Discussion :

[cd090580]

En même temps c'est un peu normal, adobe impose la création d'un compte même pour télécharger une trial et donc plein d'utilisateurs créent des comptes bidons juste pour télécharger le fichier d'installation

[tomlev]

En même temps, Adobe est la sécurité...

C'est fou comme une petite faute d'orthographe peut complètement changer le sens d'une phrase

[tontonnux]

C'est fou comme une petite faute d'orthographe peut complètement changer le sens d'une phrase

Oh merde ! Elle est belle en effet !

[coolspot]

Ouais enfin cette liste des mot de passe ne prouve rien vu qu'elle englobe les compte actif et réel et les compte poubelle fait uniquement pour télécharger des démos et qui doivent représenter 1/3 voir la moitié.

Et quand tu crée un compte poubelle tu te contrefous de mettre un mot de passe sécurisé.

Et pis bon cette news montre qu'Adobe est une passoir vu qu'elle ne pratique pas de hachage salé pour éviter justement l'utilisation des rainbow table de hash.

[tomlev]

Et quand tu crée un compte poubelle tu te contrefous de mettre un mot de passe sécurisé.

Le problème est surtout que beaucoup de gens utilisent le même mot de passe partout... Si tu as l'adresse mail et le mot de passe d'un utilisateur Adobe, il y a de bonnes chances que ce mot de passe soit aussi celui de la boite mail.

[TNT89]

Euh, 131K de QWERTY et 49K de AZERTY? Éclairez ma lanterne, mais il me semble qu'il n'y a que des pays francophones avec ce type de layout?
Alors soit il y a beaucoup d'utilisateurs de la suite parmi nous, soit une grosse majorité des francophones choisissent leur password le plus simplement du monde...

[kolodz]

Je suis dans 1911938 personnes de la première ligne. Car, boite mail poubelle et fausses infos...
Règle numéro 1 de la sécurité : Faire attention à qui tu donne tes infos. (Et donc ne pas les données.)

Je n'ai pas données mes infos à Adobe. Je me fou de savoir si leurs serveurs ou leurs bases de données sont sécurisés...

Cordialement,
Patrick Kolodziejczyk.

[niarkyzator]

Microsoft et Apple main dans la main, c'est beau ! Prenons en de la graine !

edit : désolé... trop d'onglet tue l'onglet !

[tontonnux]

Microsoft et Apple main dans la main, c'est beau ! Prenons en de la graine !

Euh... c'est la porte à côté la réunion "Android se fait encore taper".

[Zefling]

Perso, je me souviens jamais du compte (merci les adresses mails temporaires), je pense que j'ai dû en créer un à chaque fois que je voulais récupérer un fichier et le mot de passe je m'en foutais un peu...

[hotcryx]

La somme du top 20 fait +/- 4.25 M

Sois quasi une chance sur 9 de trouver un mot de passe avec un dictionnaire de 20 possibilité....

C'est.... Flippant

Azmar

alors imagine avec un dictionnaire de +600.000 mots (FR, UK)...

Adobe devrait revoir sa validation de pw en demandant au minimum un pw de 15 caractères avec caractères spéciaux, chiffres, lettres majuscules et minuscules.

Cela dit, ils arriveront toujours à casser les mots de passe.
Plus c'est long et plus il y a de chance de devoir le copier dans un fichier en clair

[imikado]

Ca va pas aider à vendre leur offre en abonnement

[TNT89]

Plus c'est long et plus il y a de chance de devoir le copier dans un fichier en clair

Oblig. XKCD

[DonQuiche]

Piratage d’Adobe : la liste aberrante des mots de passe des utilisateurs

Ce qui est aberrant ce n'est pas tant les choix de mots de passe(*) que le fait qu'une telle liste ait pu être dressée. Qu'une boîte comme Adobe ne hache pas les mdp, c'est vraiment pathétique et prouve une fois encore qu'un grand nom n'est pas une garantie de sécurité et de confidentialité.

(*) Surtout que comme beaucoup l'ont signalé ces comptes étaient inutiles car ne résultant que de la volonté d'Adobe de collecter des infos à des fins marketing.

Oblig. XKCD

Attention avec ce comic : les mdp suggérés sont faibles et moins bons que des mdp de 8 caractères aléatoires.

Ce que ce comic dit vraiment c'est qu'un mdp composé de quatre mots est meilleur qu'un mdp dérivé d'un mot. Formulé ainsi le résultat n'est pas très surprenant.

[TNT89]

les mdp suggérés sont faibles et moins bons que des mdp de 8 caractères aléatoires

Oui mais... si on prends 45 caractères accessibles on aurait donc 45^8 combinaisons. Pour les mots communs : ils ont choisi un dictionnaire de 2048 mots (11 bits), donc pour 4 mots on a 2048^4 combinaisons.

Le ratio 45^8 / 2048^4 fait environ 0.96, donc presque autant de choix pour ces deux combinaisons (de l'ordre de 10^13 combinaisons au total, pour la seconde). Seulement, la seconde est nettement plus facile a retenir et c’était mon point dans le précédent message. Ce qui compte en premier lieu c'est le nombre d’éléments dans le dictionnaire; puis, ensuite, le nombre de tels éléments dans le mot de passe / "phrase de passe".

Pour 77 caractères (26 lettres x 2 (minuscules et majuscules) + 10 chiffres + 15 spéciaux) contre un dictionnaire de 4096 mots, on obtient : 77^8 / 4096^4 = 4.4 soit seulement 4.4 fois plus de combinaisons.

[MacDev]

Et vous ?

Qu’en pensez-vous ?

C'est dommage. Je ne suis pas du côté de ceux qui volent le travail des autres. Il n'y a aucune différence à voler de l'argent de la poche des autres.
Mais d'autres part, comment une grande firme comme ADOBE ne se cherche pas des experts en sécurité pour éviter ce genre de piratage?

[Delioneras]

Je pense que l'alarmant dans cette news est le fait qu'une telle liste ait été dressée.

Ok, il y a 1,9 millions de comptes qui sont, soit peuplés d'idiots (et dans ce cas, c'est leur problème - si si, il y en a), soit de comptes poubelles (et dans ce cas, c'est pas leur problème).

Mais tous les autres comptes ? Ceux dont la liste de l'article ne fait pas mention des mots de passe ? Mots de passe qui, eux, respectent certains principes de sécurité ?

Hop, affichage en clair.

imikado
Ca va pas aider à vendre leur offre en abonnement

A se demander ce qu'il va se passer pour tous ceux qui ont un abonnement réel.
Parce que ces mots de passe en clair permettent l'accès à tous les comptes sur adobe, avec données personnelles et compagnie.

[dahtah]

En utilisant une méthode de chiffrement asymétrique standard, la découverte de la clé de chiffrement entraine l’accès à l’ensemble des mots de passe de la base de données d’Adobe.

C'est pas tout a fait ca. Le chiffrement utilise par Adobe etait symetrique en mode ECB. C'est a dire qu'un bloc de texte clair connu correspond a un identique bloc chiffre.

En gros, le gars qui a retrouve les mots de passes a utilise une attaque "chosen plaintext". Il a recupere une version claire et un version chiffree connue de certains mots de passes utilisateurs. Ca plus un dictionnaire, plus le fait que les cles symmetriques sont identiques pour tout le monde....
La cle de chiffrement n'a pas encore ete casse directement par contre.

Meme en considerant que le hash sale n'etait pas possible, pour x ou y raison, le choix d'une crypto aussi faible est preuve d'un amateurisme incroyable.

En plus de merder lamentablement en n'utilisant pas des hashs (je peux pas dire que je sois vraiment surpris), Adobe montre bien clairement qu'ils n'ont aucune connaissance en crypto operationnelle. C'est rassurant.

Quant au choix des mots de passes, compte test ou pas, ca aurait ete la meme. C'est pas nouveau que les mots de passes font chier tout le monde, et que les gens choisissent des mots de passes simples. Des alternatives solides existent pourtant, mais c'est pas encore d'actualite...

[imikado]

Oui le problème c'est surtout de ne pas hasher ces mots de passe

Je suis toujours étonné/éffrayé quand je m'inscrit sur certains sites ou que le clique sur mot de passe oublié de recevoir celui-ci

[hotcryx]

Oblig. XKCD

Excellent