En même temps c'est un peu normal, adobe impose la création d'un compte même pour télécharger une trial et donc plein d'utilisateurs créent des comptes bidons juste pour télécharger le fichier d'installation
En même temps c'est un peu normal, adobe impose la création d'un compte même pour télécharger une trial et donc plein d'utilisateurs créent des comptes bidons juste pour télécharger le fichier d'installation
Pas de questions techniques par MP ! Le forum est là pour ça...
Tutoriels : Les nouveautés de C# 6 - Accès aux données avec Dapper - Extraction de données de pages web à l'aide de HTML Agility Pack - La sérialisation XML avec .NET (Aller plus loin) - Les markup extensions en WPF
Ouais enfin cette liste des mot de passe ne prouve rien vu qu'elle englobe les compte actif et réel et les compte poubelle fait uniquement pour télécharger des démos et qui doivent représenter 1/3 voir la moitié.
Et quand tu crée un compte poubelle tu te contrefous de mettre un mot de passe sécurisé.
Et pis bon cette news montre qu'Adobe est une passoir vu qu'elle ne pratique pas de hachage salé pour éviter justement l'utilisation des rainbow table de hash.
Mon site web : https://www.coolspot.fr/
Pas de questions techniques par MP ! Le forum est là pour ça...
Tutoriels : Les nouveautés de C# 6 - Accès aux données avec Dapper - Extraction de données de pages web à l'aide de HTML Agility Pack - La sérialisation XML avec .NET (Aller plus loin) - Les markup extensions en WPF
Euh, 131K de QWERTY et 49K de AZERTY? Éclairez ma lanterne, mais il me semble qu'il n'y a que des pays francophones avec ce type de layout?
Alors soit il y a beaucoup d'utilisateurs de la suite parmi nous, soit une grosse majorité des francophones choisissent leur password le plus simplement du monde...
Je suis dans 1911938 personnes de la première ligne. Car, boite mail poubelle et fausses infos...
Règle numéro 1 de la sécurité : Faire attention à qui tu donne tes infos. (Et donc ne pas les données.)
Je n'ai pas données mes infos à Adobe. Je me fou de savoir si leurs serveurs ou leurs bases de données sont sécurisés...
Cordialement,
Patrick Kolodziejczyk.
Si une réponse vous a été utile pensez à
Si vous avez eu la réponse à votre question, marquez votre discussion
Pensez aux FAQs et aux tutoriels et cours.
Microsoft et Apple main dans la main, c'est beau ! Prenons en de la graine !
edit : désolé... trop d'onglet tue l'onglet !
Perso, je me souviens jamais du compte (merci les adresses mails temporaires), je pense que j'ai dû en créer un à chaque fois que je voulais récupérer un fichier et le mot de passe je m'en foutais un peu...
alors imagine avec un dictionnaire de +600.000 mots (FR, UK)...
Adobe devrait revoir sa validation de pw en demandant au minimum un pw de 15 caractères avec caractères spéciaux, chiffres, lettres majuscules et minuscules.
Cela dit, ils arriveront toujours à casser les mots de passe.
Plus c'est long et plus il y a de chance de devoir le copier dans un fichier en clair
Si la réponse vous a aidé, pensez à cliquer sur +1
Ca va pas aider à vendre leur offre en abonnement
Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
Mes cours/tutoriaux
Ce qui est aberrant ce n'est pas tant les choix de mots de passe(*) que le fait qu'une telle liste ait pu être dressée. Qu'une boîte comme Adobe ne hache pas les mdp, c'est vraiment pathétique et prouve une fois encore qu'un grand nom n'est pas une garantie de sécurité et de confidentialité.
(*) Surtout que comme beaucoup l'ont signalé ces comptes étaient inutiles car ne résultant que de la volonté d'Adobe de collecter des infos à des fins marketing.
Attention avec ce comic : les mdp suggérés sont faibles et moins bons que des mdp de 8 caractères aléatoires.
Ce que ce comic dit vraiment c'est qu'un mdp composé de quatre mots est meilleur qu'un mdp dérivé d'un mot. Formulé ainsi le résultat n'est pas très surprenant.
Oui mais... si on prends 45 caractères accessibles on aurait donc 45^8 combinaisons. Pour les mots communs : ils ont choisi un dictionnaire de 2048 mots (11 bits), donc pour 4 mots on a 2048^4 combinaisons.
Le ratio 45^8 / 2048^4 fait environ 0.96, donc presque autant de choix pour ces deux combinaisons (de l'ordre de 10^13 combinaisons au total, pour la seconde). Seulement, la seconde est nettement plus facile a retenir et c’était mon point dans le précédent message. Ce qui compte en premier lieu c'est le nombre d’éléments dans le dictionnaire; puis, ensuite, le nombre de tels éléments dans le mot de passe / "phrase de passe".
Pour 77 caractères (26 lettres x 2 (minuscules et majuscules) + 10 chiffres + 15 spéciaux) contre un dictionnaire de 4096 mots, on obtient : 77^8 / 4096^4 = 4.4 soit seulement 4.4 fois plus de combinaisons.
C'est dommage. Je ne suis pas du côté de ceux qui volent le travail des autres. Il n'y a aucune différence à voler de l'argent de la poche des autres.
Mais d'autres part, comment une grande firme comme ADOBE ne se cherche pas des experts en sécurité pour éviter ce genre de piratage?
Je pense que l'alarmant dans cette news est le fait qu'une telle liste ait été dressée.
Ok, il y a 1,9 millions de comptes qui sont, soit peuplés d'idiots (et dans ce cas, c'est leur problème - si si, il y en a), soit de comptes poubelles (et dans ce cas, c'est pas leur problème).
Mais tous les autres comptes ? Ceux dont la liste de l'article ne fait pas mention des mots de passe ? Mots de passe qui, eux, respectent certains principes de sécurité ?
Hop, affichage en clair.
A se demander ce qu'il va se passer pour tous ceux qui ont un abonnement réel.imikado
Ca va pas aider à vendre leur offre en abonnement
Parce que ces mots de passe en clair permettent l'accès à tous les comptes sur adobe, avec données personnelles et compagnie.
C'est pas tout a fait ca. Le chiffrement utilise par Adobe etait symetrique en mode ECB. C'est a dire qu'un bloc de texte clair connu correspond a un identique bloc chiffre.
En gros, le gars qui a retrouve les mots de passes a utilise une attaque "chosen plaintext". Il a recupere une version claire et un version chiffree connue de certains mots de passes utilisateurs. Ca plus un dictionnaire, plus le fait que les cles symmetriques sont identiques pour tout le monde....
La cle de chiffrement n'a pas encore ete casse directement par contre.
Meme en considerant que le hash sale n'etait pas possible, pour x ou y raison, le choix d'une crypto aussi faible est preuve d'un amateurisme incroyable.
En plus de merder lamentablement en n'utilisant pas des hashs (je peux pas dire que je sois vraiment surpris), Adobe montre bien clairement qu'ils n'ont aucune connaissance en crypto operationnelle. C'est rassurant.
Quant au choix des mots de passes, compte test ou pas, ca aurait ete la meme. C'est pas nouveau que les mots de passes font chier tout le monde, et que les gens choisissent des mots de passes simples. Des alternatives solides existent pourtant, mais c'est pas encore d'actualite...
Oui le problème c'est surtout de ne pas hasher ces mots de passe
Je suis toujours étonné/éffrayé quand je m'inscrit sur certains sites ou que le clique sur mot de passe oublié de recevoir celui-ci
Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
Mes cours/tutoriaux
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager