Nouvelles:

Suivez-nous sur la chaîne officielle YouTube d'Insert Disk 2 !

Menu principal

La sécurité de vos données personnelles

Démarré par rodi, 10 Juin 2021 à 06:57:45

« précédent - suivant »

rodi

Ce n'est pas rassurant :

CitationPiratage massif : un fichier de 100 Go regroupe plus de 8 milliards de mots de passe

C'est probablement l'un des plus gros hacks de l'histoire de l'informatique : le fichier RockYou2021, sans doute alimenté régulièrement par une véritable armée de hackers, contient pas moins de 8 milliards de mots de passe (exactement 8 459  060 239), soit plus de mots de passe qu'il n'y a d'êtres humains sur la planète ! Ce fichier massif pèse pas moins de 100 Go et contient en tout et pour tout 16 milliards de références (mais la moitié sont des doublons).

Si l'on en croit le hacker à l'origine de cette énorme découverte, ces mots de passe seraient le butin des multiples cyberattaques de ces dernières années. Un outil en ligne permet de savoir si son compte a été hacké. Il suffit de renseigner l'identifiant (adresse mail, N° de tel) à cette adresse, et l'on sait immédiatement si l'on est concerné. Dans l'affirmative, nous ne saurions trop vous conseiller de ne pas trop tarder pour changer de MDP sur vos sites, services, logiciels, cloud ou mail les plus sensibles. On n'est jamais trop prudent...

MaJ : un autre lien permet de savoir directement si son mot de passe a été renseigné dans cette base. Cette fois, il suffit de rentre le mot de passe plutôt que l'adresse mail/n° de tel (un compte peut avoir été hacké il y a longtemps, cela ne signifie pas que votre MDP actuel est renseigné dans la base).

https://kulturegeek.fr/news-227617/piratage-massif-fichier-100-go-regroupe-8-milliards-mots-passe


Frog

#1
il y a des mots de passe classique à éviter mais si l'on doit obtenir des mots de passe différent pour chaque site et que l'on veut pouvoir les mémoriser facilement, on peut partir sur une racine de base puis des caractères spécifique puis un autre mot spécifique et pourquoi pas encore des caractères spécifiques.
exemple : MoToR@5!TroP#5 ou encore !InSeRt@#DiSk#]!02 ou un truc simple mais facile à cracker Amiga = AgiMa (pas dans le dictionnaire)
Ou directement un mot de passe qui n'est pas un mot de vocabulaire ou qui n'a pas de signification précise :$gVRCKh-9PCH_be= qu'il faudra stocker sur une clé USB
Après quand un ordinateur dans une entreprise est accessible par plusieurs personnes là c'est à l'administrateur de bien veiller à ce qu'il se passe quitte à empêcher l'accès à pas mal de chose.
A titre d'exemple cette image indique le temps pour pirater un mot de passe



tout dépend aussi du processeur et éventuellement de la mise en réseau de machine pour faire un brute force mais bon là faut vraiment que votre ordinateur intéresse des personnes et je doute que nous soyons si intéressant que cela à pirater.
Même avec une machine pour faire du bitcoin et plusieurs GPU je doute qu'un mot de passe de 12 caractères en majuscule, minuscule, numérique, et caractère spéciaux @#! ... soit actuellement possible à pirater en brute force.
Il existe aussi des extensions pour les navigateurs pour tout passer en HTTPS (HTTPS partout sur Google Chrome) ou encore des VPN mais bon ca ralenti la connexion mais c'est rigolo.
Par contre d'un point de vue écologique, les VPN c'est pas le top, passer par Taiwan pour établir une connexion sur un site en Allemagne mais ca peut être pratique pour des sites demandant d'être localiser dans un pays particulier. (Pratique aussi pour des pays ou le contenu est limité à voir avec la législation du pays)
Tout le monde ne sait pas scanner les ports et les IP d'ou l'usage d'outil externe, de hack/phising/keylogger pour tenter d'obtenir des mots de passe. Toujours bien vérifier l'adresse du site dans la barre d'adresse.

Attention à ne pas laisser votre téléphone portable accessible à tout le monde (et désinfecter vous les mains et votre téléphone portable pour les virus biologiques, je plaisante mais le COVID est pas si loin)
Il y a des techniques de piratage à distance assez innovante

Le plus sur c'est de limiter voir bannir l'usage de site pas très légaux et de contenus illégaux qui augmentent considérablement le risque d'héberger des logiciels espions.
Tant que l'on reste dans la légalité, on a l'esprit plus tranquille.
Pour ceux qui utilisent Windows, il est possible d'acheter une license pour windows légale à moins de 10 euros pourquoi s'embêter (ok c'est de l'argent pour microsoft dans ce cas, faut migrer d'OS)

Quelques conseils en anglais sur le site https://www.betterbuys.com/estimating-password-cracking-times/

Lio

A1200PPC+BVPPC (en tour), A1200+B1260, A1200+B1230, AmigaOneG4@1.26GHz+ATI Radeon 9000PRO+AmigaOS4.1, Amiga X-5000@2x2GHz+Radeon R7-250+(pre)AmigaOS4.1FE

Frog

Citation de: Lio le 10 Juin 2021 à 21:20:09
moi je suis resté sur cette image : https://xkcd.com/936/
amusant, astucieux et une part de vérité mais le deuxième mot de passe est facile à pirater.

Death Adder

#4
Bah moi j'ai des mots de passe que je ne connais pas et qui sont longs et compliqués.
Si si ce sont des séquences que je tape sur le clavier. Donc pas besoin de retenir quoique ce soit sinon l'ordre des touches.
Comme par exemple une facile. Mettez vous face à votre clavier d'ordi. En partant au-dessus de la lettre A on descend jusqu'à w, ce qui donne &aqw.
On rajoute une deuxième séquence en partant au-dessus de z, ce qui donne &aqwézsx. Et ainsi de suite...
Il suffit donc de retenir uniquement l'ordre des touches. C'est un exemple facile. Libre à votre imagination d'en créer de bien plus complexes...
J'ai 18 caractères pour mon mot de passe, donc ça va  :))
Je ne vois que des avantages à ma méthode...

CitationPour ceux qui utilisent Windows, il est possible d'acheter une license pour windows légale à moins de 10 euros pourquoi s'embêter (ok c'est de l'argent pour microsoft dans ce cas, faut migrer d'OS)
Ah non moins de 1€ désolé  (fuir)
https://fr.shopping.rakuten.com/offer/buy/4031163582/windows-10-pro-livraison-1h-par-e-mail-licence-a-vie.html?bbaid=4860652429&t=180127&gclid=EAIaIQobChMIm9vug_uR8QIVNO7mCh3syQwpEAYYAyABEgIOIPD_BwE

Frog

intéressante technique ces séquences au clavier   8-)  :blink:

Citation
Ah non moins de 1€ désolé  (fuir)
https://fr.shopping.rakuten.com/offer/buy/4031163582/windows-10-pro-livraison-1h-par-e-mail-licence-a-vie.html?bbaid=4860652429&t=180127&gclid=EAIaIQobChMIm9vug_uR8QIVNO7mCh3syQwpEAYYAyABEgIOIPD_BwE
wow je ne pense pas à Price Minister euh..rakuten pour acheter des logiciels/jeux. Je suis très surpris !

rodi

CitationIl y a quelques heures pourtant, un représentant du groupe vraisemblablement à l'origine du piratage a pris la parole via le site de Vice pour détailler son modus operandi. L'intrusion au sein d'Electronic Arts aurait ainsi été rendue possible via un simple message sur Slack. Les pirates auraient ainsi acheté pour 10$ de cookies volés permettant de récupérer les données de connexion d'un employé de l'entreprise sur la plateforme de discussion en ligne. "Une fois dans le chat, nous avons envoyé un message à un membre du support informatique pour lui expliquer que nous avons perdu notre téléphone lors d'une fête" a ainsi expliqué le hacker à Vice.

Le groupe aurait ensuite demandé au support informatique un jeton d'authentification multifacteur pour lui permettre d'accéder à l'intranet d'Electronic Arts. Après s'être connecté au réseau interne d'EA, les pirates n'ont ensuite eu qu'à trouver les services relatifs aux développement de jeux, avant de voler le code source de FIFA 21, plusieurs outils de matchmaking associés, mais aussi le code source du moteur Frostbite.

https://www.journaldugeek.com/2021/06/16/piratage-dea-les-hackers-detaillent-leur-mode-operatoire/