Considéré comme l'un des plus grands pirates informatiques aux États-Unis, Jeremy Hammond a été arrêté à Chicaco en 2012 et condamné sur la base de preuves que le FBI découvrit sur son ordinateur pourtant sécurisé. Le mot de passe pour y accéder était juste : «Chewy123», Chewy étant le nom de son chat.
Nos applications mobilesFacebookTwitterFeeds15525 anecdotes - 501 lecteurs connectés
Le site pour briller en soirée
Tous les commentaires (65)
Au niveau du piratage, le mec qui veut me voler mon carnet, il va falloir qu'il rentre chez moi sans mon autorisation, je lui souhaite bonne chance. J'ai rajouté des pièges à loup ^^
Non en vrai, mettre ses mots de passe sur une machine qu'on ne peut pas contrôler et qui est à distance, et d'une, c'est en ligne (téléphonique) et 2 je pige pas l’intérêt. La feignantise, peut petre? Désolé mais mes codes, je les trouve plus en sécurité dans ma tête et dans le carnet que celui qui veut l'ouvrir sans que je le sache, je vois pas comment il peut faire sans m'assommer.
C’est au contraire parfaitement safe.
Il y a des personnes qui utilisent des logiciels avec tous leurs mots de passe y compris l’association du site/serveur. Il « suffit » de pirater l’accès pour tout avoir. Y compris la correspondance.
Moi j’ai tous les mots de passe en clair. Mais honnêtement si je te donne :
uN@85Tqp-15cR8&oQ6b4\yz[T9#4
Pourrais tu me dire combien il y a de mot de passe dans cette chaine? Le site ou le serveur associé ? Le login utilisé ? L’adresse IP ? Bon courage si tu arrives à trouver. Par contre avec des logiciels, cette association tu l’as...!
Donc non, cette technique est bel et bien safe. Ce qui ne serait pas safe, c’est mettre la correspondance et avoir un mdp par ligne. Comme les gens qui mettent le mdp sur un post it sur un pc quoi...
Par ailleurs, je ne securise pas que mes mots de passe, mais aussi mes machines ET l’utilisation que je fais : exemple n’utiliser que du HTTPS etc.
Securiser ses mots de passe c’est bien, mais si la machine n’est pas sécurisée et qu’on a une mauvaise utilisation...
Comment peut on savoir qu'un mot de passe est a moitié correct ?
J’ai dû mal à comprendre ton message.
A distance ? Du moment que tu te connectes a distance c’est que tu utilises une autre machine que la tienne et que potentiellement tu t’exposes a des failles : ex un keylogger.
C’est parfaitement safe. Je vais expliquer plus en détails!
Ma machine peut se connecter a tous mes serveurs sans aucun mot de passe. Ca s’appelle utiliser des clefs SSH (bon l’accès n’est pas via root of course. D’ailleurs l’accès root est impossible). C’est parfaitement sécurisé! Donc mes mots de passe hein....
Pourquoi c’est safe ?? :
-ma machine n’accepte aucun trafic entrant. Donc impossible d’en prendre le controle. Ca s’appelle utiliser (correctement) un parefeu. J’ai d’ailleurs 3 parefeu, l’un avant la box, l’autre au niveau du routeur, un troisieme sur ma machine. Donc tout le réseau est entiérement sécurisé.
-quelqu’un installe un logiciel ? Je suis immédiatement au courant via une alerte email et la machine se coupe.
-le disque est chiffré.
Donc. OUI c’est SAFE.
Deux possibilités pour accéder a mes serveurs (via ma machine) OU mes mots de passe sur ma machine :
-me cambrioler et arriver arriver a casser le chiffrage de mon disque.
-avoir accès a ma machine quand elle est allumée chez moi. Mais autant dire que personne ne touche a ma machine (y compris ma femme!!) et quand je ne suis pas dessus, elle est fermée.
Donc oui, oui, oui. C’est parfaitement safe. Je l’ai dit : securiser vos mots de passe sans securiser votre machine ni votre utilisation....
D’une premiere approche on peut croire que ce n’est pas sécurisé alors que ca l’est a 100%. Ca l’est autant que les autres techniques présentées ici a la difference que pour les autres techniques s’il y a une mauvaise utilisation et une mauvaise securité sur l’environnement, niveau sécurité au final c’est 0. A quoi sert d’avoir un logiciel pour securiser les mots de passe si quelqu’un peut installer un keylogger sur la machine ??!!
Bon courage pour pirater une base de données type keepass.
Relis mes messages.
Peu importe la méthode que tu utilises, elle n’est pas sécurisée si tes machines ne le sont pas.
Si une personne prend le controle de ta machine ou installe un keylogger sur ta machine tu penses sincèrement que keepass te servira a quelque chose? Il en aura le controle.
Donc oui, aucun soucis à pirater ton keepass si j’ai accès a ta machine en fait. Tu le ferais a ma place.
Ca me fait penser à un client ultra a cheval sur la sécurité qui envoyait ses fichiers chiffrés par email avec la clé dans un second mail. Le truc débile comme pas possible puisque si la boite email est compromise, le fichier ET la clef sont accessibles au meme endroit.
Ca m’a amusé aussi la collègue qui se ventait de pouvoir travailler partout en ayant toujours accès a un point wifi. Resultat : comptes bancaires piratés, tous les fichiers de l’entreprise volés grace a une technique ultra simple : the man in the middle. Le truc que n’importe quel noob peut faire et que beaucoup font dans les points d’accès wifi car 99.9% des gens ont une machine non sécurisée et n’ont pas les bonnes pratiques
La base de données keepass est chiffrée. Les mots de passe sont trop long pour être recopiés.
Il faut donc procéder par copier coller avec sauvegarde du mp pendant 10s puis effacement du presse papier donc ton keylogger ne sert à rien dans l’histoire.
Keepass possède également un auto type feature qui simule des frappes aléatoires quand tu déchiffre la base de données. Le keylogger ne donnera rien du tout.
Après je suis d’accord avec toi, il est important de protéger sa machine contre les intrusions extérieures.
Pour revenir à l’anecdote, le mot de passe Windows ne sert à rien à part empêcher quelque secondes quelqu’un d’allumer la session. Une clé bootable et tu accède à tous le contenu. Je pense que le gars le savait et ne s’est pas embêté plus que ça pour ce mot de passe. Si c’était une machine Linux, c’est autre chose par contre.
Le keylogger permettra de récuperer les mots de passe connus de la personne! Donc qu’il va tapper.
Le controle de la machine permettra d’accéder a TOUS les mots de passe, keepass ou non.
Keepass ou pas, the man in the middle permettra de récuperer n’importe quel mot de passe du moment que la transaction n’est pas sécurisée (http, ftp, etc).
C’est ce que j’expliquais justement sur le fait que keepass c’est bien, mais si la machine et les pratiques ne sont pas sécurisées, keepass ne sert « a rien »!
Pour ce qui est de Linux, si le disque n’est pas chiffré, tu récupères ce que tu veux sur la machine mot de passe ou non.
Pour faire ca, la méthode la plus « simple » est d’utiliser un live cd et de pomper ce que tu veux sur les partitions. C’est la méthode utilisée généralement quand une personne a crashé son environnement et qu’il veut récuperer sa data.
Enfin encore plus simple, tu branches juste le disque sur un autre environnement sur Linux.
Windows copie de plus en plus la méthode Linux pour la protection de ses utilisateurs sur ses nouvelles versions.
Linux est sécurisé mais pas tant que ca non plus si l’utilisateur ne pousse pas la sécurité (parefeu etc). L’avantage c’est que c’est compartimenté etc.. et que vu que c’est un OS « peu utilisé », les virus sont crées sur le monopole windows
Je ne tape jamais aucun mot de passe et aucun n’est enregistré à part dans le registre keepass.
Si tu n’as pas le keymaster, je peux te donner mon ordinateur et tu n’auras jamais accès à mes comptes ou mes mails. En tout cas, je ne vois pas comment.
Je n’ai pas dit que Linux était parfait mais cela reste un cran au dessus de Windows.
Je te l’ai déja expliqué. On peut y avoir avoir accès :
-controle de la machine
-connexion non sécurisée
-etc
Ces points prennent en compte beaucoup de choses : keylogger, ce que tu écrits. Ok tu t’es arreté là.
Tu sais qu’en plus on peut tout voir, controler ta souris, ta webcam, ton micro ? D’ailleurs pas étonnant que des pointures de l’info bloquent micro et webcam...
Je ne m’arrete pas là, déjà a ce moment là ton keepass est foutu, mais en plus on a accès a ton registre et ta mémoire vive !! Quelqu’un qui a fait un minimum d’etudes en informatique sait comment reconstruire des informations a partir de la mémoire vive. Ton keepass est totalement useless! Je te conseille de checker sur le web (le dark surtout) tu verras que nombreux l’ont fait sans difficulté.
Les createurs de keepass eux memes ont reconnu que leur logiciel n’est pas inviolable.
Je ne citerai pas les logiciels, mais avec 2/3 logiciels il est possible de tout faire :
-le premier permet d’avoir toutes les infos sur l’environnement utilisé par l’user
-le second permet d’avoir tous les ports ouverts
-le troisieme est un framework qui te permet de choisir, selon les infos des 2 premiers logiciels, en quelques clicks un virus, trojan, ce que tu veux qui te permettra d’exploiter les failles de l’environnement, ou de l’utilisateur, ou les deux.
On peut utiliser un quatrieme logiciel qui te permet de lire tous les paquets transitant sur un réseau : les mots de pass en clair notamment si connexion non sécurisée.
Je le repete : si ta machine n’est pas sécurisée on s’en fou de ton keepass, ton keymaster ou même du mot de passe inscrit sur le bide de ton chat. Si ta machine n’est pas sécurisée alors rien ne l’est.
En partant de ce principe si tu veux sécuriser tu as plusieurs étapes à suivre :
Sécuriser tes pratiques
Sécuriser ton réseau
Sécuriser tes machines
Sécuriser tes mots de passe
Tu le fais dans cet ordre, le probleme c’est que toi tu penses dans l’ordre inverse qui est une mauvaise pratique.
Ok ok. C’est effectivement logique. Merci pour les précisions ;)
Pourquoi précise-tu que c’est une blague :) ?
Est ce que cela signifique qu'aucun gestionnaire de mot de passe (windows) n'est sécurisé ?
Du coup c'est quoi la stratégie à suivre pour un utilisateur lambda ?
Oups non surtout pas ;).
Le hachage simple est une très mauvaise pratique pour stocker des mots de passe. On trouve facilement des « rainbow tables » qui ont un tas de mots de passe (au moins toutes les combinaisons de moins de 10 caractères) et leur valeur hachée. « jardin » se retrouve en quelques microsecondes.
La méthode classique est de stocker le hachage du mot de passe associé à une autre chaîne qui peut être très longue et la même pour tous les mots de passe stockés : le sel. Cela rajoute de l’entropie, rend inefficace l’usage rainbow tables et complique la recherche par force brute.
En fait on ne les appelle pas des « coffres-forts » de mot de passe pour rien ;). Gros algorithme de chiffrement pour le fichier, avec pour le coup une clé qui doit être robuste.
Autant je n’ai pas entendu parler d’un crack de fichier Keepass, autant j’entend souvent parler de cambriolages et même de violence et de contraintes pour demander de révéler des codes. Moi, je ne connais pas la moitié des 200 mots de passe de 64 caractères aléatoires stockés dans mon Keepass, qui est répliqué automatiquement à différents endroits.
Tes mots de passes sont stockés sous une forme ou une autre dans chacun des systèmes / sites sur lesquels tu as un compte.
Il suffit qu’il ne soit pas stocké de manière sécurisé à un seul endroit et que la base de mots de passe d’un site se fasse pirater (cela arrive de nombreuses fois par an) pour que ton mot de passe soit connu.
Comme dans ce type de base les emails sont en général à côté, le pirate pourra essayer ton mail et ton mot de passe sur tout un tas de sites connus.
D’ailleurs si tu veux savoir si un de tes comptes a déjà été piraté, tu peux utiliser ce site de référence qui va rechercher si ton adresse mail s’est retrouvée dans des bases piratées :
haveibeenpwned.com/
Tu peux même choisir d’être notifié s’il apparaît dans une base piratée dans le futur.
Pour un utilisateur lambda, un gestionnaire Keepass avec un bon (long !) mot de passe de déchiffrement est déjà très bien.
En prenant en compte les règles suivantes :
- aucun mots de passe identiques pour des sites différents
- à part pour quelques mots de passes usuels pour lesquels on connaîtra le mot de passe, préférer des mots de passe longs (30, 60 ou plus caractères) avec des caractères aléatoires, que Keepass saisira de toute manière pour toi.
Pour être vraiment honnête, je ne comprends absolument rien a votre discussion.
J'ai juste une batte de base ball, un chien, et une arbalète, et mes mots de passe inscrit sur un carnet... Je sais pas si c'est plus sur qu'un autre système, mais mon système, je le comprends! ^^
En tout cas je ne me suis jamais fait pirater, enfin, pour le moment... et je n'ai encore jamais eu a me servir de mon arbalète autrement que pour faire du tir sur cible en botte de paille, je vous rassure! ^^
Le carnet peut se faire voler lors d’un cambriolage. L’arbalète ne te sert à rien si tu n’es pas là :).
Des outils comme KeePass permettent à des utilisateurs d’éviter de réutiliser le même mot de passe sur plusieurs sites internet, de les stocker de manière sécurisée, et de disposer de mots de passe solides puisqu’ils n’ont pas a les retenir, ils peuvent donc êtres longs et complexes.
Comme pour beaucoup d’outils de sécurité, informatique ou non, c’est quand on a eu un souci que l’on prend conscience des failles qu’avait notre mode d’utilisation.
Mais on va dire « go carnet », « go mot de passe avec un post-it sous le clavier » :).
sinon on peut rester bien gentiment dans les limites de la loi, c'est bien aussi mdr