IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

La vie numérique d’un journaliste détruite en une heure


Sujet :

Sécurité

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut La vie numérique d’un journaliste détruite en une heure
    La vie numérique d’un journaliste détruite en une heure
    Google recommande l’utilisation de l’authentification à deux facteurs pour sécuriser son compte

    Google exhorte les internautes à utiliser l’authentification à deux facteurs suite au pirate du compte d’un journaliste de Wired.

    Mat Hanon, un journaliste du magazine Wired a publié récemment un article de quatre pages qui a fait un véritable tollé sur Techmeme.com. Celui-ci raconte comment sa vie numérique a été détruite en moins d’une heure.

    « En l’espace d’une heure, toute ma vie numérique a été détruite. D’abord, mon compte Google a été piraté, puis supprimé. Ensuite, mon compte Twitter a été compromis et utilisé comme une plateforme pour diffuser des messages racistes et homophobes » explique Hanon « Et le pire de tout, mon compte AppleID a été piraté, et les pirates l’ont utilisé pour effacer à distance toutes les données sur mon iPhone, iPad et MacBook ».

    Une triste situation qui aurait pu être évitée si Hanon avait eu recours à une authentification à deux facteurs. « À bien des égards, ce fut de ma faute » regrette Hanon « Mes comptes étaient liés. En accédant à Amazon, les pirates sont entrés dans mon compte AppleID, qui les a permis de s’infiltrer dans Gmail et par la suite à Twitter. Si j’avais utilisé l’authentification à deux facteurs sur Google, j’aurais pu limiter les dégâts ».

    L’authentification à deux facteurs est un mode d’identification sécurisé qui oblige l’utilisateur à posséder un mot de passe et un jeton ou un certificat. Ce mode de sécurisation avancé avait été intégré à l’ensemble des services de Google en février 2011.

    Suite à la mésaventure de Hanon, Matt Cutts, ingénieur en chef chargé de la recherche chez Google, attire l’attention des internautes sur les risques de sécurité dont peut être victime leur compte, et encourage ceux-ci à utiliser l’authentification à deux facteurs.



    L'article de Mat Hanon sur Wired


    Source : Billet de Matt Cutts


    Et vous ?

    Utilisez-vous l'authentification à deux facteurs ? Que pensez-vous de cette mésaventure de Mat Hanon ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre éclairé
    Avatar de ProgVal
    Homme Profil pro
    Étudiant
    Inscrit en
    Mai 2006
    Messages
    636
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Mai 2006
    Messages : 636
    Points : 764
    Points
    764
    Par défaut
    Citation Envoyé par Hinault Romaric Voir le message
    Utilisez-vous l'authentification à deux facteurs ?
    L'inconvénient de l'authentification en deux étapes, c'est que ça ne marche pas lorsque vous utilisez par exemple un client pour lire vos courriels.
    Si tel est le cas, Google vous génèrera un simple mot de passe à utiliser dans l'application : https://support.google.com/mail/bin/...answer=1173270

    Donc l'attaquant n'aura qu'à s'attaquer à ce mot de passe, et on en revient au problème initial.
    À deux détails près :
    * l'attaquant ne pourra pas accéder à la configuration du compte
    * si vous oubliez votre téléphone chez vous, vous êtes grillés jusqu'à ce que vous rentriez.

  3. #3
    Rédacteur

    Avatar de Torgar
    Homme Profil pro
    Développeur Web
    Inscrit en
    Août 2007
    Messages
    2 334
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Août 2007
    Messages : 2 334
    Points : 8 084
    Points
    8 084
    Par défaut
    Je vais ce pas me renseigner sur cette option. Je me rappelle pas en avoir vu parler à l'époque.

    De toute manière, je m'emploie à utiliser un couple d'identifiant et de mot de passe différent pour chacun des comptes que je peux avoir. C'est même parfois compliqué de se souvenir de tout ses mots de passe. Le seul point faible reste l'adresse email au final.

    Merci.
    Je ne suis pas schizophrène, nous sommes unanime !!!

    ► Pensez à la balise code et au CODE HTML GENERE !!!!
    ► Au si c'est le cas et au à ceux qui vous ont aidé.
    Vous souhaitez participer aux rubriques CSS et (X)HTML ? Contactez-nous !

    Créer des colonnes de même hauteur en CSS
    Glossaire CSS
    Les bordures en CSS3
    Les transitions en CSS3

  4. #4
    Membre régulier
    Technicien réseau
    Inscrit en
    Juillet 2012
    Messages
    62
    Détails du profil
    Informations professionnelles :
    Activité : Technicien réseau

    Informations forums :
    Inscription : Juillet 2012
    Messages : 62
    Points : 109
    Points
    109
    Par défaut
    Un mot de passe complexe (enfin plusieurs différents selon les comptes) est selon moi la meilleure sécurité quant à un log...
    Une dizaine de caractères minimum avec des spéciaux, maj, min, et chiffres (qui ne formant évidemment pas un mot compréhensible)...
    Après, si le hacker s'acharne à le forcer, sans être bloqué automatiquement par le serveur pour tentatives trop nombreuses, c'est qu'il vous en veut vraiment...

    Les autres solutions présentent des avantages, mais également des inconvénients, qui peuvent être vachement handicapants selon l'utilisation...

    En tout cas, ça ne m'est jamais arrivé encore, le risque existe, mais j'espère ne jamais vivre ce que cet homme a vécu, car bien que ce ne soit que du virtuel (bien que le mail ait une portée autrement plus importante..), c'est quand même du temps et de l'investissement qui part en fumée à cause de la bêtise de deux-trois plaisantins...

  5. #5
    Rédacteur/Modérateur


    Homme Profil pro
    Développeur .NET
    Inscrit en
    Février 2004
    Messages
    19 875
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2004
    Messages : 19 875
    Points : 39 749
    Points
    39 749
    Par défaut
    Citation Envoyé par Hinault Romaric Voir le message
    Utilisez-vous l'authentification à deux facteurs ?
    Oui, depuis quelques mois. C'est pas mal, c'est vraiment sécurisant.

    Par contre c'est un peu contraignant : à chaque fois qu'on essaie de se connecter à partir d'un nouvel ordinateur, il faut saisir un code reçu par SMS... sauf que le SMS n'arrive pas toujours. Dans ce cas il y a aussi une option pour se faire appeler, qui marche généralement bien. Cette procédure est répétée toutes les quelques semaines, même sur les ordinateurs qu'on utilise régulièrement.

    Citation Envoyé par ProgVal Voir le message
    L'inconvénient de l'authentification en deux étapes, c'est que ça ne marche pas lorsque vous utilisez par exemple un client pour lire vos courriels.
    Si, ça marche très bien... c'est juste qu'il ne faut plus utiliser le mot de passe "principal" du compte, mais un mot de passe généré par application. Ce système permet aussi de révoquer les mots de passe séparément ; par exemple si tu t'es fait voler ton téléphone, tu as juste à révoquer le mot de passe utilisé par le téléphone, sans impacter les autres applications.

  6. #6
    Membre extrêmement actif
    Profil pro
    Développeur
    Inscrit en
    Mars 2012
    Messages
    1 969
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Mars 2012
    Messages : 1 969
    Points : 3 375
    Points
    3 375
    Par défaut
    Je suppose que l'OTP est lié à "l'appareil" (modèle, serial nr...).

    Et si l'on perd/vole cet appareil, comment accéder notre compte Google pour redéfinir un autre appareil (et détruire l'ancien lien entre le compte et l'appareil perdu)?

    Edit: la réponse est au dessus
    Si la réponse vous a aidé, pensez à cliquer sur +1

  7. #7
    Membre régulier
    Profil pro
    Inscrit en
    Septembre 2004
    Messages
    214
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Septembre 2004
    Messages : 214
    Points : 100
    Points
    100
    Par défaut
    Je viens de le faire et j'ai reçu cet email de la part de Google:

    Cher titulaire de compte Google,

    Nous vous remercions d'avoir activé la validation en deux étapes. Maintenant que votre compte est mieux protégé, il ne vous reste plus qu'à suivre quelques étapes supplémentaires pour vous assurer de toujours avoir accès à celui-ci.

    DÉFINISSEZ UN NUMÉRO DE TÉLÉPHONE DE SECOURS

    Que faire si vous n'avez pas votre téléphone sur vous ? Si vous perdez l'accès au téléphone correspondant à votre numéro de téléphone principal, nous pouvons envoyer un code à un numéro de téléphone secondaire, à votre domicile ou au travail. Pour configurer un numéro de téléphone secondaire, procédez comme suit :

    Rendez-vous sur https://accounts.google.com/SmsAuthConfig.
    Cliquez sur "Ajouter un numéro de téléphone" à côté de "Numéro de téléphone secondaire".
    Saisissez votre numéro de téléphone et choisissez de recevoir les codes par SMS ou appel vocal.

    IMPRIMEZ PLUSIEURS CODES SECONDAIRES

    Si vous êtes en déplacement ou si vous n'avez pas accès à votre téléphone principal ou secondaire, vous pouvez utiliser un code de secours pour vous connecter. Nous vous fournirons 10 codes à conserver dans votre portefeuille ou à enregistrer sur votre ordinateur. Si vous n'avez plus de codes, vous pouvez en créer de nouveaux.

    Rendez-vous sur https://accounts.google.com/SmsAuthConfig.
    Cliquez sur "Afficher/Générer des codes".
    Imprimez ou téléchargez vos codes, et conservez-les en lieu sûr.
    Donc on peut se permettre d'utiliser ces codes secondaires pour éviter l'oubli du téléphone ou tout simplement le fait de ne pas recevoir le SMS.

    Chaque code secondaire n'est aussi valable qu'une seule fois comme indiqué sur la page:

    Rappel
    Si vous êtes en déplacement, ou que vous n'avez pas votre téléphone à portée de main, vous pouvez utiliser les codes supplémentaires pour accéder à votre compte. Chaque code vous permet de vous connecter une fois sans votre téléphone. Ils ne sont soumis à aucune date d'expiration.
    Bref ça me va :-)

  8. #8
    Membre extrêmement actif

    Profil pro
    Grand Timonier des Chats
    Inscrit en
    Décembre 2011
    Messages
    879
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Grand Timonier des Chats

    Informations forums :
    Inscription : Décembre 2011
    Messages : 879
    Points : 3 302
    Points
    3 302
    Par défaut
    Petite précision: son mot de passe n'a pas été cassé. L'assaillant, à la base, cherchait à pirater le compte Twitter car celui-ci avant un identifiant à trois lettres (j'ai un peu de mal à comprendre l'intérêt de ceci: est-ce-que cela a une importance particulière sur Twitter, ou est-ce-que c'était juste facile à trouver au hasard?).

    Avec ça il a trouvé le site web du journaliste,il a utilisé la récupération de mot de passe, qui lui a donné une nouvelle addresse mail, celle-ci liée à un compte AppleID. Ensuite, il a appelé le support d'Amazon et s'est fait passer pour Honan en utilisant l'addresse mail de celui-ci et les informations trouvée par un Whois sur son site web, ce qui lui a permis d'ajouter une (fausse) carte de crédit au compte. Ensuite, grâce aux infos de la nouvelle (fausse) carte, il a rappellé Amazon en disant avoir perdu l'accès à son compte, et voilà, il a eu accès au compte Amazon (WTF #1).

    Ensuite, il a pu voir sur Amazon les 4 derniers chiffres du numéro de la vrai carte de crédit du journaliste, et avec cela il s'est fait passer pour lui auprès du support Apple (WTF #2). Avec le compte AppleID, il avait accès aux appareils et à tous les comptes divers du journaliste: Gmail, Twitter, etc (WTF #3).

    (source: Honan lui-même)

    Deux leçons majeures à en retenir:
    1) cloisonnez vos comptes (c'est le B.A. BA!)
    2) le maillon faible est presque toujours humain; dans ce cas, c'était les supports d'Amazon et d'Apple

  9. #9
    Membre expérimenté
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Mars 2011
    Messages
    576
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mars 2011
    Messages : 576
    Points : 1 527
    Points
    1 527
    Par défaut
    Une dizaine de caractères minimum avec des spéciaux, maj, min, et chiffres (qui ne formant évidemment pas un mot compréhensible)...
    à méditer...

    J'aime les site forçant à utiliser un mot de passe de 6 à 8 caractère comprenant au moins 2 chiffres et 1 majuscules, 3 caractères spéciaux, ... Dans 99.99% des cas, le mot de passe se retrouve en claire dans notre boite e-mail ou sur un post-it sous l'écran car impossible de s'en rappeler autrement...
    La perfection est atteinte, non pas lorsqu’il n’y a plus rien à ajouter, mais lorsqu’il n’y a plus rien à retirer. - Antoine de Saint-Exupéry

  10. #10
    Membre régulier
    Technicien réseau
    Inscrit en
    Juillet 2012
    Messages
    62
    Détails du profil
    Informations professionnelles :
    Activité : Technicien réseau

    Informations forums :
    Inscription : Juillet 2012
    Messages : 62
    Points : 109
    Points
    109
    Par défaut
    Ensuite, il a appelé le support d'Amazon et s'est fait passer pour Honan en utilisant l'addresse mail de celui-ci et les informations trouvée par un Whois sur son site web, ce qui lui a permis d'ajouter une (fausse) carte de crédit au compte.
    Violent Amazon sur le coup... Là, ça fait vraiment peur :/


    pyros : ben après l'humain est toujours le maillon faible de la chaîne mais bon... Je ne parle pas professionellement parlant, mais dans le milieu personnel, tu risques bien moins d'avoir un mot de passe complexe écrit sous l'écran, qu'un mot de passe style "tulipe" que t'utilises de partout et qui est facilement cassable par un petit chinois.
    Perso j'utilise plusieurs mots de passes complexes suivant le type de compte (inutile, adresse mail, compte ayant de l'argent dessus, etc...), et en 5 ans que j'ai ce système, je connais très bien mes pass, où les utiliser, et je n'ai jamais eu un seul soucis (ce qui ne veut pas dire que je n'en aurais jamais^^).
    Donc je ne note rien nulle part (un mot de passe complexe ne veut pas forcément dire qu'il est dur à retenir... Faut avoir un système perso après, et un minimum de mémoire par la suite^^), et les mots de passes sont je pense assez difficiles à forcer...

    Malheureusement, si Amazon ou Apple fait fi de toute sécurité, et qu'un simple appel et quelques informations trouvables très facilement, suffisent à faire des opérations sur le compte (cf la fausse carte chez Amazon), là... toutes les sécurités du monde n'y peuvent rien :/
    Quoique, peut-être que la hotline Google n'est peut-être pas aussi teubée...

  11. #11
    Inactif  
    Inscrit en
    Septembre 2011
    Messages
    100
    Détails du profil
    Informations forums :
    Inscription : Septembre 2011
    Messages : 100
    Points : 122
    Points
    122
    Par défaut
    J'avais lu un article je ne sais plus où disant qu'il vaut mieux avoir un mot de passe long mais simple plutôt que court mais compliqué avec des majuscules, chiffres etc.

    Sinon c'est bien gentil tout ça, mais si ça doit devenir un parcours du combattant d'arriver à sa boîte mail je n'en vois pas bien l'intérêt.

  12. #12
    Membre actif
    Inscrit en
    Septembre 2006
    Messages
    72
    Détails du profil
    Informations forums :
    Inscription : Septembre 2006
    Messages : 72
    Points : 288
    Points
    288
    Par défaut Vive les nuages
    Un jour prochain, une grosse société adepte du cloud, de ses facilités et de son image 'dans le vent' va se faire planter comme ce monsieur.

    Les dégâts seront colossaux même avec la restore gratuite inclue dans le forfait 'starto cumulus'.

    Les nuages c'est bien, les pieds sur terre, c'est pas mal aussi.

    WOZ à raison.

  13. #13
    Membre chevronné
    Avatar de Kiiwi
    Inscrit en
    Février 2011
    Messages
    486
    Détails du profil
    Informations forums :
    Inscription : Février 2011
    Messages : 486
    Points : 1 846
    Points
    1 846
    Par défaut
    Citation Envoyé par Ble4Ch Voir le message
    c'est quand même du temps et de l'investissement qui part en fumée à cause de la bêtise de deux-trois plaisantins...
    Rien n'a été perdu, notre brave journaliste a récupéré toutes ses données grâce à Apple.

    (d'ailleurs faudrait que je relise plus attentivement les clauses de Me (iCloud).
    Si les documents supprimés sont restauration sous quelques jours, ok, si Apple a le droit de conserver tout ce qu'il veut, même quand l'utilisateur souhaite vraiment les supprimer ... )
    Utilisez des moteurs de recherche solidaires. Parmi ces moteurs de recherche:
    Nouvelle version (aout 2013!) : http://ecosia.org Algorithme de recherche: très performant. 80% des revenus générés sont reversés au programme Plant A Billion Trees. Neutralité carbone pour les recherches Voir http://www.ecosia.org/what
    http://ecogine.org , même résultats que GOOGLE, revenus reversés à des assos écologiques. Voir http://ecogine.org/about/

  14. #14
    Membre éclairé
    Avatar de ProgVal
    Homme Profil pro
    Étudiant
    Inscrit en
    Mai 2006
    Messages
    636
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Mai 2006
    Messages : 636
    Points : 764
    Points
    764
    Par défaut
    Citation Envoyé par tomlev Voir le message
    Si, ça marche très bien... c'est juste qu'il ne faut plus utiliser le mot de passe "principal" du compte, mais un mot de passe généré par application. Ce système permet aussi de révoquer les mots de passe séparément ; par exemple si tu t'es fait voler ton téléphone, tu as juste à révoquer le mot de passe utilisé par le téléphone, sans impacter les autres applications.
    Je sais, lis la suite de mon message

  15. #15
    Membre expert Avatar de air-dex
    Homme Profil pro
    Inscrit en
    Août 2010
    Messages
    1 653
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France

    Informations forums :
    Inscription : Août 2010
    Messages : 1 653
    Points : 3 773
    Points
    3 773
    Par défaut
    J'avais lu à propos de cette mésaventure que tout n'était pas parti du compte Google mais du compte iCloud après que les pirates aient réussi à embobiner un hotliner Apple pour avoir l'Apple ID du journaliste. Dans ce cas, la faille est humaine, même si une authentification à deux facteurs aurait probablement permis de limiter la casse.
    "Ils ne savaient pas que c'était impossible alors ils l'ont fait." Mark Twain

    Mon client Twitter Qt cross-platform Windows et Linux. (en cours de développement).

  16. #16
    Invité
    Invité(e)
    Par défaut
    Je suis adepte de la vérification en deux étapes depuis ses débuts, j'avais toujours peur de me faire voler mon compte gmail lié à pas mal de service.
    Sachant que si on vous vole votre compte on peut très bien modifier l'adresse de récupération, la question secrète, le numéro de récupération, bref toutes les options de récupération... Et après pour récupérer le compte on a droit à une super page posant des questions sur le compte et son utilisation, notamment la date d'inscription aux différents services (franchement, qui peut répondre à ça ?!)

    J'ai toujours voulu un système à deux mots de passes, l'un pour se connecter et utiliser les services google, l'autre pour modifier les paramètres sensibles du compte.

    La vérification en deux étapes ajoute beaucoup de sécurité au compte.
    On peut mémoriser un PC pendant 30 jours pour ne plus avoir à rentrer le code secondaire (sur PC personnel par exemple).

    Jamais eu de problème, si j'oublie mon téléphone au boulot j'ai toujours la possibilité de récupérer un code sur mon Fixe (numéro secondaire), et si j'ai aucun des téléphones à portée de main, j'ai toujours les numéros de secours.

    Associé à mon MDP de 18 caractères (Chiffres / majuscules / caractères spéciaux) je pense que le compte est pas mal sécurisé.

    Le dernier risque c'est que l'on connaisse mon MDP (keylogger) et qu'on ait accès à une session ouverte de mon compte, le système permettant de modifier les options de sécurité sans passer par la validation.

  17. #17
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par ProgVal Voir le message
    Je sais, lis la suite de mon message
    Par contre me semble bien qu'un "MDP d'application" n'est utilisable qu'une seule fois à la fois : deux services ne peuvent pas l’utiliser en même temps, donc le risque semble faible tout de même.

    Et je ne vois pas trop comment se faire voler ce MDP, à part en ayant accès physiquement à la machine en question et encore, la plupart des logiciels chiffrent les MDP stocké.

  18. #18
    Membre averti

    Homme Profil pro
    Serial Entrepreneur
    Inscrit en
    Mai 2006
    Messages
    68
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : Belgique

    Informations professionnelles :
    Activité : Serial Entrepreneur

    Informations forums :
    Inscription : Mai 2006
    Messages : 68
    Points : 316
    Points
    316
    Par défaut
    J'avais écrit un article il y a plusieurs mois au sujet des passwords, pour éviter d'utiliser toujours le même tout en se facilitant la vie.

    L'idée : utiliser un password de base, plus 5 lettres tirées du nom de domaine, et avec une permutation quelconque (césar, changement d'ordre, etc).

    L'idée était de permettre d'utiliser un seul mot de passe sur sa machine, et les 5 lettres en plus sont ajoutées par un script greasemonkey. Dans le cas où l'utilisateur doit utiliser une autre machine, il peut retrouver le mot de passe complet en mémorisant la permutation.

    L'article complet : http://www.xurei-design.be/2011/12/s...-greasemonkey/

  19. #19
    Membre éclairé
    Avatar de ProgVal
    Homme Profil pro
    Étudiant
    Inscrit en
    Mai 2006
    Messages
    636
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Mai 2006
    Messages : 636
    Points : 764
    Points
    764
    Par défaut
    Citation Envoyé par alextdr Voir le message
    Par contre me semble bien qu'un "MDP d'application" n'est utilisable qu'une seule fois à la fois : deux services ne peuvent pas l’utiliser en même temps, donc le risque semble faible tout de même.
    D'accord, je ne savais pas

    Citation Envoyé par alextdr Voir le message
    Et je ne vois pas trop comment se faire voler ce MDP
    brute-force
    Citation Envoyé par alextdr Voir le message
    la plupart des logiciels chiffrent les MDP stocké.
    Si tel est le cas, il faut qu'ils le déchiffrent, donc la clef de déchiffrement est forcément stockée quelque part sur l'ordinateur.

  20. #20
    Membre extrêmement actif

    Profil pro
    Grand Timonier des Chats
    Inscrit en
    Décembre 2011
    Messages
    879
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Grand Timonier des Chats

    Informations forums :
    Inscription : Décembre 2011
    Messages : 879
    Points : 3 302
    Points
    3 302
    Par défaut
    Citation Envoyé par ProgVal Voir le message
    Si tel est le cas, il faut qu'ils le déchiffrent, donc la clef de déchiffrement est forcément stockée quelque part sur l'ordinateur.
    Absolument pas. Le principe des systèmes d'authentification moderne est de comparer le cryptogramme de la saisie utilisateur au cryptogramme du mot de passe, donc le serveur peux ne jamais avoir connaissance du mot de passe en clair.

Discussions similaires

  1. Réponses: 1
    Dernier message: 30/04/2010, 22h24
  2. pavé numérique désactivé après utilisation d'une VM
    Par trotters213 dans le forum Ubuntu
    Réponses: 0
    Dernier message: 19/02/2009, 19h54
  3. Mise en place d´un réseau Internet pour une entreprise
    Par hody dans le forum Administration
    Réponses: 1
    Dernier message: 01/12/2007, 14h39
  4. Réponses: 4
    Dernier message: 11/09/2006, 14h47

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo