Hacking

November 30, 2009

il court il court le mot de passe...

'Interesting approach to computer security' par formalfallacy utilisé sous licence Creative Commons BY-NC-SA

...ou comment se sentir un peu plus en sécurité

Depuis quelques mois, j'ai considérablement modifié ma façon de gérer mes accès sécurisés. En cause, quelques tentatives particulièrement brillante et réussies de piratage de serveurs : Twitter et Astalavista.box.sk. Une vie online ne tient qu'à quelques mots de passe différents. Et je n'inclue pas les petites variations telles que 'nicolas1' vs. 'nicolas2'.


On a tendance à surprotéger nos serveurs, nos firewall, nos paires de clé publique / clé privé, ... mais on néglige beaucoup plus les accès annexes et pourtant pas si anodins que cela. 
Saviez-vous par exemple que Firefox possède une fonction peu connue du commun des mortels répondant au doux nom de 'Afficher les mots de passe enregistrés' ? Située dans les préférences du logiciel, elle permet, à ceux qui en ont le besoin, de retrouver en clair leurs mots de passe enregistrés automatiquement par Firefox. Amusez-vous donc à afficher tous les mots de passe enregistrés par Firefox : vous allez certainement voir plusieurs fois "votre" mot de passe pour différents sites. 


C'est à partir de là que ça se complique.

Il est difficile de savoir si tous les sites qui proposent de créer un compte utilisateur ont sécurisé suffisamment leur base de données et services de connexions. Une tentative de piratage d'un de ces sites amène le pirate à obtenir une liste de pseudos, d'e-mails et de mot de passe. La boucle est bouclée. Si le mot de passe d'un utilisateur du site piraté est le même que celui de son e-mail, les risques d'une intrusion dans sa vie privée sont très forts. Et une fois votre e-mail ouvert, tout le reste coule de source (que ce soit l'administration, les sites de e-commerce, la banque, les différentes communautés ou sites communautaires,...). Sans vouloir être alarmiste, le risque est réel. 


Face à cela, plusieurs stratégies pour s'assurer un minimum de confidentialité : 

  • Arreter Internet
  • Couper tous les réseaux sociaux, revenir aux signaux de fumée et aux télégrammes. Ou pas...
  • Changer régulièrement ses mots de passes (sympa au début mais personne ne le fait)
  • Ne pas utiliser deux fois le même mot de passe sur différents sites, avoir des mots de passe efficace (cf plus bas)
  • Utiliser un gestionnaire de mot de passe (exemple sous Mac : 1Password) permettant aussi de les retrouver lorsque l'on n'est pas chez soi
  • ...
L'interet d'un gestionnaire de mot de passe est double triple beaucoup: chaque site aura un mot de passe unique, pas besoin de s'en souvenir, les mots de passe peuvent être très très très compliqués (ex: zNJlBPLFw1hRody#fq@CgN#0TEd37DAwNZ ), le gestionnaire sécurise toutes les informations par un 'mot de passe principal' qui deviendra le seul à retenir. Et à moins d'une attaque ciblée contre vous, vos données personnelles seront bien en sécurité.

Quelques conseils pour un mot de passe efficace
(via http://free.korben.info)

  • 8 caractères minimum ;
  • Au moins une majuscule, deux caractères spéciaux (autre que a-z ou A-Z tel *, !, @, ou bien &) et deux chiffres (0-9);
  • C'est un mot qui n'existe pas, c'est à dire qu'on ne peut pas le trouver quand on le cherche dans un dictionnaire (et pas seulement un dictionnaire français).
  • Si vous le pouvez, changez votre mot de passe régulièrement (tous les 6 mois idéalement)
  • Ne l'inscrivez nulle part. Le meilleur mot de passe du monde ne sert à rien si on peut le trouver inscrit au dos du calendrier mural...
  • En cas de doute sur la confidentialité de votre mot de passe: changez-le immédiatement.
  • Évitez les mots de passe trop simples : prénoms, "azerty", "toto", etc. Ce seront les premiers testés par un pirate. De même, ne reprenez pas l'intitulé de votre compte ou une partie de cet intitulé dans votre mot de passe.
  • N'utilisez pas en mot de passe des informations connues par vos proches ou facilement trouvables par un tiers: votre lieu d'habitation, votre nom de jeune fille, votre date de naissance, le nom de votre animal de compagnie, etc. Ce genre de mot de passe est en effet très facile à deviner pour quelqu'un qui vous connaît un peu.
  • Mélangez de préférence lettres, chiffres et caractères spéciaux (!#$%-_). Les pirates informatiques utilisent en effet des programmes informatiques pour percer les mots de passe : tester un à un des centaines de milliers de mots du dictionnaire et leurs variantes ne leur pose pas problème.
  • Alternez minuscules et majuscules, pour renforcer le niveau de sécurité de votre mot de passe.
  • Proscrivez les accents (problème garanti si vous avez à taper votre mot de passe sur un clavier "anglais" ou "allemand")

source photo : 'Interesting approach to computer security' par formalfallacy utilisé sous licence Creative Commons BY-NC-SA

Posted by on November 30, 2009 at 09:29 AM in Hacking, howto, Security | | Comments (1)

| | |

August 23, 2009

Custom .bash_profile for Advanced shell users

Looking for some advanced uses for the shell? Function examples? Advanced shell settings? Here is my best. For those of you involved in a love affair with Bash, passionate about shell scripting, and getting advanced tasks done fast and efficiently, I give you my .bash_profile file. You should edit it to fit your needs, but it’s pretty universal because I moved most of the exported variables and aliases to their own functions. That’s because I work on alot of other people’s servers and...

[read more on publisher's website]

Posted by on August 23, 2009 at 12:00 AM in bash, bash_profile, Featured, google reader, Hacking, Linux Unix BSD, Security, shared, shell script, Shell Scripting, Web Hosting |

| | |

My Photo

Become a Fan

Search

August 2012

Sun Mon Tue Wed Thu Fri Sat
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

Recent Posts

Twitter Updates

    follow me on Twitter

    blogapart - l'actu en dessin

    Categories

    Mobilise this Blog