Aller au contenu
Plongeur.com - Le site de la plongée sous marine

le coffre fort des mots de passe braqué !


christophe 38

Messages recommandés

bonsoir

 

lu, à l'instant, sur un autre forum :

  •  
 

Lastpass, vendu comme un logiciel de "coffre-fort" pour mot de passe (pour gérer les centaines de login/mdp pour se connecter aux services numérique ), s'était fait piraté plusieurs fois depuis août dernier.

Les données clients ont été volées (cad les données personnelles clients + adresses IP + les coffre fort clients avec la liste des sites, login et mdp en théorie cryptés...).
EDIT : seuls les mdp étaient chiffrés.
Les autres informations personnelles n'étaient pas protégées (dont votre liste de sites internet préférés, recommandables ou pas...)


Si vous êtes clients, changez vite votre mot de passe "maître", et préparez vous à des attaques intenses de hameçonnage...
EDIT: Et je conseillerais aussi de changer de gestionnaire de mot de passe (pour une boîte plus sérieuse).
Il est très probable qu'une partie de cette base de mot de passe soit rapidement décryptée (via attaque force brute en cloud AWS)

https://www.01net.com/actualites/mensonges-ehontes-chiffrement-de-merde-lastpass-est-violemment-critique-pour-ses-declarations-et-sa-securite.html

Comme souvent pour les entreprises victimes d'attaques informatiques, ils ont :

  • tardé à informer le public du vol des données (4 mois après la première attaque ...)
  • menti pour tenter de minimiser les conséquences de l'attaque (ou leur responsabilité légale)

Pour une fois, les mensonges ne sont passés, et ils se font attaquer par de nombreux experts en sécurité, et même les concurrents... 

Car visiblement, ils ont commis de nombreuses erreurs de sécurité élémentaires (pas autant que Parler, l'ancien réseau social préféré de l'alt-right, mais presque ...).
Pas de "salage"/salting des mots de passe
Chiffrage vulnérable (faible entropie)
 

Personnellement, je recommande quand même les gestionnaire de mot de passe, mais plutôt ceux à stockage local (type keypass), précisément pour éviter ce type de fuites massives de données.
EDIT : Lastpass lui, est un service de coffre fort synchronisé dans le cloud, pour pouvoir accéder à ses mots de passe depuis tous ses ordinateurs, smartphones et tablettes.
Moi, c'est plus simple, je ne fais jamais rien de sensible sur mon smartphone, vu l'impossibilité de vraiment bien sécuriser un smartphone grand public.
Et les téléphones aggréés par la NSA , eux sont tellement blindés qu'on ne peut rien faire dessus

 

Rappel:
les longues phrases de mot de passe (à personnaliser) sont bien plus solides que des mots de passe aléatoires courts (et plus faciles à mémoriser)
exemple https://xkcd.com/936/

 

 

 

 

  • Merci 2
Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, christophe 38 a dit :

Personnellement, je recommande quand même les gestionnaire de mot de passe, mais plutôt ceux à stockage local (type keypass), précisément pour éviter ce type de fuites massives de données.

 

Keypass   très bon :) je conseille aussi .

 

 

  • Merci 1
Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, christophe 38 a dit :

Personnellement, je recommande quand même les gestionnaire de mot de passe, mais plutôt ceux à stockage local (type keypass),

 

Il y a 2 heures, caolila a dit :

Keypass   très bon :) je conseille aussi .

 

Il y a 1 heure, speaktome a dit :

+1

Impossible de trouver Keypass avec Google. C'est pas plutôt Keepass ??

Perso, j'ai un "algorithme" de création de mes mots de passe qui me permet de les retenir facilement sans avoir à utiliser ce type d'application.

Lien vers le commentaire
Partager sur d’autres sites

Si je peux me permettre, le plus important, ici, c'est de souligner qu'un mot de passe seul, aussi long, complexe et protégé puisse-t-il être, n'est qu'un maillon faillible dans la chaîne d'authentification. Bref, ayez des mots de passe bien conçus, protégez-les si vous voulez dans des gestionnaires de mots de passe eux-même bien conçus, mais surtout, installez dès que c'est possible de l'authentification à multiples facteurs (2FA/MFA).

  • J'aime 3
Lien vers le commentaire
Partager sur d’autres sites

il y a 28 minutes, Nicolas Duguay a dit :

mais surtout, installez dès que c'est possible de l'authentification à multiples facteurs (2FA/MFA).

 

:+1:

Keepass propose ce *genre de chose*... c'est une protection supplémentaire pour le coffre-fort.

 

 

J'ajouterai d'autre points ne jamais utiliser le même mot de passe sur différents sites... et les changer régulièrement.

Keepass propose/indique qu'un mot de passe doit etre changé...

 

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 28 minutes, caolila a dit :

J'ajouterai d'autre points ne jamais utiliser le même mot de passe sur différents sites... et les changer régulièrement.

Keepass propose/indique qu'un mot de passe doit etre changé...

 

 

 

Sur les changements fréquents de mots de passe, les « recommandations » ont longtemps fait l’objet de débats dans la communauté de l’infosec, mais le consensus actuel dit plutôt, tout en nuances, qu’on ne devrait PAS changer des mots de passe solides qui protègent des systèmes « courants » et non-critiques pour éviter que les usagers ne choisissent, par paresse, des combinaisons simplement cassables du genre « poupée001 » qui est remplacé par « poupée002 »… On recommande toutefois aux gestionnaires de systèmes critiques de régulièrement changer leurs mots de passe.

 

Votre ANSSI a d’ailleurs produit un guide pertinent sur tout ceci:

https://www.ssi.gouv.fr/uploads/2021/10/anssi-guide-authentification_multifacteur_et_mots_de_passe.pdf

 

 

  • Merci 2
Lien vers le commentaire
Partager sur d’autres sites

[img]https://www.commitstrip.com/wp-content/uploads/2016/10/Strip-Sécurité-Admin-password-final-1.jpg[/img]

 

Oui. On tape souvent sur les organismes d'Etat, en France.

Mais quand on les quitte, on se rends compte que finalement.... 😁

 

Concernant les pwd, suffit juste de faire un mot non documenté (@0&...) et long (>10-12 caractères) pour etre tranquille.

La faille viendra d'ailleurs, et ton keepass/Knox/Vault n'y changera rien.

 

J'ai eu l'intelligence d'utiliser le même pwd sur un site web avec login=mail... Ben évidement, j'ai perdu ma boite mail.

 

Et yahoo s'est fait pirater (bêtement) quelques millions de comptes. Perdu celle là aussi (moins gênant).

 

On parle cookies de session aussi ? 😁

Modifié par Xabi
Lien vers le commentaire
Partager sur d’autres sites

Il y a 6 heures, Xabi a dit :

On parle cookies de session aussi ?

 

Oh non merci... j'ai une fois par an une session de "secu pour developpeur" de 2 jours avec TP....

 

 

Ras la casquette ...  :(   même si je suis du genre psychoteur... il arrive un moment ou la sécu a outrance ne fait plus de sens... cela devient contre productif.

 

L'exemple des mots de passes "poupée001" etc de @Nicolas Duguay est un premier exemple.

 

Il y a 6 heures, Xabi a dit :

La faille viendra d'ailleurs, et ton keepass/Knox/Vault n'y changera rien.

 

 

Oui excatement...   d'un coté ils ferment/sécurisent tout et de l'autres il laisse des trous, des gouffres ouvert... ce n'est pas cohérent.

 

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 10 heures, pmk a dit :

 

 

Impossible de trouver Keypass avec Google. C'est pas plutôt Keepass ??

Perso, j'ai un "algorithme" de création de mes mots de passe qui me permet de les retenir facilement sans avoir à utiliser ce type d'application.

 

Oui désolé c'est bien keepass

 

Rien n'est fiable à 100% mais ce logiciel est considéré, y compris dans les "grandes boites" comme une référence. Vous pouvez mette aussi la database de mots de passe dans le cloud, mais attention, dans ce cas, il est préconisé d'utiliser aussi un fichier clé !

 

Lien vers le commentaire
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant
  • Dernières Discussions

  • Discussions similaires

    • 8
      Bonjour, Je suis nouveau sur ce site et aussi très nouvellement propriétaire d'un compresseur thermique COLTRI MCH6 de 2011 avec (uniquement) 50H vérifiée (par compteur)  mais qui n'a pas tourné depuis 4 ans. Après l'essai de gonflage concluant d'un bloc (soupape de sécurité d'origine réglée à 220b qui fonctionne bien) pour vérifier que rien n'est bloqué et que le temps de gonflage est correct et voulant repartir sur de bonnes bases je fais une vidange huile moteur un nettoyage du réservoir
    • 28
      Bon voilà! après maintes discussion sur le sujet:       j'ai franchi le pas et hier j'ai reçu la bête 😁     L'emballage est soigné et le produit a l'air nickel niveau qualité de fabrication       Du coup, à peine rentré hier soir, je me lance dans le réglage en m'inspirant de cette vidéo    https://www.youtube.com/watch?v=ws8aHcHj0G8&list=WL&index=1&t=327s   Et comme j'avais piscine hier soi
    • 10
      Bonjour! J’ai deux de mes ados qui viennent (ou sont en train, c’est selon…) de compléter leur OWD et je regarde tranquillement pour commencer à les équiper, sans pour autant piger trop à fond dans mes réserves stratégiques (AKA, le bordel dans ma grotte, selon ma conjointe). Bref, j’ai un a priori très positif pour Apeks et j’aime bien le concept de pièces gratuites à vie qu’ils offrent (du moins, en Amérique du Nord). J’aime aussi des systèmes compacts qui se traînent bien dans un ba
    • 83
      Chers membres du forum,   Je suis actuellement étudiant en master et je réalise une étude de marché sur le secteur des équipements de plongée et des sports nautiques. Dans le cadre de ce projet, je souhaite comprendre ce qui motive les utilisateurs à choisir des produits concurrents à ceux d'Aqualung.   Si vous êtes un plongeur ou un amateur de sports nautiques et que vous utilisez des équipements d'autres marques que Aqualung ( Scubapro, Mares,...) , je serais ravi de pouvoi
    • 100
      La CTN a mis récemment en ligne des vidéos montrant les gestes à utiliser dans certaines situations :   signe 100 bar :     besoin d'aide / problèmes :     DTR :        paliers :      fin de paliers :  
×
×
  • Créer...

Bonjour,

 

logo.png.c7536bd9e68359a8804d246d311256bd.png

 

L'ensemble des services de Plongeur.com sont gratuits et c'est grâce à la publicité que vous pouvez en profiter. Or il semble que vous utilisiez un bloqueur de publicité.

Si vous aimez le site et que vous voulez pouvoir en profiter longtemps, merci de désactiver votre bloqueur de publicités lorsque vous naviguer sur Plongeur.com.