Risque internet, liste d'adresses IP et serveurs boiteux

C'est une bonne astuce !
J'en ai une autre assez similaire, assez connue dans le monde de l'informatique. Il suffit de choisir un mot, puis de remplacer certaines lettres par des chiffres ou caractères spéciaux ayant une forme similaire à la lettre remplacée (le fameux alphabet LEET).
Le plus célèbre (et donc à ne pas utiliser !) est [email=P@ssw0rd]P@ssw0rd[/email].
La même chose avec "voiture" qui devient "V0!tur3"
Pour avoir un mot de passe plus long, on colle 2 mots, comme "V0!tur3_R0ug3"

Jeff01 a écrit:Tu as enguirlandé le concepteur de tes boitiers j'espère

Pas encore. Mais il vient dans 10 jours

Jeff01 a écrit:J'en ai une autre assez similaire, assez connue dans le monde de l'informatique. Il suffit de choisir un mot, puis de remplacer certaines lettres par des chiffres ou caractères spéciaux ayant une forme similaire à la lettre remplacée (le fameux alphabet LEET).
Le plus célèbre (et donc à ne pas utiliser !) est [email=P@ssw0rd]P@ssw0rd[/email].
La même chose avec "voiture" qui devient "V0!tur3"
Pour avoir un mot de passe plus long, on colle 2 mots, comme "V0!tur3_R0ug3"

C'est une mauvaise astuce.
Les différentes substitutions étant connues, un attaquant utilisant un dictionnaire met peu de temps à essayer toutes les combinaisons pour chaque mot.

J'étais passé a côté de ta réponse.
C'est bien évidemment faux, ce n'est pas une mauvaise astuce.

 Comme il est impossible de savoir quelle(s) lettre(s) a été substituée, ni par quel caractère (il y a souvent plusieurs choix comme le "A" pouvant être remplacé par un 4 ou un @), un simple calcul statistique montre que l'attaque par dictionnaire échoue dans la plupart des cas.
Les principales substitutions sont connues, mais pas toutes, puisque libre à chacun de les imaginer.
Les meilleurs dico qui tournent sur le darknet comportent quelques centaines de milliers de mots, dans 18 langues. Si pour chacun de ces mots il faut ajouter plusieurs centaines de combinaisons, le forçage prend à nouveau un temps bien trop long pour être pratiqué.
Donc je persiste et signe, ce n'est pas une mauvaise astuce. C'est infiniment plus "secure" que le classique 1234 ou password, et à la portée de tout le monde. Et bien plus utile que le mot de passe de 18 caractères mélangés impossible à retenir et qui se retrouve écrit sur un post-it sous le clavier. C'est un conseil donné par les plus grandes boites de sécurité en informatique, dont celle ou j'ai bossé, c'est donc que ça doit pas être si mauvais

Jeff01 a écrit:...un simple calcul statistique montre que l'attaque par dictionnaire échoue dans la plupart des cas.

Faisons un calcul donc :
Supposons que pour chaque lettre, j'ai 3 substitutions possibles (ce qui n'est pas ce qu'on retrouve en pratique), on aura donc 4^n combinaisons possibles par mots (où n est la longueur du mot).
On remarque qu'on est encore loin des 26^n combinaisons possibles si on fait une attaque en force brute.

Pour un mot de 10 lettres, j'ai donc 1million de combinaisons.
Avec Hashcat, cela prend moins d'une seconde.
Prenons un cas extrême : 1million de combinaisons par mot quelque soit la longueur du mot et mon dictionnaire contenant 1 million de mot.
Tu es d'accord, que je suis vraiment sur une limite haute.
A 1million de mot de passe par seconde, cela me prend 6 jours en moyenne à cracker (12j maxi).
C'est long mais pas bloquant.

Or 1 million de mot de passe à la seconde, c'est avec la machine à pépé.
Le benchmark visible sur le lien montre 15904 millions de hash à la seconde!
Il faut dans ces conditions moins d'une minute en moyenne (66 secondes maxi).

Pour l'instant, la meilleure solution (jusqu'à ce que les cracker disposent d'une option pour faire des combinaisons à partir des dictionnaires) est de rallonger les mots de passe.
Et la meilleure solution pour se rappeler des mots de passe longs est d'en faire des phrases...

Bonus : Une interview d'Edouard Snowden

Ce taux de hash annoncé est bidon. Teste le et tu verras. En pratique, quand tu tourne à quelques centaines de milliers de possibilités / seconde sur une bonne machine, t'es content.
Et encore, si tu relis mon post de départ, tu verras que je conseille de coller 2 mots ... Donc mets au carré ta valeur
Et 2 mots, c'est presque une phrase... Donc tu conseille la même chose que moi  
Sauf que ma solution est un peu plus à la portée de madame Michu , certes un poil moins poussée, mais plus facile à mettre en oeuvre.
Donc tu coupe un peu les poils de cul en 4  Et je t'invite donc à ne plus dire que les actuces des autres sont mauvaises quand tu donne à peu près la même ensuite

Et puis pour conclure, il faut stopper un peu aussi la parano à l'ultra complexité, il est tout aussi idiot de protéger un lingot dans une boite en carton qu'une pièce de 2 euros dans un véritable coffre fort
Mettre une passphrase de 64 caractères pour sécurisé ses photos de vacances et son compte en banque avec 318€55 dessus, c'est useless hein

Jeff01 a écrit:...quelques centaines de milliers de possibilités / seconde sur une bonne machine, t'es content.

Le chiffre annoncé est énorme je te l'accorde.
Mais, avec les nouvelles cartes graphiques, quelques MH/s sont à portée de bourse de tout un chacun.

Jeff01 a écrit:Sauf que ma solution est un peu plus à la portée de madame Michu , certes un poil moins poussée, mais plus facile à mettre en oeuvre.

Mignonne, allons voir si la rose...
Les sanglots longs des violons de l'automne...
Tiens! Voilà du boudin!
...
C'est peut-être plus facile que P@$sw0rd (c'est un exemple)
Madame Michu, c'est ma mère. Et les bidouilles, elle a du mal.
Par contre, elle se rappelle très bien des récitations de son enfance...

Jeff01 a écrit:Donc tu coupe un peu les poils de cul en 4  Et je t'invite donc à ne plus dire que les astuces des autres sont mauvaises quand tu donne à peu près la même ensuite

J'aurais dû dire que c'est une fausse bonne idée.

Jeff01 a écrit:Et puis pour conclure, il faut stopper un peu aussi la parano à l'ultra complexité, il est tout aussi idiot de protéger un lingot dans une boite en carton qu'une pièce de 2 euros dans un véritable coffre fort
Mettre une passphrase de 64 caractères pour sécurisé ses photos de vacances et son compte en banque avec 318€55 dessus, c'est useless hein

Pas d'accord (tu remarques que je n'ai pas dit que c'était des conneries).
On sait ce qu'il est possible de faire avec des données personnelles!
Le net est plein de ces histoires d'usurpation d'identité et de malversation à cause de quelques papiers abandonnés sur le trottoir.

Même si je n'ai rien à cacher, je n'ai pas envie que n'importe qui sache tout de moi!

Salut,
@ Menuki et Jeff01,
Merci messieurs  ,ça défouraille sec mais avec force smileys et humour,la modération vous remercie

Par exemple j'utilise la liste des voitures et de l'unique (petite) moto que j'ai possédé depuis 40 ans. Même en comprenant le principe le choix est tellement vaste en tenant compte que cela combine marque et modèle et la moto était très marginale et bien oubliée.

Jeff01 a écrit:"le mot de passe de 18 caractères mélangés impossible à retenir et qui se retrouve écrit sur un post-it sous le clavier."

Tu as aussi l'option collé sur le bord de l'écran ou carrément punaisé sur le mur.
Tout cela bien visible,et lisible, depuis le couloir ou la rue.
 
Après,plus le mdp est long plus les gens ont tendance à faire des erreurs de saisie pouvant
aller jusqu'au blocage de compte.
Ensuite,il y a la nuance entre impossible à retenir et n'ayant pas envie de fournir le (petit)
effort de mémorisation nécessaire.
Au pire la mémoire cela se travail,exercice 1 :connaitre l'adresse exacte de son lieu de travail et son numéro de bureau.
Pas mal d'ici doivent connaitre cette vielle devise:
"Le problème est entre la chaise et le clavier"
 
Depuis,le début de l'informatique,un mot de passe n'est vraiment valable que lorsque son temps de vie est inférieur au temps nécessaire pour le casser.

Salut,
on va peut être scinder ce fil vers un topic sur la sécurité informatique.
Pour ma part, je cherche plus à contrôler les infos que je disperse sur le net qu'à sécuriser en mode jusqu'au-boutiste absolument tous les comptes que je crée.

Ces dernières années, il y a eu énormément de failles de sécurité et de piratages ayant compromis énormément de comptes divers et variés. Si je me souviens bien, Yahoo s'est fait voler presque un milliard de comptes.
Cela peut tout aussi bien toucher un truc aussi banal qu'un ours en peluche qui envoie des messages des parents aux enfants...et dont les millions de fichiers audios se retrouvent sur la toile :
Internet of Things Teddy Bear Leaked 2 Million Parent and Kids Message Recordings

Pour Oldu, c'est du HTTP (https est proposé pour l'instant, mais il semble payant et encore en test), il suffit d'écouter ce qui passe sur le réseau ou d'être un noeud pour voir les accès admin passer...
Donc mot de passe à rallonge ou pas, il y a bien un problème sur un environnement sauvage que l'on ne contrôle pas du tout.

En local, je pense qu'il est beaucoup plus rentable à quiconque souhaite espionner une personne d'introduire un keylogger ou d'écouter le wifi que de s'amuser à force-bruter des mots de passe, sachant que pas mal de sites se bloquent au bout de plusieurs tentatives échouées.
Sachant que la plupart des OS particuliers sont des Windows pas à jour avec un paquet de failles critiques.
Comment déjouer jusqu’à 94% des vulnérabilités critiques découvertes dans Windows et les outils Microsoft ?

La société Avecto qui fournit des solutions de sécurité, a analysé l'intégralité des patchs fournis par Microsoft en 2016 et a pondu un petit rapport que vous pouvez télécharger ici.
Et la conclusion est sans appel : 94% des vulnérabilités critiques découvertes et publiées lors des fameux "Patch Tuesday" peuvent être déjouées en utilisant un compte qui n'a pas de droits administrateurs.
De plus, ils ont noté une augmentation de vulnérabilités made in Microsot de 62% depuis 2013 et bizarrement ou pas, Windows 10 qui est quand même l'OS le plus récent est celui qui a le plus de vulnérabilités. Bien plus que n'importe quel OS concurrent et 46% de plus que Windows 8 ou 8.1.

La première chose est surtout de ne pas utiliser le même partout, mais cela complique les choses.
Perso, FF enregistre mes mots de passe, surtout pour éviter que je les entre devant d'autres personnes; mais le mdp principal est vraiment coriace.

Salut,

Souvenez-vous tout de même que, de plus en plus souvent, il est possible d'utiliser une authentification "à deux facteurs", que ce soit avec un code envoyé sur votre portable, avec un bidule électronique qui donne des codes à usage unique, ou avec une carte à puce (ou l'équivalent en USB, genre yubikey).

C'est loin d'être une solution absolue, mais ça protège d'un bon nombre d'attaques sur les mots de passe...

Un article (en anglais) concernant l'inutilité (voire la contre-productivité) des règles de définition des mots de passe
Password Rules Are Bullshit

Pour résumer en une phrase : Cela ne sert à rien d'utiliser des règles censées augmenter la sécurité des mots de passe.
La seule règle qui devrait être valide est d'utiliser des mots de passe long (>15 caractères).

Pour revenir un peu sur la discussion précédente :
Quels sont les risques de se faire pirater?
En quoi mon mot de passe peut être une bonne protection?

Soit, quelqu'un vous en veut personnellement et là, ce n'est qu'une question de temps et de moyens avant qu'il n'arrive à ses fins.
Un bon mot de passe rendra toutefois la chose plus difficile.

Une autre menace est le vol de base de données utilisateurs.
Dans ce cas, le pirate va tenter de retrouver le maximum de mot de passe pour revendre ces listes et les données associées.
Dans ces cas là, le pirate n'a pas vraiment d'intérêt à s'acharner sur les quelques mots de passe qui n'ont pas réussi à être craqués via le dictionnaire ou autre.
Cette fois-ci, un bon mot de passe vous donnera de grandes chances de passer à travers les mailles du filet.

A quoi servent les listes d'utilisateurs avec mots de passe?
La plupart des utilisateurs utilisent le même mot de passe sur plusieurs sites.
Donc, si vous utilisez le même mot de passe sur AOL et sur Paypal, vous avez de grandes chances de voir votre compte débité même si la protection de Paypal est largement supérieure à la protection d'AOL.

Enfin, pour finir, qu'est-ce qu'un bon mot de passe?
C'est un mot de passe contre lequel on n'a pas de stratégie d'attaque connue et qui oblige donc à une attaque en force brute (donc gourmande en temps et en ressource) pour être cracké.

Pour l'instant, et jusqu'à ce que les crackers intègrent des stratégies de combinaisons de mots de dictionnaire, AMHA, le meilleur conseil qu'on peut fournir à un utilisateur lambda :
- qui n'est pas assez paranoïaque,
- qui n'a pas la capacité,
- qui ne veut pas faire l'effort
de mémoriser des tas de combinaisons de caractères aléatoires, est de lui proposer d'écrire des suites de mots.
Cette technique a le mérite de considérer l'utilisateur pour ce qu'il est : un être humain qui mémorise plus facilement des idées/des concepts que des données.

@Wana

Je prends. Merci du tuyau. 

Sachant que pour prendre des mots au hasard, il faut ouvrir un dico et y mettre le doigt.