IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Microsoft estime que l'utilisation de l'authentification multi-facteur bloque 99,9% des piratages de comptes


Sujet :

Sécurité

  1. #21
    Responsable Systèmes


    Homme Profil pro
    Gestion de parcs informatique
    Inscrit en
    Août 2011
    Messages
    17 351
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Gestion de parcs informatique
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : Août 2011
    Messages : 17 351
    Points : 42 822
    Points
    42 822
    Par défaut
    Les sites marchands ont le droit de stocker votre numero de carte bleue et on vous demande une double authentification
    J'aime autant avoir une double authentification sur un site qui a ma carte bleue.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur le P2V, mon article sur le cloud
    Consultez nos FAQ : Windows, Linux, Virtualisation

  2. #22
    Membre chevronné
    Profil pro
    Développeur Web
    Inscrit en
    Février 2008
    Messages
    2 050
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Février 2008
    Messages : 2 050
    Points : 2 087
    Points
    2 087
    Par défaut
    Citation Envoyé par crocus Voir le message
    La politique de sécurité en informatique est schizophrene. Des qu'on ouvre une fenetre, on ferme la porte et vice versa :
    Les sites marchands ont le droit de stocker votre numero de carte bleue et on vous demande une double authentification
    La carte contact permet de payer sans code, etc...
    En attendant les usagers se pourrissent la vie avec tous ces systemes de securité que ce soit des sites marchands ou pas. L'informatique facilitait la vie à une époque mais c'est fini là.
    C'est le cas dans beaucoup de domaines : la présence de gens qui abusent, et la nécessité de s'en prémunir, ne facilite pas la vie.

  3. #23
    Membre chevronné
    Profil pro
    Développeur Web
    Inscrit en
    Février 2008
    Messages
    2 050
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Février 2008
    Messages : 2 050
    Points : 2 087
    Points
    2 087
    Par défaut
    Citation Envoyé par chrtophe Voir le message
    J'aime autant avoir une double authentification sur un site qui a ma carte bleue.
    En effet. Même si le plus important qu'il protège, c'est l'accès à sa base de données.

  4. #24
    Expert éminent sénior
    Homme Profil pro
    Analyste/ Programmeur
    Inscrit en
    Juillet 2013
    Messages
    4 627
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Analyste/ Programmeur

    Informations forums :
    Inscription : Juillet 2013
    Messages : 4 627
    Points : 10 551
    Points
    10 551
    Par défaut
    Le pire c'est le 3-D Secure avec ta carte bleue (Mastercard ???). Tu es obligé de prendre un rendez-vous avec ton conseiller pour changer le numéro de téléphone associé à ta carte (pour envoyer des codes de vérification par SMS).
    Et de souvenirs le rendez-vous dure genre 30 secondes "Bonjour, ton nouveau numéro, Au revoir"

    Il faut prévoir tout changement de numéro de portable ... et également savoir que ce système existe


    Citation Envoyé par fredoche Voir le message
    à quoi fais-tu allusion quand tu parles de vérification de comptes ?
    Simple Si j’accède à mon compte Google d'un autre ordinateur ou d'un autre butineur (mais sur l'ordinateur principal), je reçois un courriel pour me demander si j'accepte ou pas ce nouvel accès.
    Tant que je n'ai pas accepté, cet accès est bloqué.

    J'ai regardé pendant 15 minutes les paramètres de mon compte Google et impossible de trouver l'option magique. Tant pis, mon compte Google n'est pas sûr et c'est maintenant un compte poubelle juste pour Android (et 2-3 trucs pas importants)


    Citation Envoyé par gallima Voir le message
    Ok pour l'authentification à deux facteurs, mais comment je fais pour ne pas leur laisser mon numéro de tel portable ou une autre information personnel ? Disons que les majors ne sont pas en état de grâce niveau gestion des informations personnel.
    Cela va faire 4 ans que je n'arrive pas à créer un compte Hotmail/ Outlook/ MSN/ Microsoft/ ... parce que Microsoft exige un numéro de portable pour la récupération.
    Mais cela devient très compliqué : Windows 10 demande un compte (mais tu peux feinter), Visual demande un compte, ...

  5. #25
    Membre chevronné
    Profil pro
    Développeur Web
    Inscrit en
    Février 2008
    Messages
    2 050
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Février 2008
    Messages : 2 050
    Points : 2 087
    Points
    2 087
    Par défaut
    Ah ... Mais tous ces gens qui appellent pour proposer des contrats d'électricité, vous croyez que ça vient de là ?

  6. #26
    Inactif  

    Profil pro
    Inscrit en
    Janvier 2011
    Messages
    3 064
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 064
    Points : 4 604
    Points
    4 604
    Par défaut
    Bonjour

    Citation Envoyé par foetus Voir le message
    Cela va faire 4 ans que je n'arrive pas à créer un compte Hotmail/ Outlook/ MSN/ Microsoft/ ... parce que Microsoft exige un numéro de portable pour la récupération.
    Mais cela devient très compliqué : Windows 10 demande un compte (mais tu peux feinter), Visual demande un compte, ...
    Il y a quelques mois j'ai changé l'adresse mail à un pc sous windows 8.1 et windows 10 . L'adresse était une adresse orange.fr pour ouvrir la session user. Comme le système Microsoft à reconnu une adresse mail valide , Microsoft a créé un "compte" avec un mot de passe ... Résultat une adresse "XXXX@orange.fr" + mdp ... possibilité de se connecter via " live.com " !

    Mais le plus grave dans l'histoire c'est que si le mdp est piraté ou le compte bloqué le pc devient inutilisable physiquement pour l'utilisateur légitime ...

  7. #27
    Futur Membre du Club
    Profil pro
    Inscrit en
    Février 2009
    Messages
    6
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Février 2009
    Messages : 6
    Points : 5
    Points
    5
    Par défaut
    perso je trouve que le MFA devrait se généraliser d'une manière ou d'une autre, ça éviterait un bon paquet de problèmes de vol de données et autres
    la plupart des gens utilisent le même mot de passe partout, et il n'y a pas grand chose à faire contre cette bêtise (ma mère est la première à le faire), sauf à leur imposer le MFA
    d'autant plus que ça devient quand même super simple à intégrer avec des outils comme nomado.eu

  8. #28
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    Décembre 2011
    Messages
    9 012
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2011
    Messages : 9 012
    Points : 23 209
    Points
    23 209
    Par défaut
    Citation Envoyé par velocy Voir le message
    la plupart des gens utilisent le même mot de passe partout, et il n'y a pas grand chose à faire contre cette bêtise (ma mère est la première à le faire), sauf à leur imposer le MFA
    d'autant plus que ça devient quand même super simple à intégrer avec des outils comme nomado.eu
    Ou d'utiliser un gestionnaire de mot de passe.


    Le MFA non transparent est une contrainte supplémentaire qui peut devenir soûlant aux yeux de l'utilisateur, qui n'a qu'une envie : être connecté au plus vite. Déjà que j'en connais qui laissent tourner leur ordi toute la nuit par flemme de le redémarrer au petit matin...

  9. #29
    Inactif  

    Profil pro
    Inscrit en
    Janvier 2011
    Messages
    3 064
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 064
    Points : 4 604
    Points
    4 604
    Par défaut
    Citation Envoyé par Neckara Voir le message
    Ou d'utiliser un gestionnaire de mot de passe.


    Le MFA non transparent est une contrainte supplémentaire qui peut devenir soûlant aux yeux de l'utilisateur, qui n'a qu'une envie : être connecté au plus vite. Déjà que j'en connais qui laissent tourner leur ordi toute la nuit par flemme de le redémarrer au petit matin...
    Le gestionnaire de mot de passe est un leur !

    Ton presta se fait piraté t'es chocolat !

    Ton PC se prend un ransomware, crame, grille , est volé , perdu t'es chocolat !

  10. #30
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    Décembre 2011
    Messages
    9 012
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2011
    Messages : 9 012
    Points : 23 209
    Points
    23 209
    Par défaut
    Citation Envoyé par tanaka59 Voir le message
    Ton presta se fait piraté t'es chocolat !
    Pour le cas des gestionnaires online, les données sont stockées chiffrées, avec sauvegardes, et ne sont déchiffrées que localement, sur ton PC.

    Citation Envoyé par tanaka59 Voir le message
    Ton PC se prend un ransomware, crame, grille , est volé , perdu t'es chocolat !
    Même pour les gestionnaires hors-ligne, tu peux faire une sauvegarde, de la même manière que tu devrais normalement régulièrement sauvegarder l'ensemble de tes données.

    Tes craintes ne sont ainsi en aucun cas fondées.

  11. #31
    Inactif  

    Profil pro
    Inscrit en
    Janvier 2011
    Messages
    3 064
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 064
    Points : 4 604
    Points
    4 604
    Par défaut
    Bonsoir

    Citation Envoyé par Neckara Voir le message
    Pour le cas des gestionnaires online, les données sont stockées chiffrées, avec sauvegardes, et ne sont déchiffrées que localement, sur ton PC.
    Rien ne dit que le presta n'est pas victime d'un piratage de sa BDD client ! Pour preuve : https://www.01net.com/actualites/le-...te-657820.html

    Balayer ce risque d'un revers de la mains est suicidaire ! Les pirates peuvent s'emparer de clef , écouter le trafic ou trouver une combine pour déchiffrer ce qu'ils veulent ! Qui d'un PC qui se fait piraté ou d'un mauvaise usage de celui ci pour casser des mots de passes ou déchiffrer des mots de passes ?

    Citation Envoyé par Neckara Voir le message
    Même pour les gestionnaires hors-ligne, tu peux faire une sauvegarde, de la même manière que tu devrais normalement régulièrement sauvegarder l'ensemble de tes données.
    Oui et tout le monde ne le fait pas ... Pour ma part je fais de la sauvegarde. Un ransomware crypte et chiffre des fichiers systèmes et c'est terminé ! Il y a même des variantes de ransomware qui peuvent s'en prendre à des fichiers et parties systèmes logiquement interdites d'accès à un user classique. Je vais retrouver l'article.

    Citation Envoyé par Neckara Voir le message
    Tes craintes ne sont ainsi en aucun cas fondées.
    Désolé de ne pas être en accord avec toi ... la j'ai 2 contres exemples qui prouvent le contraire .

  12. #32
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    Décembre 2011
    Messages
    9 012
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2011
    Messages : 9 012
    Points : 23 209
    Points
    23 209
    Par défaut
    Citation Envoyé par tanaka59 Voir le message
    Rien ne dit que le presta n'est pas victime d'un piratage de sa BDD client ! Pour preuve : https://www.01net.com/actualites/le-...te-657820.html
    Et comme les données contenues dans la BDD sont chiffrées... ils ne peuvent rien faire avec.

    Citation Envoyé par tanaka59 Voir le message
    Les pirates peuvent s'emparer de clef
    La clé doit rester en local, de préférence dérivée à partir du mot de passe maître (ou chiffrée avec un clé dérivée du mot de passe maître). Si elle quitte l'ordinateur client, c'est un gestionnaire de merde, et je te recommande d'en changer.

    Citation Envoyé par tanaka59 Voir le message
    écouter le trafic
    Ce type de trafic passe généralement au minimum sur du TLS.
    De surcroît les données doivent être déchiffrées localement, pas côté serveur, sinon, encore une fois, c'est un gestionnaire de merde.

    Citation Envoyé par tanaka59 Voir le message
    ou trouver une combine pour déchiffrer ce qu'ils veulent !
    S'ils peuvent déchiffrer des données arbitraires... attaquer un gestionnaire de mots de passe ne serait d'aucune utilité.
    Prendre la peine de voler une clé ne sert à rien quand tu es capable de défoncer directement n'importe quel mur.

    Citation Envoyé par tanaka59 Voir le message
    Qui d'un PC qui se fait piraté ou d'un mauvaise usage de celui ci pour casser des mots de passes ou déchiffrer des mots de passes ?
    Si le PC client est corrompu, gestionnaire de mots de passe ou non, c'est de toute manière fini.

    Citation Envoyé par tanaka59 Voir le message
    Oui et tout le monde ne le fait pas ...
    Tout comme tout le monde ne met pas sa ceinture de sécurité.
    Mais le jour où il y a un accident...

    Sans compter que tes mots de passes, tu peux les renouveler, via les fonctionnalités "mots de passe perdus" (sur les sites où tu veux t'authentifier).
    Sachant que si tu utilises un gestionnaire de mots de passe en ligne, ou utilise un gestionnaire de mot de passe hors ligne sur plusieurs devices, tu auras déjà une redondance de tes données, donc le problème ne se posera pas.

  13. #33
    Responsable Systèmes


    Homme Profil pro
    Gestion de parcs informatique
    Inscrit en
    Août 2011
    Messages
    17 351
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Gestion de parcs informatique
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : Août 2011
    Messages : 17 351
    Points : 42 822
    Points
    42 822
    Par défaut
    Il ne faut pas se leurrer, rien n'est fiable à 100%.

    Sur un gestionnaire de mots de passes externe sérieux, le risque est limité mais pas 0. Dans le cas ou un système clé publique clé privée est implémentée, il suffit que les clés privées soient écrasés (sans décryptage de celles-ci) pour ne plus pouvoir se connecter. Il faut alors espérer que les sauvegardes du presta soient fiables. Il y a déjà eu des cas ou des hébergeurs se sont fait crypter leur données sans restauration possible. Et comme le monstre yahoo ou le système a été compromis pour 1 milliard de comptes si je me souviens et pendant des années.

    Comme le dit Neckara, les mots de passe sont renouvelables.

    D’où l’intérêt d'une authentification multi-facteur, il faut compromettre les deux systèmes pour entrer. Le problème étant que si le second facteur est le téléphone mobile, et qu'on le perd ou se le fait voler, ou qu’on a tout simplement plus de batterie, plus d'authentification possible. Il faut donc bien gérer le truc.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur le P2V, mon article sur le cloud
    Consultez nos FAQ : Windows, Linux, Virtualisation

  14. #34
    Membre expert
    Profil pro
    programmeur du dimanche
    Inscrit en
    Novembre 2003
    Messages
    777
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : programmeur du dimanche
    Secteur : Santé

    Informations forums :
    Inscription : Novembre 2003
    Messages : 777
    Points : 3 341
    Points
    3 341
    Par défaut
    Citation Envoyé par chrtophe Voir le message
    Il ne faut pas se leurrer, rien n'est fiable à 100%.


    D’où l’intérêt d'une authentification multi-facteur, il faut compromettre les deux systèmes pour entrer. Le problème étant que si le second facteur est le téléphone mobile, et qu'on le perd ou se le fait voler, ou qu’on a tout simplement plus de batterie, plus d'authentification possible. Il faut donc bien gérer le truc.
    Si on est vraiment parano, on peut utiliser un gestionnaire de mot de passe offline protégé par un mot de passe et un token USB/NFC qu'on garde sur son porte clé comme une YubiKey. Comme ça on peut s'authentifier avec sur PC et android et utiliser un gestionnaire TOTP sécurisé. On peut aussi mettre dessus ses clés GPG. Le secret et/ou le chiffrage se font sur la clé et l'extraction est sensée être impossible car bloquée par le hardware.

    L'authentification par SMS c'est déprécié : c'est utilisé pour voler les comptes des stars et PDG dans diverses niouzes.

    Sinon, on peut aussi noter ses codes sur un carnet qu'on laisse dans un coffre... très dur à pirater...

    Sur proton, on peut générer des codes à usage unique pour s'authentifier à la place du 2e facteur en cas de panne de batterie.

  15. #35
    Membre expert
    Profil pro
    programmeur du dimanche
    Inscrit en
    Novembre 2003
    Messages
    777
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : programmeur du dimanche
    Secteur : Santé

    Informations forums :
    Inscription : Novembre 2003
    Messages : 777
    Points : 3 341
    Points
    3 341
    Par défaut
    Citation Envoyé par Neckara Voir le message
    Moi, j'aimerais juste qu'on arrête de m'enquiquiner avec des "vérifications de comptes" à chaque fois que je me déplace avec mon ordinateur portable...
    C'est pour ça que j'ai quitté google, yahoo ou MS pour le courriel.

    Un jour, en déplacement pro inhabituel. Tous les comptes se sont verrouillés avec demande d'authentification par SMS (ou mail mais tous étaient bloqués...), sauf qu'étant à l'étranger, mon fournisseur de téléphone ne captait qu'à 800m de mon hôtel suite aux contrats locaux, et la data sur mon tél. refusait de marcher (c'était il y a longtemps). La galère complète.

Discussions similaires

  1. Réponses: 32
    Dernier message: 09/06/2017, 09h58
  2. Réponses: 34
    Dernier message: 04/09/2015, 11h35
  3. Réponses: 2
    Dernier message: 03/12/2012, 19h14
  4. [Auth Windows]Utiliser une autre authentification que celle de l'utilisateur connecté
    Par anthyme dans le forum Windows Communication Foundation
    Réponses: 2
    Dernier message: 10/06/2008, 16h23
  5. [GRASP] Est-ce que j'utilise correctement les design pattern?
    Par Tourix dans le forum Design Patterns
    Réponses: 7
    Dernier message: 21/06/2006, 19h27

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo