IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Un expert en sécurité propose une liste de 320 millions de mots de passe à éviter


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 388
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 388
    Points : 196 520
    Points
    196 520
    Par défaut Un expert en sécurité propose une liste de 320 millions de mots de passe à éviter
    Un expert en sécurité propose une liste de 320 millions de mots de passe à éviter,
    pour renforcer la sécurité sur le Web

    Avec la multiplication des fuites de données, il est impératif de choisir des mots de passe capables de résister aux attaques de type force brute.

    Pour aider les internautes à trouver un bon mot de passe, les initiatives se sont multipliées : certains services proposent de générer des mots de passe, d’autres d’analyser un mot de passe avant son utilisation et d’en proposer un qui serait meilleur. Mais Troy Hunt, l'expert en sécurité derrière le site Web "Have I Been Pwned” a choisi une approche différente : faire une base de données des mots de passe qui ont été précédemment compromis.

    Dans la première version, qui a été publiée le 3 août, cette base de données comprenait 306 millions de mots de passe pour un poids total de 5,3 Go. Le lendemain, lors d’une mise à jour, le chercheur en a rajouté 14 millions, pour un poids supplémentaire de 250 Mo.

    « Les mots de passe Pwned sont des centaines de millions de mots de passe du monde réel exposés aux violations de données. Cette exposition les rend impropres à une utilisation continue, car ils risquent beaucoup plus d'être utilisés pour prendre en charge d'autres comptes. Ils sont consultables en ligne ci-dessous et peuvent être téléchargés pour être utilisés dans un autre système en ligne », a expliqué Hunt.

    « La réutilisation de mots de passe est normale. Elle s’avère extrêmement risquée, mais elle est répandue parce qu’elle est facile et que les gens ne perçoivent pas l'impact potentiel. Les attaques telles que le remplissage des informations d'identification profitent des informations réutilisées en automatisant les tentatives de connexion contre les systèmes utilisant des paires courriels connus et mots de passe », a-t-il reconnu.

    Aussi, dans un billet, il a déclaré « J'invite des gens plus compétents en technologie à utiliser ce service pour démontrer un argument à des amis, des parents et des collègues : “vous voyez, ce mot de passe a été violé auparavant, ne l'utilisez pas ! “ ». Et de continuer en disant que « S'il y a une chose que j'ai apprise au cours des années passées à faire tourner ce service, c'est que rien n'a autant d'effet que de voir ses propres données compromises. »

    D’où est-ce que ces mots de passe proviennent ?

    Hunt déclare que « J'ai regroupé ces mots de passe de différentes sources, en commençant par les énormes listes sur lesquelles j'ai écrit au mois de mai. Celles-ci contiennent toutes les sortes d’exemples de mots de passe terribles auxquels vous pouvez vous attendre dans le monde réel et vous pouvez lire une analyse dans la publication de BinaryEdge sur la façon dont les utilisateurs choisissent leurs mots de passe sur Internet. J'ai commencé avec la liste Exploit.in qui a 805 499 391 lignes d'adresse e-mail et des paires de mots de passe en texte brut. En fait, elle avait “seulement” 593 427 119 adresses électroniques uniques, alors, ce que nous voyons ici, c'est un tas de comptes de messagerie comportant plus d'un mot de passe. C'est la réalité de ces listes : elles fournissent souvent plusieurs mots de passe alternatifs différents qui pourraient être utilisés pour entrer dans le seul compte.

    « J'ai saisi les mots de passe de la liste Exploit.in qui m'a donné 197 602 390 valeurs uniques. Pensez-y un moment : 75 % des mots de passe dans un ensemble de données ont été utilisés plus d'une fois. Ceci est vraiment important, car cela commence à donner une forme sur l'ampleur du problème auquel nous sommes confrontés.

    « Je suis passé à la liste Anti Public qui contenait 562 077 488 lignes avec 457 962 538 adresses électroniques uniques. Cela m'a donné encore 96 684 629 mots de passe uniques qui n’étaient pas dans les données Exploit.in. En y regardant d’une autre perspective, 83 % des mots de passe dans cet ensemble avaient déjà été vus auparavant. Ceci est tout à fait attendu : au fur et à mesure que d'autres données sont ajoutées, une plus petite proportion des mots de passe n'est précédemment pas visible.

    « À partir de là, j’ai parcouru une variété d'autres sources de données ajoutant de plus en plus de mots de passe, mais avec un taux de diminution constante de nouveaux apparaissant. J'ajoutais des sources avec des dizaines de millions de mots de passe [...] Lorsque j'ai fini, il y avait 306 259 512 mots-clés Pwned uniques dans l'ensemble. »

    Source : billet Troy Hunt, outil

    Et vous ?

    Que pensez-vous de cette approche ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre régulier
    Profil pro
    Ingénieur
    Inscrit en
    Mai 2005
    Messages
    41
    Détails du profil
    Informations personnelles :
    Localisation : Philippines

    Informations professionnelles :
    Activité : Ingénieur

    Informations forums :
    Inscription : Mai 2005
    Messages : 41
    Points : 85
    Points
    85
    Par défaut sécurité de l'outil
    L'outil fonctionne mais attention à la sécurité car en testant vos vrais mots de passe vous les mettez sur le web et c'est pas le top non plus

  3. #3
    Membre expérimenté
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juin 2004
    Messages
    374
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : Juin 2004
    Messages : 374
    Points : 1 399
    Points
    1 399
    Par défaut
    J'ai une super nouvelle pour Jipété !

    • "Cheval" est connu par l'outil,
    • "Chevaux" est connu par l'outil, mais
    • "Chevals" n'est pas connu !


    Et aussi une mauvaise nouvelle :

    • "Sa" est connu, mais
    • "Ça" ne l'est pas :-(

  4. #4
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    Juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2013
    Messages : 3 715
    Points : 1 184
    Points
    1 184
    Billets dans le blog
    9
    Par défaut
    Citation Envoyé par Shepard Voir le message
    • "Sa" est connu, mais
    • "Ça" ne l'est pas :-(
    les claviers azerty & qwerty n'aident pas non plus pour taper le c Cédille...
    encore que celui la y'a pas besoin de faire un ALT code pour le trouver contrairement à d'autre comme Ü,Â...
    https://usefulshortcuts.com/alt-code...-alt-codes.php

    heureusement on progresse : ile est désormais officiellement correcte par exemple, le Î sa crains.

  5. #5
    Membre éprouvé

    Homme Profil pro
    Ingénieur logiciel embarqué
    Inscrit en
    Juillet 2002
    Messages
    386
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur logiciel embarqué
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juillet 2002
    Messages : 386
    Points : 1 164
    Points
    1 164
    Par défaut
    Intéressant : mon mot de passe fétiche "Bonjour_2017" est encore robuste !

    Ha ben à présent il ne l'est plus !

    Aller, plus que quelques mois à tenir avant de changer !

  6. #6
    Membre éclairé

    Homme Profil pro
    Développeur Java
    Inscrit en
    Février 2007
    Messages
    179
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2007
    Messages : 179
    Points : 653
    Points
    653
    Par défaut Intervention inutile
    J'aime bien le mot de passe "Mot de passe" est trouvé, mais "Le mot de passe" n'est pas trouvé (par contre "lemotdepasse" oui).
    L'expérience est une lanterne que l'on porte sur le dos et qui n'eclaire jamais que le chemin parcouru.

    La nature fait les choses sans se presser, et pourtant tout est accompli.

  7. #7
    Membre extrêmement actif
    Profil pro
    Développeur
    Inscrit en
    Mars 2012
    Messages
    1 969
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Mars 2012
    Messages : 1 969
    Points : 3 375
    Points
    3 375
    Par défaut
    Citation Envoyé par ON5MJ Voir le message
    L'outil fonctionne mais attention à la sécurité car en testant vos vrais mots de passe vous les mettez sur le web et c'est pas le top non plus
    Clair, j'y ai pensé aussi
    Si la réponse vous a aidé, pensez à cliquer sur +1

  8. #8
    Futur Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    Janvier 2013
    Messages
    3
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Janvier 2013
    Messages : 3
    Points : 6
    Points
    6
    Par défaut
    un tres bon moyen pour collecter des mots passe!!

  9. #9
    Nouveau Candidat au Club
    Profil pro
    Inscrit en
    Janvier 2013
    Messages
    1
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2013
    Messages : 1
    Points : 1
    Points
    1
    Par défaut
    En fournissant une liste de mots de passe à ne pas utiliser on facilite le travail des pirates.
    Ainsi ils ont plein de mdp à ne pas essayer.
    Ce fut le même problème avec ENIGNA. Les opérateurs ne devaient pas utiliser deux jours de suite le même branchement sur le tableau de fiche. Du coup les alliés pouvaient se passer de tester quelques centaine de millions de combinaisons.

  10. #10
    Membre expérimenté
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juin 2004
    Messages
    374
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : Juin 2004
    Messages : 374
    Points : 1 399
    Points
    1 399
    Par défaut
    Je ne compte pas trop sur le fait que les gens arrêtent d'utiliser ces 320 millions de mots de passe ^^

    Et puis avec ENIGMA, la taille de la clé était limitée, les mots de passe actuels ont tout de même 36^256 possibilités de hash si ils sont hashés avec SHA-256, c'est pas tout à fait le même niveau :p

    Perso j'utilise des mots de passe du genre "Daenerys Targaryen pête le feu avec ses 3 dragons !", sauf sur paypal où on est limités à 20 caractères alphanumériques

  11. #11
    Membre extrêmement actif
    Profil pro
    Développeur
    Inscrit en
    Mars 2012
    Messages
    1 969
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Mars 2012
    Messages : 1 969
    Points : 3 375
    Points
    3 375
    Par défaut
    Citation Envoyé par Shepard Voir le message
    "Daenerys Targaryen pête le feu avec ses 3 dragons !"
    ce n'est pas aussi secure que tu le penses.
    J'éviterais les mots du dictionnaire
    Si la réponse vous a aidé, pensez à cliquer sur +1

  12. #12
    Nouveau membre du Club
    Inscrit en
    Mars 2007
    Messages
    14
    Détails du profil
    Informations forums :
    Inscription : Mars 2007
    Messages : 14
    Points : 36
    Points
    36
    Par défaut je suis scotché
    mon mdp changé il y a 4 jours est déjà sur cette base!!!!?????

    Vu son contenu j'ai peine à croire que quelqu'un d'autre dans le monde s'en sert aussi...

    Ca sent le machin pas clair sur mon PC

  13. #13
    Nouveau membre du Club
    Inscrit en
    Mars 2007
    Messages
    14
    Détails du profil
    Informations forums :
    Inscription : Mars 2007
    Messages : 14
    Points : 36
    Points
    36
    Par défaut tu as raison
    Citation Envoyé par hotcryx Voir le message
    ce n'est pas aussi secure que tu le penses.
    J'éviterais les mots du dictionnaire

    vaut mieux des mdp tels admin1234. Plébiscité par des millions d'utilisateurs, il est donc de qualité

  14. #14
    Membre confirmé
    Inscrit en
    Octobre 2005
    Messages
    239
    Détails du profil
    Informations forums :
    Inscription : Octobre 2005
    Messages : 239
    Points : 539
    Points
    539
    Par défaut Ca ne veut rien dire...
    Personne n'est à même de retenir 320 millions de mot de passe, ça n'a aucun sens et le titre de "un expert en sécurité" n'apporte pas plus de crédit.
    Le terme expert est utilisé à tord et à travers.

    La meilleure règle est de choisir des mdp très liées à son intimité comprenant majuscule(s), Minuscule(s), chiffre(s) et caractère(s) spécial(aux).

  15. #15
    syj
    syj est déconnecté
    Membre régulier

    Profil pro
    DEV
    Inscrit en
    Septembre 2002
    Messages
    38
    Détails du profil
    Informations personnelles :
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations professionnelles :
    Activité : DEV

    Informations forums :
    Inscription : Septembre 2002
    Messages : 38
    Points : 114
    Points
    114
    Par défaut
    J'ai tenté un petit script bash , mais je ne trouve pas les classiques rootroot, root, 123456, ...

    read testpwd
    pwdsha1=`echo " $testpwd"|sha1sum |cut -d " " -f 1`
    pwdsha1=${pwdsha1^^}
    echo "Cherche_"$pwdsha1"_"
    7z x -so pwned-passwords-1.0.txt.7z| grep pwdsha1


    Quelqu'un a réussi à utiliser cette base ?

  16. #16
    syj
    syj est déconnecté
    Membre régulier

    Profil pro
    DEV
    Inscrit en
    Septembre 2002
    Messages
    38
    Détails du profil
    Informations personnelles :
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations professionnelles :
    Activité : DEV

    Informations forums :
    Inscription : Septembre 2002
    Messages : 38
    Points : 114
    Points
    114
    Par défaut
    Bon j'ai cherché directement sur le site pour voir quel encodage il utilisait. Et effectivement, çà fonctionne sha1 ne retourne pas la même chose qu'un sha1sum. Le script ci-dessous donne le même résultat que sha1 calculé via le site web mais il ne trouve toujours pas les classiques.

    #!/bin/bash

    read testpwd

    pwdsha1=`node -p "require('crypto').createHash('sha1').update('$testpwd', 'utf8').digest('hex')"`
    pwdsha1=${pwdsha1^^}
    echo "Cherche_"$pwdsha1"_"

    7z x -so pwned-passwords-1.0.txt.7z|grep -i pwdsha1

  17. #17
    Membre averti
    Profil pro
    Développeur informatique
    Inscrit en
    Décembre 2013
    Messages
    176
    Détails du profil
    Informations personnelles :
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Décembre 2013
    Messages : 176
    Points : 405
    Points
    405
    Par défaut
    Vu la quantité énorme de mots de passe que référence ce service je ne vois son intérêt vu qu'il serai idiot de mettre un mot de passe qu'on souhaite réellement utiliser ??

Discussions similaires

  1. Gartner propose une liste des meilleures technologies de sécurité en 2017
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 0
    Dernier message: 14/06/2017, 18h29
  2. Réponses: 22
    Dernier message: 25/02/2017, 12h01
  3. Réponses: 1
    Dernier message: 15/10/2013, 12h04
  4. Proposer une liste des différentes monnaies
    Par DotNET74 dans le forum Windows Phone
    Réponses: 5
    Dernier message: 14/07/2011, 11h11
  5. Réponses: 6
    Dernier message: 16/05/2006, 17h17

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo