de smartphone et il devient la nouvelle passkey. pas besoin d'attendre la nouvelle SIM.
Conseil : Si vous perdez votre appareil Android, vous pourrez récupérer vos clés d'accès sur un nouvel appareil. Pour cela, connectez-vous à votre compte et indiquez le code, le schéma ou le mot de passe de sécurité de l'appareil perdu.
Source: https://support.google.com/chrome/answer/13168025
ton PC ou tablette peux aussi servir de passkey secondaire.
-
ca marche pas mal passkey mais l'adoption est lente. Le smartphone sert de clé avec validation en le déverrouillant (empreinte, code, etc). C'est clairement mieux qu'un mot de passe + 2FA.
Le smartphone est la solution la plus courante, mais pas la seule : par exemple tu peux aussi utiliser un Mac avec lecteur d'empreinte, et même répliquer les Passkey entre tes appareils Apple si tu en as plusieurs.
Par contre suivant ton équipement le Passkey peut être répliqué entre tes appareils ou pas. Dans le premier cas il est récupérable en cas de perte/vol, dans le second cas il faut en générer un autre après avoir utilisé un autre moyen d'accès au service. Le site de démo indique si le Passkey généré est répliqué/réplicable ou pas, dans mon cas celui généré sur un Mac avec Safari est répliqué entre mes appareils, celui généré sur Brave ne l'est pas, et ne peut être utilisé que depuis cette instance de Brave. Rappel : https://passkey.org/
-
Les passkeys sont à destinés à remplacer les mots de passes, c'est un "nouveau" paradigme concernant l'authentification.
Et il s'agit de ce que j'ai susmentionné en tant que méthode passwordless.
En soi, le passwordless est intrinsèquement une méthode d'authentification multi facteurs, étant donné qu'elle crée une paire de clés cryptographique unique utilisable uniquement pour un site/une app précise, lors de l'authentification, un challenge est généralement utilisé et plusieurs facteurs entrent directement en ligne de compte, à savoir quelque chose que l'utilisateur dispose, soit la clé sur le device, et quelque chose que l'utilisateur est ou sait, soit respectivement les données biométriques ou le code PIN.
Si vous perdez votre téléphone, vous disposez d'une recovery key pour le 2FA, comme précédemment abordé.
Concernant les Authenticators, votre compte GAFAM (': sert en général de méthode de récupération, à condition que vous ayez synchronisé vos credentials:
(https://i.imgur.com/2fiWu8v.png)
Microsoft Authenticator
Il est possible de récupérer vos credentials à travers des méthodes de sign-ins legacy, à savoir un combinaison entre le couple email/password, email alternatif, et/ou encore numéro de téléphone, cela dépend des providers et de leurs politiques en termes de sécurité.
Tout cela à déjà été précédemment abordé, dont le passwordless, la perte... Il faut lire.
Aussi, vous ne prenez pas en compte les impondérables, tels que la plateforme utilisée, la detention de device compatible coté utilisateurs (Il existe encore des personnes n'ayant pas TPM, ou même, n'ayant tout simplement pas de smartphone), l'investissement, le temps de développement, le besoin contextualisé, la qualification et les capacités demandés, la réalisation d'un audit de sécurité du module custom, les possibles contraintes hébergement/d'infrastructure, ou encore la volonté de l'équipe, etc.
Oui, il y a toujours mieux que du legacy password + MFA, mais on n'utilise pas un ASN4G pour tuer un moustique posé sur un verre d'eau, même si on pourrait.
Avoir du MFA pour l'équipe, le proposer pour nous les membres, dans un premier temps c'est déjà très bien, arriver à l'enforcer serait encore mieux - au détriment probable d'une catégorie d'utilisateurs n'ayant pas la possibilité d'utiliser du TOTP -, engager un chantier passwordless dans le furtur, pourquoi pas, mais ils faut être rationnel et prioriser ce qui peut l'être, le but n'étant pas d'être forcément à la pointe de la technologie, mais d’apporter un minimum de sécurité.
-
perso je n'utilise pas de clé usb passkey a cause du manque de réplication (yubikey avec lecture d'empreinte pas exemple). Le systeme de passkey fourni pas Google/Android fonctionne pas trop mal. reste a voir l'adoption des passkeys par les autres sites.
apres rien n'empeche de faire un mixe: Android ou iOS pour certains sites, Windows/Mac pour d'autres, clés physiques pour d'autres, etc. du moment qu'on a une méthode de récupération en cas de perte/vol/panne.
La techno est récente et va encore surement évolué suivant l'adoption.
Le probleme est de la démocratiser et l'expliquer simplement sans exiger de l'utilisateur qu'il lise un roman d'explications ou qu'il soit au fait du fonctionnement des technos...
-
le but n'étant pas d'être forcément à la pointe de la technologie, mais d’apporter un minimum de sécurité.
Est-ce qu'un mot de passe complexe généré aléatoirement n'est pas déjà un niveau de sécurité suffisant pour la plupart des sites non financiers ?
Si le site teste l'entropie du mot de passe, puis le stocke haché/salé, on est déjà à un très bon niveau de sécurité, un TOTP n'apporte pas grand chose de plus en réalité
-
La raison a été précédemment abordée, cela n'a rien avoir avec l'entropie.
Tu peux avoir un mot de passe de 256 caractères très complexe et hashed en one-way, salted, de manière sécurisé, tu mitiges certes le bruteforce, mais si ton end-user se fait tout simplement hameçonner, keylogged, MITM, leaked car réutilisé ailleurs, hacked via un exploit, ou autre, plus rien n’empêche le takeover.
Pour TOUT compte disposant de privilège(s), il est nécessaire d'avoir ce genre de protection à minima, au delà de ça, si on entre dans ce genre de considération, toute la "chaîne" doit être protégée, mais pour un forum c'est un peu overkill. On tend à étendre ces protections aux consumers pour éviter la même chose, même si la criticité est moindre.
Il faut savoir également, que même avec du MFA, l'utilisateur peut quand même se faire pwn, notamment via du token replay, l'exploitation d'un méthode de récupération legacy, etc., mais la probabilité diminue quand même fortement et sa mise en place élimine un certain nombre de scénarios, on pourrait même aller plus loin avec la mise en place d'accès conditionnel, mais... non. Restons simple et cohérent.
Le modèle de sécurité global évolue, tout comme les méthodes d'authentification, le paradigme de l'identité change, mais l'héritage legacy est présent, et c'est le cas ici.
Aussi il n'y a pas que la finance, tu as également la défense, la pharmaceutique, les industries, etc. ces segments ont des réglementations à respecter, mais c'est un autre sujet.
Si on suit cette logique d'entropie pure, on pourrait aussi dire que l'entropie d'un PIN, utilisé dans les méthodes d'authentification passwordless, à 4 caractère soit considéré comme insécurisé.
Entre un PIN de 4 caractères numérique, représentant 10^4 possibilités, soit 10 000 combinaisons, et un PIN de 6 caractères numérique, de 10^6, soit 1 000 000 de possibilités, ce dernier conditionne, à la fois une différenciation d’entropie non négligeable, tout en permettant aux utilisateurs de disposer d’un PIN "mémorisable", mais plus complexe à retenir « on-the-fly ».
Un pin à 8 chiffre serait plus sécurisé, mais peut être considéré comme lourd pour le end-user, encore une fois, c'est une question de best practice et de politique de sécurité, 4 étant un minimum à utiliser, même si la tendance globale commence à être de 6.
Mais heureusement, les PINs dits "simple" sont généralement refusé à travers un algorithme spécifique, et les puces types TPM offrent des protections anti-hammering, en pratique, un nombre de tentative continu est autorisé, puis s'applique un throttling à X tentative(s) per X hour(s).
Enfin, il y a les autres facteurs qui sont présents, tout ce qu'un simple password ne peut donc pas sécuriser à lui seul.
My 2 cents, j'ai partagé mon point de vue sur la sécurité de l'identité en espérant aider et éclairer la discussion.
Mes opinions ne sont pas absolues et je ne cherche pas à les imposer. Mon but principal étant d'apporter une contribution utile à ce sujet, qui à mon sens, est important.
-
on pourrait même aller plus loin avec la mise en place d'accès conditionnel, mais... non. Restons simple et cohérent.
Why not?
Discord le fait parfaitement.
Et à 2 niveaux.
Pour ceux qui ne connaissent pas, avec un seul compte Discord, on peut se connecter à plusieurs serveurs en même temps (jusqu'à 100 ou 200 selon les tarifs côté compte).
Il y a le niveau le plus simple: un serveur qui force le 2FA pour tout le monde. Si tu n'as pas de 2FA pour accéder à ton compte, pas d'accès à ce serveur, mais à d'autres serveurs oui.
Et le niveau très conditionnel: un serveur qui demande le 2FA uniquement aux modérateurs (et aussi aux admins en fait). Si tu ne te connectes pas à ton compte via 2FA, tu a accès à ce serveur comme un membre non modérateur et non administrateur (EDIT: même si on a le statut de modo ou admin du dit serveur)... Mais SMF ne le permet pas pour le moment, il me semble.
-
La raison a été précédemment abordée, cela n'a rien avoir avec l'entropie.
Certes, mais de mon point de vue de façon un peu trop "moutonière", c'est pour ça que je bouscule un peu le consensus
Tu peux avoir un mot de passe de 256 caractères très complexe et hashed en one-way, salted, de manière sécurisé, tu mitiges certes le bruteforce, mais si ton end-user se fait tout simplement hameçonner, keylogged, MITM, leaked car réutilisé ailleurs, hacked via un exploit, ou autre, plus rien n’empêche le takeover.
J'entend tes arguments, mes je pense que tu ne vois pas tous les aspects :
D'abord si l'utilisateur est "keylogged, MITM, hacked via un exploit" c'est qu'il est visé par un attaquant sophistiqué et motivé, on peut exclure ce cas pour les usagers d'un forum ?
Ensuite s'il est "hameçonner" son navigateur ne va pas lui pré-remplir le mot de passe et il sera arrêté là (on est d'accord qu'aucun utilisateur lambda ne va taper de mémoire un mot de passe "complexe généré aléatoirement" ?)
Et concernant le "leaked car réutilisé ailleurs", d'abord n'ayant pas mémorisé le mot de passe il ne pourra pas le réutiliser facilement, il sera plus incité à en regénérer un autre dans son gestionnaire de mot de passe plutôt qu'aller rechercher/copier/coller un mot de passe existant (comptons sur sa flemme ça marche toujours), ensuite le leak étant sur des hash salés il est supposé inutilisable.
Bref l'idée de forcer l'utilisateur à utiliser des mots de passe à forte entropie est que cela l'incite très fortement à utiliser un gestionnaire de mot de passe et son générateur de mot de passe aléatoire. Bien sûr il peut y avoir des utilisateurs malveillants qui vont se donner du mal pour contourner les règles, mais les moyens à mettre en oeuvre pour les contrer dépassent largement les moyens d'un forum ou tout autre site non critique.
Mon point est qu'un TOTP n'apporte pas vraiment plus qu'un mot de passe complexe bien géré, le secret partagé n'étant pas fondamentalement différent, alors autant complexifier le mot de passe primaire. En plus ce secret partagé ne pouvant être haché sur le serveur, une fuite silencieuse permet de contourner le TOTP pour tous les utilisateurs, heureusement il ne peut pas être réutilisé entre sites.
Pour aller plus loin il n'y a que la crypto asymétrique, comme dans le Passkey, qui apporte un vrai changement de paradigme
My 2 cents, j'ai partagé mon point de vue sur la sécurité de l'identité en espérant aider et éclairer la discussion.
Mes opinions ne sont pas absolues et je ne cherche pas à les imposer. Mon but principal étant d'apporter une contribution utile à ce sujet, qui à mon sens, est important.
Oui tout à fait, on est d'accord !
-
Je considère personnellement que l'on envisage de compliquer la vie de tout le monde pour un problème qui n'existe pas.
Les vrais problèmes du site, ce sont :
- le DDOS, on l'a vu très souvent, mais ce n'est pas un problème d'authentification, cela ne changerait rien.
- Le spam avec des spammeurs qui enregistrent des comptes sur le forum pour spammer, et qui sont en général très vite détectés. Cela pourrait un peu les dissuader, mais à mon avis pas tant que cela.
- et le dernier problème, on le voit régulièrement, ce sont les dérives de certains vrais abonnés, attaques personnelles, messages politiques..., et là aussi cela ne changerait rien.
-
Why not?
Discord le fait parfaitement.
l'énorme problème du 2FA, c'est qu'à 99% il dépend d'un appareil mobile. et que tout le monde n'en a/veut pas.
yavait le 1% qui pouvait se faire par email, comme chez frandroid (je crois), mais c'est très marginal.
personnellement, hors une banque, hors de question que je relie quelque service à l'appareil le plus volatile du quotidien, juste derrière les clés : cela n'arrivera pas (et fut une des raisons du divorce à couteaux tirés de certains gafam, google en tete de gondole)
Je considère personnellement que l'on envisage de compliquer la vie de tout le monde pour un problème qui n'existe pas.
Les vrais problèmes du site, ce sont :
- le DDOS, on l'a vu très souvent, mais ce n'est pas un problème d'authentification, cela ne changerait rien.
l'intéret de faire un DDOS sur lafibre?
- Le spam avec des spammeurs qui enregistrent des comptes sur le forum pour spammer, et qui sont en général très vite détectés. Cela pourrait un peu les dissuader, mais à mon avis pas tant que cela.
c'est marginal ici..
- et le dernier problème, on le voit régulièrement, ce sont les dérives de certains vrais abonnés, attaques personnelles, messages politiques..., et là aussi cela ne changerait rien.
le monde est fait pour etre imparfait :)
-
Pour ma part je trouve l'approche trust and ignore risks trop candide.
L'utilisation de password à forte entropie incite à l'utilisation d'un password manager... probablement?
Cela reste une bonne pratique de sécurité, cependant, tu négliges le risque faisant que tous les users n'utiliseront pas forcément un manager, le stockeront de manière insécurisé, ou feront un copier coller de leur mot de passe - sans même penser au risque associé -, c'est un fait, et qui s'observe quotidiennement.
Il n'est pas nécessaire d'être une cible spécifique pour être victime d'attaques.
Tu vois un attaquant en particulier là où actuellement, ce sont les bots qui prédominent. Les attaques sont effectuées généralement en masse, mais oui, il est possible également d'être une cible spécifique quand il y a matière à être cibler ou encore pour réaliser de la collecte d'information.
Tu supposes également que toutes les applications et tous les sites utilisent correctement le salting/hashing.
Malheureusement, ce n'est pas toujours le cas, les fuites de données peuvent parfois inclure des password en clair, insecurely hashed, et de manière générale, si le site est compromis, les salts le sont bien souvent également.
Aussi, un mot de passe long peut être une passphrase longue et ré-utilisée souvent, forcer un password à forte entropie n'oblige en rien l'utilisation d'un générateur, d'un password manager, il réduit l'usage de la bad practice, mais elle sera toujours présente et possible, c'est un idéalisme de croire l'inverse, pas une réalité.
Il suffit d'observer les leaks qui se font sur le darknet pour voir à quel point il est courant de voir des mots de passe en clair.
Baser une stratégie de sécurité sur des suppositions revient à ignorer les risques.
Il m'a semblé avoir lu symétrique tout à l'heure dans ta réponse, saches que les deux sont possible, mais l’asymétrique est bien plus répandu.
J'ai également insisté sur l'aspect de priorisation des comptes privilégiés, ce que tu n'as pas retenu. Mais même en tant que simple membre, je n'aimerai quand même pas que quelqu'un accède à mes MPs par exemple.
A mon sens, et dans le cas présent, le 2FA est une couche supplémentaire de sécurité, une protection effective demandant une preuve de la possession d'un deuxième facteur, même si le mot de passe est compromis, ce qui n'est pas le cas d'un mot de passe seul, peu importe sa complexité.
Je ne vais pas m'étendre plus sur le sujet, ce n'est qu'une divergence de point de vue à ce niveau. (;
@turold, pour les raisons suscitées dans mes précédents messages et ta conclusion.
@alain_p, j'imagine que @vivien et son équipe ont déjà dû faire face à ce genre de problématique! Néanmoins, proposer du multi-facteurs en optionnel pour les membres ne pose à mon sens aucune complication.
-
l'intéret de faire un DDOS sur lafibre?
Vu le nombre d'attaques DDOS, qui a obligé Vivien à prendre différentes mesures de protection, certains semblent y voir un intérêt. D'anciens membres mécontents d'avoir été exclus pour leurs dérives, par exemple ?
-
Pour ma part je trouve l'approche trust and ignore risks trop candide.
L'utilisation de password à forte entropie incite à l'utilisation d'un password manager... probablement?
Cela reste une bonne pratique de sécurité, cependant, tu négliges le risque faisant que tous les users n'utiliseront pas forcément un manager, le stockeront de manière insécurisé, ou feront un copier coller de leur mot de passe - sans même penser au risque associé -, c'est un fait, et qui s'observe quotidiennement.
[...]
J'entends bien, mais mon point est surtout que si les MFA sont un palliatif indispensable aux mots de passe faibles et réutilisés, ils n'apportent pas beaucoup plus de sécurité qu'un mot de passe complexe et bien géré (les MFA par mail ou SMS semblent sûr, alors qu'un peu l'ingénierie sociale auprès du fournisseur suffit à les détourner, le secret du TOTP semble bien caché, mais peut être volé, soit dans le cloud de l'utilisateur ou il est souvent répliqué, soit sur le serveur ou il ne peut pas être haché), alors commençons par bien gérer les mots de passe (complexité + hachage/salage) plutôt que de leur adjoindre une béquille imparfaite.
Si l'on a besoin de plus de sécurité qu'un mot de passe, ce qui est souvent le cas je suis d'accord, ne perdons pas de temps avec les fausses bonnes idées des MFA et passons directement aux Passkeys.
Voilà voilà, c'est juste un point de vue divergent, je n'attends pas que tout le monde soit d'accord
-
Vu le nombre d'attaques DDOS, qui a obligé Vivien à prendre différentes mesures de protection, certains semblent y voir un intérêt. D'anciens membres mécontents d'avoir été exclus pour leurs dérives, par exemple ?
un vrai ddos c'est pas gratos, faut une armée de serveurs, ca coute un bras, l'hébergeur peut te jarter, il peut y avoir des conséquences en plus du cout.
on me fera pas croire qu'un "vrai" ddos coute moins de 1000 dollars..
-
C'est possible et j'en m'en suis déjà pris plusieurs, à travers l'exploitation de CVE sur des CMS, type wordpress par exemple.
Autant te dire que ça peut rapidement te faire tomber, vu le nombre de site vulnérable à disposition!
Tout dépends du type d'attaque, tu peux DDoS avec de la bande passante, exploiter un botnet, etc., ou utiliser des vulnérabilités d'implémentation protocolaire, comme par exemple celle qu'il y a eu sur HTTP/2.
-
un vrai ddos c'est pas gratos, faut une armée de serveurs, ca coute un bras, l'hébergeur peut te jarter, il peut y avoir des conséquences en plus du cout.
on me fera pas croire qu'un "vrai" ddos coute moins de 1000 dollars..
Un DDOS part généralement de machines compromises ou mal configurées (qui répondent à la terre entière alors qu'elles ne devraient pas), ça ne coûte quasiment rien à l'exécutant (au commanditaire, lui sans doute ^^).
Toutes ces machines sont regroupées dans un grand réseau (un botnet, un réseau de... bots) qui passent leur vie à attendre leurs instructions de la prochaine attaque. Si une machine est déconnectée, tu t'en fous, ce n'est qu'une parmi des dizaines de milliers, voire plus.
Mais un DDOS ne s'effectue jamais à partir de machines que tu payes et que tu dédies à ça (ou alors faut être vraiment con ou débutant).
Dans mon adolescence, on pétait des bécanes pour installer des serveurs FTP en douce pour le dépot de releases pirates (avant qu'elles vous soient accessibles au grand public par DDL ou torrent). On payait jamais nos propres bécanes.
-
Je confirme que depuis plusieurs années le forum est régulièrement victime de DDOS.
Il semble que ce soit également le cas d'autres forums.
Je trouve moi aussi étonnant que le forum soit plus victime de DDOS que par exemple le site de l'Arcep ou https://fr.archive.ubuntu.com/ qui gère les mises à jour Ubuntu pour la France.