IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

59% des consommateurs américains réutilisent leurs mots de passe sur la toile,


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    janvier 2014
    Messages
    1 039
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2014
    Messages : 1 039
    Points : 25 309
    Points
    25 309
    Par défaut 59% des consommateurs américains réutilisent leurs mots de passe sur la toile,
    59% des consommateurs américains réutilisent leurs mots de passe sur la toile,
    selon Password Boss, et 43% préfèrent les noter sur du papier

    En matière de gestion des mots de passe sur la toile, chacun y va de sa solution. L’entreprise de gestion des mots de passe, Password Boss, vient de livrer les résultats de son enquête menée par Harris Interactive sur 2 030 adultes américains. L’objectif était de savoir comment cet échantillon de personnes gère leurs mots de passe.

    Après avoir dépouillé les réponses émises par chaque personne, il s’avère que 63 % des personnes interrogées utilisent leur mémoire pour gérer l’ensemble des mots de passe utilisée sur la toile. Cela sous-entend que ces personnes ont beaucoup plus confiance en leur mémoire qu’en tout autre moyen de mémorisation.

    D’autres (43 % des interrogés) préfèrent conserver leurs mots de passe sur un papier dans un coin. Le risque dans cette méthode réside dans le fait qu’il peut facilement tomber dans les mains de personnes indiscrètes.

    Nom : Password-Boss-Survey-results.jpg
Affichages : 2811
Taille : 58,2 Ko

    Steve Wise fondateur de Password Boss explique que « le fait que la plupart des consommateurs n’ont pas vraiment de système pour gérer leurs comptes autres que la mémoire ou un stylo et du papier suggère que ces méthodes sont plus faciles que tout outil disponible ».

    En dehors de cette catégorie de personnes, nous avons une minorité qui préfère externaliser la gestion de leurs mots de passe. 27 % se confient aux navigateurs pour retenir les identifiants de leurs comptes et 13 % préfèrent les sauvegarder dans un fichier sur un ordinateur. Enfin, 8 % seulement utilisent un gestionnaire de mots de passe.

    En analysant ces résultats, on constate une forte corrélation avec les critères démographiques.

    74 % des hommes et 76 % des femmes compris dans la tranche d’âge 18 – 24 ans ont une forte tendance à utiliser leur mémoire comme moyen privilégié pour gérer leurs mots de passe. Cela se justifie probablement par la fraicheur de ces personnes.

    Par contre, 59 % des hommes et 67 % des femmes appartenant à la catégorie des seniors (plus de 65 ans) sont susceptibles de les écrire sur du papier.

    Sur l’ensemble des personnes interrogées, 59 % utilisent un même mot de passe pour plusieurs comptes, afin de faciliter la mémorisation. Enfin, 54 % des adultes interrogés reconnaissent qu’ils doivent changer de leurs habitudes de mémorisation des mots de passe.

    En conclusion, Password Boss retient que « les résultats de l’enquête indiquent qu’en général, les consommateurs sont très passifs et quelque peu contradictoires quand il s’agit de la gestion des mots de passe pour leur compte en ligne, malgré l’impact de plus en plus grand et perturbateur que les violations de données ont sur la vie des consommateurs ».

    Source : Password Boss

    Et vous ?

    Qu’en pensez-vous ?

    Quel moyen utilisez-vous pour mémoriser vos mots de passe ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éprouvé Avatar de scandinave
    Homme Profil pro
    Développeur Java, NodeJs/Angular
    Inscrit en
    mai 2009
    Messages
    277
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Développeur Java, NodeJs/Angular

    Informations forums :
    Inscription : mai 2009
    Messages : 277
    Points : 911
    Points
    911
    Par défaut
    En même temps avoir un mot de passe différent pour chaque compte est vraiment utopique de nos jours. Je dois facilement avoir une 100aine de compte disséminé à droite à gauche. Personne ne peux retenir 100 mot de passe différents et les associer avec le compte qui va bien.

  3. #3
    Nouveau Candidat au Club
    Profil pro
    Développeur
    Inscrit en
    juin 2005
    Messages
    2
    Détails du profil
    Informations personnelles :
    Localisation : France, Manche (Basse Normandie)

    Informations professionnelles :
    Activité : Développeur

    Informations forums :
    Inscription : juin 2005
    Messages : 2
    Points : 0
    Points
    0
    Par défaut avec hassan céhef, c'est possible ;-)
    > scandinave : bien sur que si et c'est même très simple. En tant que probable développeur, vous pourrez facilement trouver un algorithme digne de la nasa tel que associer un préfixe correspondant au site visé à un suffixe générique pour générer des centaines de mots de passe uniques et très simples à mémoriser :-)

  4. #4
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    décembre 2011
    Messages
    9 013
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 9 013
    Points : 22 975
    Points
    22 975
    Par défaut
    Citation Envoyé par surfix Voir le message
    tel que associer un préfixe correspondant au site visé à un suffixe générique pour générer des centaines de mots de passe uniques et très simples à mémoriser :-)
    Sauf que désormais, il faut mémoriser le préfixe.
    De plus, si on considère qu'un ou plusieurs mots de passes peuvent être compromis, le suffixe générique n'apporte plus aucune sécurité. L'attaquant se doutera très fortement de notre suffixe et n'aura qu'à chercher le préfixe. Bref, la sécurité du mot de passe ne reposera plus que sur le préfixe en lui même, préfixe qui devra donc être "aussi fort" qu'un mot de passe normal. Si ton préfixe est "aussi fort" qu'un mot de passe normal, tu n'as plus besoin d'ajouter un suffixe générique.

    Donc tu te mors la queue, tu dois retenir 100 préfixes/mots de passes.

  5. #5
    Nouveau Candidat au Club
    Profil pro
    Développeur
    Inscrit en
    juin 2005
    Messages
    2
    Détails du profil
    Informations personnelles :
    Localisation : France, Manche (Basse Normandie)

    Informations professionnelles :
    Activité : Développeur

    Informations forums :
    Inscription : juin 2005
    Messages : 2
    Points : 0
    Points
    0
    Par défaut
    > Neckara : certes, ce système ne protègera pas efficacement ton compte en banque mais il offre à mon avis une sécurité suffisante pour tous les autres accès non sensibles en offrant un rapport sécurité/simplicité appréciable. En effet, un pirate qui aspirera des millions de comptes d'un site compromis ne va pas les tester individuellement, mais essayera éventuellement d'accéder à tes autres comptes avec ce même mot de passe.
    Pour ce qui est du préfixe, libre à toi de le déterminer, mais il peut être vraiment très simple à retenir...
    Enfin la probabilité que plusieurs sites "respectables" soient compromis en même temps pour t'obliger à changer de suffixe et quand même à mon avis, assez faible...
    Après j'ai envie de dire, chacun fait ce qu'il veut avec son c...ompte.

  6. #6
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    décembre 2011
    Messages
    9 013
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 9 013
    Points : 22 975
    Points
    22 975
    Par défaut
    Citation Envoyé par surfix Voir le message
    En effet, un pirate qui aspirera des millions de comptes d'un site compromis ne va pas les tester individuellement, mais essayera éventuellement d'accéder à tes autres comptes avec ce même mot de passe.
    Je reste septique. Voir un mot de passe dvp_v/»ruud=`ie
    Je pense que je peux en très peu d'essais retrouver celui de ton compte youtube.

    D'autant plus si cette pratique se généralise, il sera possible d'automatiser le tout et en quelques essais à peine, retrouver le mot de passe. Bref, le préfixe doit être relativement fort sinon il n'apporte aucune réelle sécurité supplémentaire.

  7. #7
    Membre émérite

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 388
    Points
    2 388
    Par défaut
    Utiliser un mot de passe différent pour chaque site et ne pas les noter non plus, il faudra m'expliquer comment on peut faire. Tout le monde ne bénéficie pas d'une mémoire eidétique...

  8. #8
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    décembre 2011
    Messages
    9 013
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 9 013
    Points : 22 975
    Points
    22 975
    Par défaut
    Disons qu'il existe des moyens de les stocker de manières plus ou moins sécurisées, malheureusement loin d'être parfaites.

  9. #9
    Membre à l'essai
    Homme Profil pro
    Inscrit en
    mai 2013
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations forums :
    Inscription : mai 2013
    Messages : 5
    Points : 13
    Points
    13
    Par défaut Pour gérer mes PW
    je ne me fie pas à ma mémoire cérébrale dû à un acv donc j'utilise Lastpass et une copie dans une genre de coffre fort qui s'ouvre qu'avec mes empreintes digitales.

    Ma crainte n'est pas l'indiscrétion mais si il y avait un incendie...

  10. #10
    Membre à l'essai
    Homme Profil pro
    Inscrit en
    mai 2013
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations forums :
    Inscription : mai 2013
    Messages : 5
    Points : 13
    Points
    13
    Par défaut
    Citation Envoyé par Traroth2 Voir le message
    Utiliser un mot de passe différent pour chaque site et ne pas les noter non plus, il faudra m'expliquer comment on peut faire. Tout le monde ne bénéficie pas d'une mémoire eidétique...
    Personne n'est à l'abri d'une défaillance de la mémoire qui selon moi est du genre mémoire flash don impassibilité de s'effacer. Le logiciel qui gère mon lecteur d'empreinte a installé un coffre ou j'ai mis une liste de mes PW. Advienne que pourra

  11. #11
    Expert éminent sénior Avatar de Artemus24
    Homme Profil pro
    Agent secret au service du président Ulysses S. Grant !
    Inscrit en
    février 2011
    Messages
    5 251
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Agent secret au service du président Ulysses S. Grant !
    Secteur : Finance

    Informations forums :
    Inscription : février 2011
    Messages : 5 251
    Points : 15 483
    Points
    15 483
    Par défaut
    Salut à tous.

    C'est bien de dénoncer les problèmes de sécurités concernant les mots de passe, mais il faudrait trouver une solution pour remédier à cela.
    J'entends par là une solution simple, facile à adapter pour tout utilisateur, garantissant la sécurité de tous !
    Est-ce une utopie de croire en cela ou est-ce juste une question de moyen ?

    En ce qui concerne mes mots de passe, je me retrouve avec une gestion qui devient vite compliqué car j'ai trop de sites où on me demande de m'identifier.
    Du coup, j'utilise un cahier pense bête où je marque les références des sites et mes mots de passe, un par site.
    Pour ceux où je vais fréquemment, je les ai en mémoire, pour les autres, j'ai mon cahier.
    Non, je n'utilise pas une date de naissance, un prénom ou quelque chose qui serait facile à trouver.
    Je n'utilise pas non plus un utilitaire sur mon ordinateur car il pourrait être piraté, mais pire, je pourrai par une défaillance technique, tout perdre.

    Comme les mots de passe sont très répandus, toujours en association soit de l'adresse IP ou soit de l'adresse email dans le cas des forums, existe-t-il un autre moyen de s'identifier sur un site ?

    @+
    Si vous êtes de mon aide, vous pouvez cliquer sur .
    Mon site : http://www.jcz.fr

  12. #12
    Membre confirmé
    Homme Profil pro
    Webdesigner
    Inscrit en
    juin 2014
    Messages
    334
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 62
    Localisation : France, Hautes Pyrénées (Midi Pyrénées)

    Informations professionnelles :
    Activité : Webdesigner
    Secteur : Associations - ONG

    Informations forums :
    Inscription : juin 2014
    Messages : 334
    Points : 634
    Points
    634
    Par défaut étonnné !
    Bonjour à tous !

    Je suis étonné que personne ne parle du gestionnaire de mot de passe de Firefox (peut-être d'autres navigateurs ont-ils le même système) qui permet de n'avoir besoin de retenir qu'un seul mot de passe mais avoir un mot de passe différent pour chaque site. Firefox s'assure que l'utilisateur connait le mot de passe général avant d'envoyer au site le mot de passe spécial à celui-ci. Simple et logique.

    cela répond à
    le fait que la plupart des consommateurs n’ont pas vraiment de système pour gérer leurs comptes autres que la mémoire ou un stylo et du papier suggère que ces méthodes sont plus faciles que tout outil disponible
    ou à
    En même temps avoir un mot de passe différent pour chaque compte est vraiment utopique de nos jours. Je dois facilement avoir une 100aine de compte disséminé à droite à gauche. Personne ne peux retenir 100 mot de passe différents et les associer avec le compte qui va bien.
    ou encore à
    Utiliser un mot de passe différent pour chaque site et ne pas les noter non plus, il faudra m'expliquer comment on peut faire. Tout le monde ne bénéficie pas d'une mémoire eidétique...

  13. #13
    Membre confirmé
    Homme Profil pro
    Webdesigner
    Inscrit en
    juin 2014
    Messages
    334
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 62
    Localisation : France, Hautes Pyrénées (Midi Pyrénées)

    Informations professionnelles :
    Activité : Webdesigner
    Secteur : Associations - ONG

    Informations forums :
    Inscription : juin 2014
    Messages : 334
    Points : 634
    Points
    634
    Par défaut
    Citation Envoyé par Artemus24 Voir le message
    Comme les mots de passe sont très répandus, toujours en association soit de l'adresse IP ou soit de l'adresse email dans le cas des forums, existe-t-il un autre moyen de s'identifier sur un site ?
    L'adresse IP c'est très moyen, vu que qu'elle n'est que très rarement fixe. On utilise plutôt les cookies pour ça. Tu sais par exemple la case "rester connecté", eh bien elle dépose un cookie sur ton PC. (un gentil, sucré).

  14. #14
    Expert éminent sénior Avatar de Artemus24
    Homme Profil pro
    Agent secret au service du président Ulysses S. Grant !
    Inscrit en
    février 2011
    Messages
    5 251
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Agent secret au service du président Ulysses S. Grant !
    Secteur : Finance

    Informations forums :
    Inscription : février 2011
    Messages : 5 251
    Points : 15 483
    Points
    15 483
    Par défaut
    Salut Domi65.

    Citation Envoyé par domi65
    L'adresse IP c'est très moyen, vu que qu'elle n'est que très rarement fixe.
    J'ai justement cette chance d'avoir une adresse IP fixe Et je sais que la plupart des internautes ont des adresses IP dynamiques.
    Je voulais soulever le problème de la sécurité via l'identification par son adresse IP. Mais comme elle est dynamique, cette solution ne fonctionne pas.
    Il reste que le mot de passe. C'est franchement pas la meilleure solution et il faudrait trouver un moyen d'identification simple.
    De même, je sais qu'il existe le protocole SSL qui permet de se connecter à un compte.
    C'est ce que j'utilise actuellement pour mon compte web sous debian.
    Il est basé d'une part sur un échange de clef et d'autre part sur le mot de passe.
    Il faudrait généraliser ce procéder mais cela va vite devenir lourd à gérer.

    @+
    Si vous êtes de mon aide, vous pouvez cliquer sur .
    Mon site : http://www.jcz.fr

  15. #15
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    décembre 2011
    Messages
    9 013
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 9 013
    Points : 22 975
    Points
    22 975
    Par défaut
    Citation Envoyé par domi65 Voir le message
    L'adresse IP c'est très moyen, vu que qu'elle n'est que très rarement fixe
    C'est surtout qu'il est très facile d'usurper une adresse IP.

    Je ne parle même pas du fait d'utiliser des VPN ou d'avoir un ordinateur portable… .

    Citation Envoyé par domi65 Voir le message
    Je suis étonné que personne ne parle du gestionnaire de mot de passe de Firefox (peut-être d'autres navigateurs ont-ils le même système) qui permet de n'avoir besoin de retenir qu'un seul mot de passe mais avoir un mot de passe différent pour chaque site. Firefox s'assure que l'utilisateur connait le mot de passe général avant d'envoyer au site le mot de passe spécial à celui-ci. Simple et logique.
    Firefox ne me demande aucun mots de passes. Et ils sont de toute évidence stockés en clair .

    De plus, quid d'une extension malveillante ? N'est-elle pas susceptible de récupérer tous nos mots de passes ?
    Les gestionnaires de mots de passes ne sont pas une solution absolument satisfaisant…

  16. #16
    Membre confirmé
    Homme Profil pro
    Webdesigner
    Inscrit en
    juin 2014
    Messages
    334
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 62
    Localisation : France, Hautes Pyrénées (Midi Pyrénées)

    Informations professionnelles :
    Activité : Webdesigner
    Secteur : Associations - ONG

    Informations forums :
    Inscription : juin 2014
    Messages : 334
    Points : 634
    Points
    634
    Par défaut
    Citation Envoyé par Neckara Voir le message
    Firefox ne me demande aucun mots de passes.
    Parce que tu n'utilises pas le gestionnaire (Options -> sécurité -> Utiliser un mot de passe principal)
    Et ils sont de toute évidence stockés en clair .
    Si c'est vrai, ça peut être ennuyeux, en effet. [edit : Il semble que le gestionnaire les chiffre - j'ai pas intérêt à utiliser le verbe crypter - vu qu'un crakeur existe, qui utilise la force brute.] Ce qui est sûr, c'est que n'importe qui, sans le gestionnaire de mot de passe peut l'afficher s'il dispose du PC.
    (Clic-droit sur une page -> Information sur la page -> Sécurité -> Voir le mots de passe enregistrés -> Afficher les mots de passe -> confirmer.)
    De plus, quid d'une extension malveillante ? N'est-elle pas susceptible de récupérer tous nos mots de passes ?
    Bonne question. Ceci dit, qu'on utilise le mot de passe principal ou non, ça ne change rien.
    Les gestionnaires de mots de passes ne sont pas une solution absolument satisfaisant…
    Si tu y réfléchis, même Dieu n'est pas « absolument satisfaisant »

  17. #17
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 999
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 999
    Points : 8 316
    Points
    8 316
    Par défaut
    Citation Envoyé par Neckara Voir le message
    C'est surtout qu'il est très facile d'usurper une adresse IP.
    c'est surtout que quand t'es à l'université ou à la maison vous êtes plusieurs à aller sur internet et vous avez pas 1 IP chacun, la magie des routeurs et du NAT
    usurper une adresse IP c'est facile... faut le dire vite, en général t'as pas juste un paquet IP y'a une session TCP au dessus et l'usurper c'est déjà plus compliqué, sans parler de la configuration des firewalls traversés

    Firefox ne me demande aucun mots de passes. Et ils sont de toute évidence stockés en clair .
    encore heureux que non, les mots de passe ne sont pas stockés en clair ils sont chiffrés, y compris en mémoire

    quid d'une extension malveillante ? N'est-elle pas susceptible de récupérer tous nos mots de passes ?
    si, une extension est susceptible d'accéder à l'API de credentials de firefox et obtenir tout ce qu'elle veut, c'est pour ça d'ailleurs que sur le site on te précise quand une extension est encore en cours de vérification ou non, sans parler de la communauté qui est elle aussi susceptible de remonter les extensions pourries, c'est donc pas si trivial que tu le suggères

    Les gestionnaires de mots de passes ne sont pas une solution absolument satisfaisant…
    ben je préfère encore stocker mes mdp dans un password manager externe comme Keepass2 et avoir un mdp robuste et différent pour chaque site important perso (les sites dont je me fous je me permets d'enregistrer les credz dans firefox par exemple)

  18. #18
    Membre chevronné

    Homme Profil pro
    développeur
    Inscrit en
    octobre 2013
    Messages
    1 529
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Oise (Picardie)

    Informations professionnelles :
    Activité : développeur

    Informations forums :
    Inscription : octobre 2013
    Messages : 1 529
    Points : 1 976
    Points
    1 976
    Par défaut
    Quand on regarde le nombre de site ou il faut un mot de passe si j'utilisais des mots de passe différent j'en aurais pas moins d'une vingtaine.

  19. #19
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    décembre 2011
    Messages
    9 013
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 9 013
    Points : 22 975
    Points
    22 975
    Par défaut
    Citation Envoyé par domi65 Voir le message
    Parce que tu n'utilises pas le gestionnaire (Options -> sécurité -> Utiliser un mot de passe principal)
    Au temps pour moi, je n'avais pas vu cette option. Toujours est-il qu'elle n'est pas activé par défaut !

    Citation Envoyé par domi65 Voir le message
    Si tu y réfléchis, même Dieu n'est pas « absolument satisfaisant »
    Après, il existe d'autres pistes de solutions qui font l'objet de recherche.

    Citation Envoyé par BufferBob Voir le message
    c'est surtout que quand t'es à l'université ou à la maison vous êtes plusieurs à aller sur internet et vous avez pas 1 IP chacun, la magie des routeurs et du NAT
    usurper une adresse IP c'est facile... faut le dire vite, en général t'as pas juste un paquet IP y'a une session TCP au dessus et l'usurper c'est déjà plus compliqué, sans parler de la configuration des firewalls traversés
    Tu parles déjà d'adresses IP publiques. Tu oublies toutes les adresses privées, sur un même réseau d'entreprise par exemple, tu peux avoir besoin d'authentification.

    Mais oui, les adresses IP publiques communes, vont aussi poser un problème de sécurité.

    Pour les firewalls, cela reste très limité. C'est du côté de l'attaquant qu'ils vont réellement jouer un rôle, pas du côté de l'attaqué, donc ce n'est pas vraiment super, c'est le côté de l'attaquant qui va fournir la sécurité.
    Mais oui, tout est relatif, mais au vu de toutes les attaques possibles, on ne peut pas considéré que ce soit très difficile par rapport à briser une authentification par clé sur une connexion SSL.
    Cela dépend aussi des moyens qu'on possède, et on ne peut pas dire que certains attaquants en manque…


    encore heureux que non, les mots de passe ne sont pas stockés en clair ils sont chiffrés, y compris en mémoire
    Chiffré comment si je n'ai pas activé l'utilisation du mot de passe principal ?
    Chiffré avec une clé que je peux retrouver en fouillant les fichiers de mon ordinateur ?

    si, une extension est susceptible d'accéder à l'API de credentials de firefox et obtenir tout ce qu'elle veut, c'est pour ça d'ailleurs que sur le site on te précise quand une extension est encore en cours de vérification ou non, sans parler de la communauté qui est elle aussi susceptible de remonter les extensions pourries, c'est donc pas si trivial que tu le suggères
    Je n'ai pas dit que c'était trivial.

    Mais Mme Michu n'a jamais installé de logiciels de provenances douteuses, d’extensions trouvés on ne sait-où…
    Je rappelle qu'avec Firefox, on peut "installer un module depuis un fichier" (outils -> module complémentaire -> Outils pour tous les modules), ce qui est aussi le cas des autres navigateur.
    N'y a-t-il pas aussi moyen d'exploiter des failles de Firefox pour accéder aux mots de passes ?


    ben je préfère encore stocker mes mdp dans un password manager externe comme Keepass2 et avoir un mdp robuste et différent pour chaque site important perso (les sites dont je me fous je me permets d'enregistrer les credz dans firefox par exemple)
    C'est compréhensible, je pense que c'est pour le moment la meilleure solution qu'on ai sur le marché.

  20. #20
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 999
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 999
    Points : 8 316
    Points
    8 316
    Par défaut
    Citation Envoyé par Neckara Voir le message
    Tu parles déjà d'adresses IP publiques. Tu oublies toutes les adresses privées, sur un même réseau d'entreprise par exemple, tu peux avoir besoin d'authentification.
    ben dans ce cas c'est toi qui oubliais de prendre en compte les adresses publiques en disant que c'était facile d'usurper une adresse IP

    Mais oui, tout est relatif, mais au vu de toutes les attaques possibles, on ne peut pas considéré que ce soit très difficile
    non. Hijacker une connexion TCP, même sur un réseau local c'est difficile, et dans une entreprise qui se respecte ça risque fort de ne pas passer inaperçu

    Pour les firewalls, cela reste très limité. C'est du côté de l'attaquant qu'ils vont réellement jouer un rôle, pas du côté de l'attaqué, donc ce n'est pas vraiment super, c'est le côté de l'attaquant qui va fournir la sécurité.
    j'ai dit firewall mais ça vaut pour tous les équipements qui vont incorporer des mesures d'anti-spoofing, donc autant le routeur qui ne laissera pas rentrer depuis l'extérieur des paquets avec une IP source interne que le switch qui dropera le paquet ou fermera le port parceque l'IP correspond plus, jusqu'à la machine elle même dont l'OS implémente peut-être en natif du reverse path filtering ou autre etc.
    sans oublier la sonde ou le firewall coté attaqué - toujours dans le cadre de l'usurpation d'adresse IP et par là de la connexion TCP - qui va voir arriver jusqu'à 2^16 paquets pour tenter de prédire le numéro de séquence et lever une alerte

    Chiffré avec une clé que je peux retrouver en fouillant les fichiers de mon ordinateur ?
    si si, là encore tu suggères que c'est facile, n'hésites pas à tenter le coup à l'occaz

    Je rappelle qu'avec Firefox, on peut "installer un module depuis un fichier" (outils -> module complémentaire -> Outils pour tous les modules), ce qui est aussi le cas des autres navigateur.
    N'y a-t-il pas aussi moyen d'exploiter des failles de Firefox pour accéder aux mots de passes ?
    si si bien entendu, on peut également se noyer avec un simple verre d'eau, ça veut pas dire que ça va arriver à chaque fois qu'on boit, et la sécurité informatique c'est un peu ça finalement, ça consiste à évaluer les risques et les différencier des menaces, pas à tomber dans la parano sécuritaire (quelqu'en soit la finalité)

Discussions similaires

  1. Réponses: 16
    Dernier message: 28/09/2011, 14h03
  2. Réponses: 13
    Dernier message: 17/12/2009, 17h30
  3. Réponses: 0
    Dernier message: 13/08/2009, 16h36
  4. Réponses: 3
    Dernier message: 16/11/2008, 14h01
  5. mémorisation des mots de passe sur l'écran d'accueil
    Par MmoulinexX dans le forum Windows XP
    Réponses: 7
    Dernier message: 11/04/2008, 17h55

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo