Discussion :

[Invité]

Salut à tous,

un hacker Russe s'est emparé de plus de 6 millions de mots de passe LinkedIn...

Sachant que les gens ont tendance à utiliser le même mot de passe pour accéder à leurs divers réseaux sociaux (et autres), il y a urgence

Voici les dernières nouvelles postées sur le blog de LinkedIn :

http://blog.linkedin.com/2012/06/06/...est-practices/

L'article rappelle les bonnes pratiques en terme de sécurité de compte et de mots de passe.


Voici un site qui vous dira si votre MdP est compromis :

http://leakedin.org/

Inutile d'entrer votre MdP en "plain text"... Il suffit de copier/coller le "SHA1 Hash".

Sous Unix, vous pouvez l'obtenir avec la commande

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

php -r 'echo sha1("mot_de_passe") . "\n";'

Sous Windows, il existe des softs téléchargeables, par exemple à cette page :

http://www.mydigitallife.info/hash-c...or-hash-value/


Enfin, un autre site qui évaluera la "robustesse" de votre MdP :

https://www.grc.com/haystack.htm

Steph

[sevyc64]

testé leakedin.org avec les mots de passe 123456 et 000000

Réponse : Your password was leaked and cracked. Sorry, friend.

[gangsoleil]

Extrait du blog de linkedin :

It is worth noting that the affected members who update their passwords and members whose passwords have not been compromised benefit from the enhanced security we just recently put in place, which includes hashing and salting of our current password databases.

Traduction non literale mais correcte pour les moins anglophones :

Il est important de noter que les utilisateurs qui ont recemment changes leur mot de passe, ainsi que ceux qui ont suivi la procedure de reactivation de leur compte profitent d'une securite amelioree toute neuve, qui inclue un hash avec grain de sel.

Autrement dit : on a mis en place la securite minimale que nous aurions du mettre en place vu que SHA-1 sans sel est casse depuis 2005 (B. Schneier conseillait de le remplacer depuis septembre 2004).

[Paul TOTH]

moi je trouve toujours douteux un site autre que le destinataire de celui-ci qui demande de taper son mot de passe...

[Invité]

moi je trouve toujours douteux un site autre que le destinataire de celui-ci qui demande de taper son mot de passe...

J'ai édité mon message... Le script Java prend également le SHA1 Hash en input.

Steph

[MiaowZedong]

Autrement dit : on a mis en place la securite minimale que nous aurions du mettre en place vu que SHA-1 sans sel est casse depuis 2005 (B. Schneier conseillait de le remplacer depuis septembre 2004).

SHA=Schneier Has Access

Cela dit, tu as raison: encore un exemple de sécurité "folklo" en entreprise

[gangsoleil]

moi je trouve toujours douteux un site autre que le destinataire de celui-ci qui demande de taper son mot de passe...

Si tu etais alle voir le site, tu aurais pu lire qu'ils n'envoient pas le mdp en clair, mais ils le passe en SHA-1 avant de le comparer a la liste des mdp qui ont fuites. Ou qu'ils proposent que tu rentres le SHA-1 de ton MDP.

Bon, bien sur, comme SHA-1 n'est pas securise, ni l'une ni l'autre des solutions n'est totalement securisee. Mais comme nous utilisons tous des mdp unique par site, il suffit de changer le mdp de linkedin, et hop, plus de raison d'avoir peur.

[MiaowZedong]

Tu crois que ceux qui ont utilisé 123456 et 000000 ont cloisonné leurs mots de passe? Parce que j'ai comme un doute

[Loceka]

Je crois surtout que c'était de l'humour.

Pour ma part je sais que j'aurais bien du mal à utiliser un mot de passe par site...

Entre les forums où tu t'inscris pour poser une seule question, les sites marchands à n'en plus finir etc.

Perso j'ai un mot de passe unique pour tous les sites de moindre importance (forums ésothériques, site de vente en ligne, imdb, ...), un mot de passe différent pour chaque boite mail (ou presque) et pour les sites où je me connecte régulièrement (dvp, ...).

Et encore, rien qu'avec ça, ça me fait une bonne vingtaine de mots de passe à me rappeller (entre les boites mail, les autres sites, les mots de passe des différents comptes et serveurs au boulot, les mots de passe des différents ordis persos, ...)

[mala92]

testé leakedin.org avec les mots de passe 123456 et 000000

Réponse : Your password was leaked and cracked. Sorry, friend.

Etrange :

qweqwe12 : Your password was leaked and cracked. Sorry, friend.
azeaze12 : Looks like your password was not leaked. Hooray!

Pour moi, c'est le même type de mdp.
Ca veut dire que si on tape avec un clavier azerty on a moins de chance d'être cacké qu'avec un qwerty !!!
Je ne suis pas spécialiste en sécurité, mais j'ai franchement un énorme doute à propos des réponses de ce site.

[gangsoleil]

Etrange :

qweqwe12 : Your password was leaked and cracked. Sorry, friend.
azeaze12 : Looks like your password was not leaked. Hooray!

Pour moi, c'est le même type de mdp.
Ca veut dire que si on tape avec un clavier azerty on a moins de chance d'être cacké qu'avec un qwerty !!!

Oui, c'est le meme type de mdp. Mais ton interpretation est mauvaise : cela veut simplement dire que la plupart des utilisateurs de LinkedIn qui utilisent un mot de passe peu securise utilisent un clavier dont les 3 premieres lettres sont qwe. Cela nous donne : tous les claviers anglophones, les claviers canadiens, les claviers suisse (qwertz), ... Soit une tres grande part de marche des claviers.
Et lorsque tu sais que LinkedIn est majoritairement utilise par des non-francophones, il est logique que azeaze... ait une probabilite faible d'etre dans la liste.

Je ne suis pas spécialiste en sécurité, mais j'ai franchement un énorme doute à propos des réponses de ce site.

Effectivement, tu ne comprends pas ce qu'ils font : ils ne t'indiquent en aucun cas si ton mot de passe est securise ou non, ils t'indiquent s'il est dans la liste des hash des 6,5 millions de mot de passe qui ont fuites : ils ont recupere la liste qui etait dispo sur un site russe, en ont fait une copie locale, et sont donc maintenant capables de te dire si le hash de ton mot de passe est dans la liste ou non.
Ce n'est pas parceque 1234 n'est pas dans la liste (je n'ai pas essaye) que c'est pour autant un bon, ou un mauvais, mot de passe.