+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Général (https://jeuweb.org/forumdisplay.php?fid=36)
+--- Forum : Blabla (https://jeuweb.org/forumdisplay.php?fid=42)
+--- Sujet : Avez-vous déjà utilisé des phrases secrètes à la place des mots de passes ? (/showthread.php?tid=6069)
RE: Avez-vous déjà utilisé des phrases secrètes à la place des mots de passes ? - Racktor - 02-08-2012
Bha pour moi c'est trés simple, il faut mettre au courant le membre dès son inscription sur ce que l'on va faire des informations qu'il donne, c'est un minimum je trouve.
Pour moi ce n'est pas éthique si c'est caché
RE: Avez-vous déjà utilisé des phrases secrètes à la place des mots de passes ? - archANJS - 02-08-2012
Racktor a écrit :Bha pour moi c'est trés simple, il faut mettre au courant le membre dès son inscription sur ce que l'on va faire des informations qu'il donne, c'est un minimum je trouve.
Pour moi ce n'est pas éthique si c'est caché
Ouaip, je suis d'accord avec toi.
HS/ D'ailleurs, (question banale
) comment appelez-vous ce "document", vous? Politique de privacité, CGU, Règlement, Disclaimer, autre? /HS
RE: Avez-vous déjà utilisé des phrases secrètes à la place des mots de passes ? - Damocorp - 02-08-2012
J'approuve entièrement.
J'ajouterai juste une parenthèse. Depuis peut je ne Md5 pas seulement les mots de passe. Je les modifie aussi simplement comme ceci :
Exemple de mot de passe utilisateur : papa
Mot de passe avant md5 : variable_papa
et en md5 vous savez ce que ça donne.
Pourquoi rajouter une variable ? Simplement car en me renseignant, j'ai appris qu'il existe des site de traduction du Md5. Entendez par la que des petits malin on fait une BDD avec tous les md5 les plus connus et régulièrement utilisé.
Vous rentrée le md5 et ça vous ressors papa... Génial non ?
Donc avec un variable assez longue ils peuvent toujours courir pour la traduire
EDIT réponse post entre temps : Aucune idée pour le document. Je compter le copier simplement sur des gros sites et pas me tracasser avec cela.
De toute façon, les gens sérieux sont rare et ceux pour le lire encore plus ^^
C'est juste au cas ou j'aurai fait le gros boulet laisser une faille sur les injections SQL. Deux sécurité valent mieux qu'une !
Mais bon quand on lit des articles ou il est dis que 60% des serveurs ne sont pas sécurisés dans le monde, c'est finalement se dire que s'il y arrive pas chez nous, ils auront tout aussi vite fait d'aller chercher ailleurs plutôt que de s'emmerder plus sur nos script et config ^^
Depuis que j'ai un dédié, j'ai investi beaucoup de temps dans la sécurité et l'apprentissage Linux. J'aime être informé et fail2ban me spam comme un fou tous les jours.
Ce qui est amusant c'est que certains serveur européen qui me spamme en attaque héberge souvent des sites très connus ! C'est juste affolant de se dire que les serveurs qui hébergent ces sites sont piratés... De ce fait ils peuvent accéder certainement au BDD, au script qui encode les éléments sensible et les décrypter aisément.
Juste affolant.
RE: Avez-vous déjà utilisé des phrases secrètes à la place des mots de passes ? - archANJS - 02-08-2012
Damocorp a écrit :J'ajouterai juste une parenthèse. Depuis peut je ne Md5 pas seulement les mots de passe. Je les modifie aussi simplement comme ceci :
Exemple de mot de passe utilisateur : papa
Mot de passe avant md5 : variable_papa
et en md5 vous savez ce que ça donne.
Pourquoi rajouter une variable ? Simplement car en me renseignant, j'ai appris qu'il existe des site de traduction du Md5. Entendez par la que des petits malin on fait une BDD avec tous les md5 les plus connus et régulièrement utilisé.
Vous rentrée le md5 et ça vous ressors papa... Génial non ?
Donc avec un variable assez longue ils peuvent toujours courir pour la traduire
Oui, en sécurité informatique la technique dont tu parles porte le nom de "technique du grain de sel"
Je l'utilise moi aussi; d'ailleurs elle est utilisée dans beaucoup de frameworks si je ne m'abuse.
Damocorp a écrit :Mais bon quand on lit des articles ou il est dis que 60% des serveurs ne sont pas sécurisés dans le monde, c'est finalement se dire que s'il y arrive pas chez nous, ils auront tout aussi vite fait d'aller chercher ailleurs plutôt que de s'emmerder plus sur nos script et config ^^
Depuis que j'ai un dédié, j'ai investi beaucoup de temps dans la sécurité et l'apprentissage Linux. J'aime être informé et fail2ban me spam comme un fou tous les jours.
Ce qui est amusant c'est que certains serveur européen qui me spamme en attaque héberge souvent des sites très connus ! C'est juste affolant de se dire que les serveurs qui hébergent ces sites sont piratés... De ce fait ils peuvent accéder certainement au BDD, au script qui encode les éléments sensible et les décrypter aisément.
Juste affolant.
Umm.. oui ça laisse à réfléchir en effet..
RE: Avez-vous déjà utilisé des phrases secrètes à la place des mots de passes ? - Damocorp - 02-08-2012
Un truc qui m'avais bien fait marrer, c'est une attaque auto provenant d'un serveur qui habite une société qui fabrique et héberge des sites internet ! Intéressant non ?
Mieux encore, une amie, participant à Miss Belgique me donne un lien pour moi allez voir une bricole. Une fois en direction du site, Firefox me préviens que google aurai détecter une intrusion sur le site en question, et que celui-ci envoi du contenu ne provenant pas du site ! On peut le voir en demandant les détails ou en faisant des recherches sur le net.
Le hic, c'est qu'il y a aussi un bouton "Accéder au site" genre forcer la confiance envers le site.
Ce que beaucoup de monde qui n'y connaisse rien ont certainement fait puisque le lien provenez de quelqu'un de confiance...
Le site était du préfabriqué, vendu au prix d'un bon site conçu normalement
Vive l'arnaque. Ces sites n'étant jamais mis à jour, les pirates n'ont qu'a utiliser les failles découverte par le passé pour y installer tranquillement leur saloperie.Donc finalement j'en reviens au sujet initial. Quelque soit le mot de passe, sommes nous réellement protéger quand on voit l'inconscience de beaucoup de créateurs de site web ?
Le mieux étant d'avoir un unique mot de passe par identification. Mais serait-ce gérable ?
RE: Avez-vous déjà utilisé des phrases secrètes à la place des mots de passes ? - archANJS - 02-08-2012
Damocorp a écrit :Donc finalement j'en reviens au sujet initial. Quelque soit le mot de passe, sommes nous réellement protéger quand on voit l'inconscience de beaucoup de créateurs de site web ?
Umm, en effet quand on y pense... L'utilisateur a beau choisir un mot de passe unique et complexe, si le créateur ne le crypte pas (ou mal), à quoi bon?
Damocorp a écrit :Le mieux étant d'avoir un unique mot de passe par identification. Mais serait-ce gérable ?
En théorie, c'est sûrement la meilleure façon de procéder. En pratique, cela ferait tellement de mots de passe qu'il faudrait les noter pour ne pas les oublier (car oui, il ne faut pas les oublier, c'est important)... ce qui, ironiquement, n'est peut-être pas top niveau sécurité
RE: Avez-vous déjà utilisé des phrases secrètes à la place des mots de passes ? - Damocorp - 03-08-2012
Et niveau sécurité, vous est-il déjà arrivé des soucis avec des mots de passe compliqué ?
Et surtout avec les phrases de ce genre la ?
Car personnellement, j'ai eu un seul et unique mot de passe qui s'est fait piraté pour le moment. Un vieux de 8 caractères enchainant lettre et chiffre tout en minuscule.
Celui de ma boite à pourriel sur hotmail.
Et quand je vois que j'ai reçu des retours de mails maintenant inexistant, sur des mails qui n'existe plus depuis plus de 8-10 ans vers des personnes avec qui je ne correspond plus depuis tout aussi longtemps... mmm
Et c'est pas sur mon PC qu'ils ont trouvé les infos. y'a pas un seul HD, qui a tenu le choc depuis cette époque ^^J'ai des sérieux doute sur la non vulnérabilité des serveurs hotmail !
Chapeau bas au pirate en tout cas, je n'ai même pas sur retrouver ces adresses sur hotmail
Y'a vraiment des mecs balèze ^^Les autres mots de passe tiennent le choc, les retenir, c'est autres choses !
RE: Avez-vous déjà utilisé des phrases secrètes à la place des mots de passes ? - Globe - 03-08-2012
Tout d'abord un peu de lecture, http://fr.wikipedia.org/wiki/CNIL .
Ensuite, je pense que vis à vis de la sécurité des mots de passe, c'est avant tout une question "d'éducation". Je connais comme vous des tas de gens qui se sont fait "pirater" de la simple réponse par un ami à une question secrète ou par injection sql et encore d'autres petites choses folichonnes. Quand mes amis, collaborateurs... voient l'absence totale de mesure de sécurité dont je dispose ils sont sciés. J'utilise le même mot de passe depuis des années, il n'y à rien de compliqué, celui qui me voudrait du mal pourraient sans doute m'en faire en se creusant les méninges.
Une erreur serait de croire "mots de passe compliqués et nombreux = sécurité". J'en connais une pelle de gens qui se croient protégés avec leurs 20 mots de passes hyper compliqués, seul hic pour s'en souvenir il les notent sur un fichier bloc note, ou sur un bout de papier. C'est marrant comme en fouillant sur les ordinateurs des gens sans aucune expérience informatique on trouve des choses sympathiques, Trojan, Key Loggers et autres joyeusetés, j'y connais rien mais avec ma toute petite connaissance informatique j'ai pu voir des choses atroces.
Pour le sujet la sécurité en terme d'informatique d'un mot de passe je comprend la discussion, ce qui me sidère c'est la paranoïa générale des gens couplée à des comportements dénués de toute précaution. Moi perso mes données privées, je me fous qu'un bot ou qu'une société les voient, ce qui me gènerait c'est que ce soit ouvert et public aux gens que je connais (ce qui n'est donc pas le cas, on ne se protège pas en général de tentatives de piratage des voisins).
Les gars multiplient les manipulations pour protéger leurs données et après au lieu de passer par des sites "garantis" (oui le terme est excessif mais faute de mieux) par exemple pour acheter un bouquin (fnac.com, amazon.fr ou autres sites "de confiance") ils passent leur commande sur livrepascherdutoutquetuvaaimer.ro . En fait les gens cherchent à avoir de nouveaux comportements de sécurité plutôt que de se comporter comme ils feraient en magasin, tu veux un lecteur dvd tu l'achètes chez un revendeur de confiance pas au fond d'un garage qui s'appelle chez Marcel et ou le mec vend de l'hi-fi et de la drogue.
Certes je comprend pour une communauté d'informaticiens, le web tient une grande place dans notre vie donc on doit se protéger mais pourquoi les surfeurs lambda sont encouragés à avoir des comportements excessifs plutôt que des comportements méfiants et logiques. Je pense que beaucoup de gens comme moi ont déjà débuggué un ordinateur d'un mec qui nous disait "pourtant j'ai installé quatre antivirus il devrait être protégé !" alors que c'est justement un conflit entre ces logiciels qui cause le problème. bref tout ce paté HS parce que je suis fatigué et bavard, j'ai un seul mot de passe depuis 10 ans, j'ai des données ultra ultra sensibles (je ne vous dis pas quoi mais sachez que y'a rien de plus embêtant si on les obtient) sur le net en accès libre, j'ai pas d'antivirus, des amis et ma copine connaissent ce mot de passe et j'ai jamais eu de problème avec mes comptes =) et je l'annonce ouvertement sur le web =)
RE: Avez-vous déjà utilisé des phrases secrètes à la place des mots de passes ? - Sephi-Chan - 03-08-2012
Si tu as envie de t'exposer c'est ton droit. Ce n'est pas parce que tu n'as pas eu de problème en 10 ans que ton approche est sûre.
L'idée d'utiliser des passphrases, c'est que c'est robuste et facile à retenir. Ça permet d'avoir plusieurs mots de passes, selon l'importance du système. Genre un mot de passe pour les forums, un mot de passe pour les réseaux sociaux, un mot de passe pour ce qui est lié au compte bancaire (Amazon, Paypal, Apple Store, …).
C'est paradoxal mais la confiance c'est important sur le Web.
RE: Avez-vous déjà utilisé des phrases secrètes à la place des mots de passes ? - Raphnone - 03-08-2012
Juste pour répondre au sujet initial, il m'arrive d'utiliser des phrases de ce genre, et pas seulement pour des mots de passes critiques. Par exemple, je suis en stage dans une grosse boîte informatique, j'ai donc un poste, mais comme c'est des dingues de sécurité, il faut quelque chose comme 4 mots de passes différents pour accéder à son poste et sa boîte mail :
un qui permet l'accès au DD, un autre pour l'encryption du DD, un pour la session windows à renouveler tous les mois, et un dernier pour la boîte mail, également à renouveler tous les mois. Oh et bien sûr, interdiction d'utiliser des mots de passes identiques pour les 4.
Du coup, ça devient vite un casse-tête de renouveler tous ces MDP ! J'imagine que certains d'entre vous doivent connaître ça ^^
Alors j'ai décidé d'utiliser des phrases à la con mais facile à retenir, exemple : "nous sommes en mars et la vie est belle", et le mois suivant : "nous sommes en avril et la vie est cool". Super pratique !
Oh et au fait, perso je n'utilise plus md5, il existe beaucoup trop de tables de traduction depuis le temps. A présent j'utilise sha512 ou bcrypt pour hasher le MDP.
EDIT : Je vous conseille cet article très intéressant à ce sujet : http://chargen.matasano.com/chargen/2007/9/7/enough-with-the-rainbow-tables-what-you-need-to-know-about-s.html