Risque internet, liste d'adresses IP et serveurs boiteux

Page 2 sur 2 Précédent  1, 2

Voir le sujet précédent Voir le sujet suivant Aller en bas

Re: Risque internet, liste d'adresses IP et serveurs boiteux

Message par Jeff01 le Ven 28 Oct 2016 - 10:32

C'est une bonne astuce !
J'en ai une autre assez similaire, assez connue dans le monde de l'informatique. Il suffit de choisir un mot, puis de remplacer certaines lettres par des chiffres ou caractères spéciaux ayant une forme similaire à la lettre remplacée (le fameux alphabet LEET).
Le plus célèbre (et donc à ne pas utiliser !) est [email=P@ssw0rd]P@ssw0rd[/email].
La même chose avec "voiture" qui devient "V0!tur3"
Pour avoir un mot de passe plus long, on colle 2 mots, comme "V0!tur3_R0ug3"

Jeff01
Membre

Masculin Nombre de messages : 169
Age : 42
Date d'inscription : 23/06/2016

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Risque internet, liste d'adresses IP et serveurs boiteux

Message par Menuki le Ven 28 Oct 2016 - 13:47

Jeff01 a écrit:Tu as enguirlandé le concepteur de tes boitiers j'espère clind'oeil
Pas encore. Mais il vient dans 10 jours fouet

________________________________________________________
La Liberté, c'est la liberté de pouvoir dire que 2 et 2 font 4.
George Orwell in 1984
avatar
Menuki
Membre Premium

Masculin Nombre de messages : 427
Date d'inscription : 08/04/2011

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Risque internet, liste d'adresses IP et serveurs boiteux

Message par Menuki le Ven 28 Oct 2016 - 13:51

Jeff01 a écrit:J'en ai une autre assez similaire, assez connue dans le monde de l'informatique. Il suffit de choisir un mot, puis de remplacer certaines lettres par des chiffres ou caractères spéciaux ayant une forme similaire à la lettre remplacée (le fameux alphabet LEET).
Le plus célèbre (et donc à ne pas utiliser !) est [email=P@ssw0rd]P@ssw0rd[/email].
La même chose avec "voiture" qui devient "V0!tur3"
Pour avoir un mot de passe plus long, on colle 2 mots, comme "V0!tur3_R0ug3"
C'est une mauvaise astuce.
Les différentes substitutions étant connues, un attaquant utilisant un dictionnaire met peu de temps à essayer toutes les combinaisons pour chaque mot.


________________________________________________________
La Liberté, c'est la liberté de pouvoir dire que 2 et 2 font 4.
George Orwell in 1984
avatar
Menuki
Membre Premium

Masculin Nombre de messages : 427
Date d'inscription : 08/04/2011

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Risque internet, liste d'adresses IP et serveurs boiteux

Message par Jeff01 le Ven 3 Mar 2017 - 15:09

J'étais passé a côté de ta réponse.
C'est bien évidemment faux, ce n'est pas une mauvaise astuce.

 Comme il est impossible de savoir quelle(s) lettre(s) a été substituée, ni par quel caractère (il y a souvent plusieurs choix comme le "A" pouvant être remplacé par un 4 ou un @), un simple calcul statistique montre que l'attaque par dictionnaire échoue dans la plupart des cas.
Les principales substitutions sont connues, mais pas toutes, puisque libre à chacun de les imaginer.
Les meilleurs dico qui tournent sur le darknet comportent quelques centaines de milliers de mots, dans 18 langues. Si pour chacun de ces mots il faut ajouter plusieurs centaines de combinaisons, le forçage prend à nouveau un temps bien trop long pour être pratiqué.
Donc je persiste et signe, ce n'est pas une mauvaise astuce. C'est infiniment plus "secure" que le classique 1234 ou password, et à la portée de tout le monde. Et bien plus utile que le mot de passe de 18 caractères mélangés impossible à retenir et qui se retrouve écrit sur un post-it sous le clavier. C'est un conseil donné par les plus grandes boites de sécurité en informatique, dont celle ou j'ai bossé, c'est donc que ça doit pas être si mauvais clind'oeil

Jeff01
Membre

Masculin Nombre de messages : 169
Age : 42
Date d'inscription : 23/06/2016

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Risque internet, liste d'adresses IP et serveurs boiteux

Message par Menuki le Ven 3 Mar 2017 - 15:49

Jeff01 a écrit:...un simple calcul statistique montre que l'attaque par dictionnaire échoue dans la plupart des cas.

Faisons un calcul donc :
Supposons que pour chaque lettre, j'ai 3 substitutions possibles (ce qui n'est pas ce qu'on retrouve en pratique), on aura donc 4^n combinaisons possibles par mots (où n est la longueur du mot).
On remarque qu'on est encore loin des 26^n combinaisons possibles si on fait une attaque en force brute.

Pour un mot de 10 lettres, j'ai donc 1million de combinaisons.
Avec Hashcat, cela prend moins d'une seconde.
Prenons un cas extrême : 1million de combinaisons par mot quelque soit la longueur du mot et mon dictionnaire contenant 1 million de mot.
Tu es d'accord, que je suis vraiment sur une limite haute.
A 1million de mot de passe par seconde, cela me prend 6 jours en moyenne à cracker (12j maxi).
C'est long mais pas bloquant.

Or 1 million de mot de passe à la seconde, c'est avec la machine à pépé.
Le benchmark visible sur le lien montre 15904 millions de hash à la seconde!
Il faut dans ces conditions moins d'une minute en moyenne (66 secondes maxi).

Pour l'instant, la meilleure solution (jusqu'à ce que les cracker disposent d'une option pour faire des combinaisons à partir des dictionnaires) est de rallonger les mots de passe.
Et la meilleure solution pour se rappeler des mots de passe longs est d'en faire des phrases...

Bonus : Une interview d'Edouard Snowden

________________________________________________________
La Liberté, c'est la liberté de pouvoir dire que 2 et 2 font 4.
George Orwell in 1984
avatar
Menuki
Membre Premium

Masculin Nombre de messages : 427
Date d'inscription : 08/04/2011

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Risque internet, liste d'adresses IP et serveurs boiteux

Message par Jeff01 le Ven 3 Mar 2017 - 16:23

Ce taux de hash annoncé est bidon. Teste le et tu verras. En pratique, quand tu tourne à quelques centaines de milliers de possibilités / seconde sur une bonne machine, t'es content.
Et encore, si tu relis mon post de départ, tu verras que je conseille de coller 2 mots ... Donc mets au carré ta valeur Very Happy
Et 2 mots, c'est presque une phrase... Donc tu conseille la même chose que moi Very Happy 
Sauf que ma solution est un peu plus à la portée de madame Michu clind'oeil, certes un poil moins poussée, mais plus facile à mettre en oeuvre.
Donc tu coupe un peu les poils de cul en 4 Smile Et je t'invite donc à ne plus dire que les actuces des autres sont mauvaises quand tu donne à peu près la même ensuite clind'oeil

Et puis pour conclure, il faut stopper un peu aussi la parano à l'ultra complexité, il est tout aussi idiot de protéger un lingot dans une boite en carton qu'une pièce de 2 euros dans un véritable coffre fort clind'oeil
Mettre une passphrase de 64 caractères pour sécurisé ses photos de vacances et son compte en banque avec 318€55 dessus, c'est useless hein clind'oeil

Jeff01
Membre

Masculin Nombre de messages : 169
Age : 42
Date d'inscription : 23/06/2016

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Risque internet, liste d'adresses IP et serveurs boiteux

Message par Menuki le Ven 3 Mar 2017 - 17:03

Jeff01 a écrit:...quelques centaines de milliers de possibilités / seconde sur une bonne machine, t'es content.
Le chiffre annoncé est énorme je te l'accorde.
Mais, avec les nouvelles cartes graphiques, quelques MH/s sont à portée de bourse de tout un chacun.
Jeff01 a écrit:Sauf que ma solution est un peu plus à la portée de madame Michu clind'oeil, certes un poil moins poussée, mais plus facile à mettre en oeuvre.
Mignonne, allons voir si la rose...
Les sanglots longs des violons de l'automne...
Tiens! Voilà du boudin!
...
C'est peut-être plus facile que P@$sw0rd (c'est un exemple)
Madame Michu, c'est ma mère. Et les bidouilles, elle a du mal.
Par contre, elle se rappelle très bien des récitations de son enfance...

Jeff01 a écrit:Donc tu coupe un peu les poils de cul en 4 Smile Et je t'invite donc à ne plus dire que les astuces des autres sont mauvaises quand tu donne à peu près la même ensuite clind'oeil
J'aurais dû dire que c'est une fausse bonne idée.

Jeff01 a écrit:Et puis pour conclure, il faut stopper un peu aussi la parano à l'ultra complexité, il est tout aussi idiot de protéger un lingot dans une boite en carton qu'une pièce de 2 euros dans un véritable coffre fort clind'oeil
Mettre une passphrase de 64 caractères pour sécurisé ses photos de vacances et son compte en banque avec 318€55 dessus, c'est useless hein clind'oeil
Pas d'accord (tu remarques que je n'ai pas dit que c'était des conneries).
On sait ce qu'il est possible de faire avec des données personnelles!
Le net est plein de ces histoires d'usurpation d'identité et de malversation à cause de quelques papiers abandonnés sur le trottoir.

Même si je n'ai rien à cacher, je n'ai pas envie que n'importe qui sache tout de moi!

________________________________________________________
La Liberté, c'est la liberté de pouvoir dire que 2 et 2 font 4.
George Orwell in 1984
avatar
Menuki
Membre Premium

Masculin Nombre de messages : 427
Date d'inscription : 08/04/2011

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Risque internet, liste d'adresses IP et serveurs boiteux

Message par Catharing le Ven 3 Mar 2017 - 19:01

Salut,
@ Menuki et Jeff01,
Merci messieurs  ,ça défouraille sec mais avec force smileys et humour,la modération vous remercie clind'oeil

________________________________________________________
"Les choses ne changent pas, change ta façon de les voir, cela suffit".
avatar
Catharing
Modérateur

Masculin Nombre de messages : 4267
Localisation :
Date d'inscription : 22/11/2011

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Risque internet, liste d'adresses IP et serveurs boiteux

Message par Philippe-du-75013 le Sam 4 Mar 2017 - 7:37

Par exemple j'utilise la liste des voitures et de l'unique (petite) moto que j'ai possédé depuis 40 ans. Même en comprenant le principe le choix est tellement vaste en tenant compte que cela combine marque et modèle et la moto était très marginale et bien oubliée.

________________________________________________________
"Ne participez pas à l’économie sans nécessité. Achetez aussi peu que possible. Réutilisez autant que vous le pouvez. Réduisez vos besoins physiques. Établissez des plans pour les réduire davantage" (Dimitri Orlov)


"Le sage ne peut recevoir ni injure ni outrage" (Sénèque)
avatar
Philippe-du-75013
Membre Premium - Participe à rendre le contenu de nos forums plus pertinent & pragmatique

Masculin Nombre de messages : 1275
Age : 61
Localisation : IDF
Loisirs : Natation, vélo (déplacements non sportifs)
Date d'inscription : 24/08/2013

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Risque internet, liste d'adresses IP et serveurs boiteux

Message par troisgriffes le Sam 4 Mar 2017 - 8:17

Jeff01 a écrit:"le mot de passe de 18 caractères mélangés impossible à retenir et qui se retrouve écrit sur un post-it sous le clavier."
Tu as aussi l'option collé sur le bord de l'écran ou carrément punaisé sur le mur.
Tout cela bien visible,et lisible, depuis le couloir ou la rue. Very Happy
 
Après,plus le mdp est long plus les gens ont tendance à faire des erreurs de saisie pouvant
aller jusqu'au blocage de compte.
Ensuite,il y a la nuance entre impossible à retenir et n'ayant pas envie de fournir le (petit)
effort de mémorisation nécessaire. mrsgreen
Au pire la mémoire cela se travail,exercice 1 :connaitre l'adresse exacte de son lieu de travail et son numéro de bureau. siffle
Pas mal d'ici doivent connaitre cette vielle devise:
"Le problème est entre la chaise et le clavier"
 
Depuis,le début de l'informatique,un mot de passe n'est vraiment valable que lorsque son temps de vie est inférieur au temps nécessaire pour le casser.
avatar
troisgriffes
Membre Premium

Masculin Nombre de messages : 2423
Localisation : Sud RP
Emploi : technicien
Date d'inscription : 17/11/2012

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Risque internet, liste d'adresses IP et serveurs boiteux

Message par tarsonis le Sam 4 Mar 2017 - 9:04

Salut,
on va peut être scinder ce fil vers un topic sur la sécurité informatique. clind'oeil
Pour ma part, je cherche plus à contrôler les infos que je disperse sur le net qu'à sécuriser en mode jusqu'au-boutiste absolument tous les comptes que je crée.

Ces dernières années, il y a eu énormément de failles de sécurité et de piratages ayant compromis énormément de comptes divers et variés. Si je me souviens bien, Yahoo s'est fait voler presque un milliard de comptes.
Cela peut tout aussi bien toucher un truc aussi banal qu'un ours en peluche qui envoie des messages des parents aux enfants...et dont les millions de fichiers audios se retrouvent sur la toile :
Internet of Things Teddy Bear Leaked 2 Million Parent and Kids Message Recordings

Pour Oldu, c'est du HTTP (https est proposé pour l'instant, mais il semble payant et encore en test), il suffit d'écouter ce qui passe sur le réseau ou d'être un noeud pour voir les accès admin passer...
Donc mot de passe à rallonge ou pas, il y a bien un problème sur un environnement sauvage que l'on ne contrôle pas du tout.

En local, je pense qu'il est beaucoup plus rentable à quiconque souhaite espionner une personne d'introduire un keylogger ou d'écouter le wifi que de s'amuser à force-bruter des mots de passe, sachant que pas mal de sites se bloquent au bout de plusieurs tentatives échouées.
Sachant que la plupart des OS particuliers sont des Windows pas à jour avec un paquet de failles critiques.
Comment déjouer jusqu’à 94% des vulnérabilités critiques découvertes dans Windows et les outils Microsoft ?

La société Avecto qui fournit des solutions de sécurité, a analysé l'intégralité des patchs fournis par Microsoft en 2016 et a pondu un petit rapport que vous pouvez télécharger ici.
Et la conclusion est sans appel : 94% des vulnérabilités critiques découvertes et publiées lors des fameux "Patch Tuesday" peuvent être déjouées en utilisant un compte qui n'a pas de droits administrateurs.
De plus, ils ont noté une augmentation de vulnérabilités made in Microsot de 62% depuis 2013 et bizarrement ou pas, Windows 10 qui est quand même l'OS le plus récent est celui qui a le plus de vulnérabilités. Bien plus que n'importe quel OS concurrent et 46% de plus que Windows 8 ou 8.1.

La première chose est surtout de ne pas utiliser le même partout, mais cela complique les choses.
Perso, FF enregistre mes mots de passe, surtout pour éviter que je les entre devant d'autres personnes; mais le mdp principal est vraiment coriace. clind'oeil

________________________________________________________
Nous devons apprendre à vivre ensemble comme des frères, sinon nous allons mourir tous ensemble comme des idiots. M. L. K.
甩葱歌 - 古箏 - Mia Dolls - Un Mauvais Fils - 25 Years of Zelda - Machinarium - Récapitulatif des projets électroniques - [Chroniques du Bunker de L'Apocalypse] - Projet Geiger - Culture ethnobotanique en France
avatar
tarsonis
Administrateur

Masculin Nombre de messages : 8291
Age : 30
Localisation : Grand Est
Loisirs : Randonnée, botanique, bidouillages DIY, médecine, post apo.
Date d'inscription : 21/05/2008

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Risque internet, liste d'adresses IP et serveurs boiteux

Message par Cyrus_Smith le Sam 4 Mar 2017 - 9:13

Salut,

Souvenez-vous tout de même que, de plus en plus souvent, il est possible d'utiliser une authentification "à deux facteurs", que ce soit avec un code envoyé sur votre portable, avec un bidule électronique qui donne des codes à usage unique, ou avec une carte à puce (ou l'équivalent en USB, genre yubikey).

C'est loin d'être une solution absolue, mais ça protège d'un bon nombre d'attaques sur les mots de passe...

________________________________________________________
(...) car seuls l'art et la science peuvent élever les hommes au niveau des dieux.   --Ludwig van Beethoven, 1812
avatar
Cyrus_Smith
Membre Premium - Participe à rendre le contenu de nos forums plus pertinent & pragmatique

Masculin Nombre de messages : 2202
Localisation : Île mystérieuse
Date d'inscription : 02/09/2011

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Risque internet, liste d'adresses IP et serveurs boiteux

Message par Menuki le Lun 13 Mar 2017 - 15:42

Un article (en anglais) concernant l'inutilité (voire la contre-productivité) des règles de définition des mots de passe
Password Rules Are Bullshit

Pour résumer en une phrase : Cela ne sert à rien d'utiliser des règles censées augmenter la sécurité des mots de passe.
La seule règle qui devrait être valide est d'utiliser des mots de passe long (>15 caractères).

Pour revenir un peu sur la discussion précédente :
Quels sont les risques de se faire pirater?
En quoi mon mot de passe peut être une bonne protection?

Soit, quelqu'un vous en veut personnellement et là, ce n'est qu'une question de temps et de moyens avant qu'il n'arrive à ses fins.
Un bon mot de passe rendra toutefois la chose plus difficile.

Une autre menace est le vol de base de données utilisateurs.
Dans ce cas, le pirate va tenter de retrouver le maximum de mot de passe pour revendre ces listes et les données associées.
Dans ces cas là, le pirate n'a pas vraiment d'intérêt à s'acharner sur les quelques mots de passe qui n'ont pas réussi à être craqués via le dictionnaire ou autre.
Cette fois-ci, un bon mot de passe vous donnera de grandes chances de passer à travers les mailles du filet.

A quoi servent les listes d'utilisateurs avec mots de passe?
La plupart des utilisateurs utilisent le même mot de passe sur plusieurs sites.
Donc, si vous utilisez le même mot de passe sur AOL et sur Paypal, vous avez de grandes chances de voir votre compte débité même si la protection de Paypal est largement supérieure à la protection d'AOL.

Enfin, pour finir, qu'est-ce qu'un bon mot de passe?
C'est un mot de passe contre lequel on n'a pas de stratégie d'attaque connue et qui oblige donc à une attaque en force brute (donc gourmande en temps et en ressource) pour être cracké.

Pour l'instant, et jusqu'à ce que les crackers intègrent des stratégies de combinaisons de mots de dictionnaire, AMHA, le meilleur conseil qu'on peut fournir à un utilisateur lambda :
- qui n'est pas assez paranoïaque,
- qui n'a pas la capacité,
- qui ne veut pas faire l'effort
de mémoriser des tas de combinaisons de caractères aléatoires, est de lui proposer d'écrire des suites de mots.
Cette technique a le mérite de considérer l'utilisateur pour ce qu'il est : un être humain qui mémorise plus facilement des idées/des concepts que des données.

________________________________________________________
La Liberté, c'est la liberté de pouvoir dire que 2 et 2 font 4.
George Orwell in 1984
avatar
Menuki
Membre Premium

Masculin Nombre de messages : 427
Date d'inscription : 08/04/2011

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Risque internet, liste d'adresses IP et serveurs boiteux

Message par Wanamingo le Lun 13 Mar 2017 - 21:51

avatar
Wanamingo
Modérateur & animateur

Masculin Nombre de messages : 1303
Date d'inscription : 27/07/2011

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Risque internet, liste d'adresses IP et serveurs boiteux

Message par Aristote le Lun 13 Mar 2017 - 22:03

@Wana

Je prends. Merci du tuyau. Smile

________________________________________________________
“Plus un homme est bête et moins l'existence lui semble mystérieuse.” Arthur Shopenhauer
"Moins on pense, plus on parle" Montesquieu
Les choses nécessaires coûtent peu, les choses superflues coûtent cher. Diogène
avatar
Aristote
Modérateur

Masculin Nombre de messages : 3495
Localisation : Planète Terre
Loisirs : Oenophile et trollicide
Date d'inscription : 08/11/2012

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Re: Risque internet, liste d'adresses IP et serveurs boiteux

Message par Wanamingo le Lun 13 Mar 2017 - 22:10

Sachant que pour prendre des mots au hasard, il faut ouvrir un dico et y mettre le doigt.
avatar
Wanamingo
Modérateur & animateur

Masculin Nombre de messages : 1303
Date d'inscription : 27/07/2011

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Page 2 sur 2 Précédent  1, 2

Voir le sujet précédent Voir le sujet suivant Revenir en haut

- Sujets similaires

 
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum