Commentaires : Sécurité : ces 3 affaires où le mot de passe était le maillon faible

dashlane
Sécurité
mot-de-passe
Tags: #<Tag:0x00007f920bf8e388> #<Tag:0x00007f920bf8e1a8> #<Tag:0x00007f920bf8e040>

#1

Le Celebgate Que s’est-il passé ? En septembre 2014, des dizaines de photos intimes de célébrités et d’actrices se trouvent exposées sur 4chan, Reddit ou Imgur. Jennifer Lawrence, Emma Watson ou Kate Upton — seules des femmes ont été visées, ce qui a marqué le caractère sexiste de ce « hack » — font partie des victimes. Ces photos sont le fruit d’une minutieuse collecte issue d’un ou plusieurs hackeurs, qui sont parvenus à s’introduire dans le compte iCloud — permettant de sauvegarder….

Par Humanoid Content
Revenir à l’article


#2

vous ne pouvez pas dire que le pass faible est la faiblesse.

Si on peut attaquer un log/pass en bruteforce, c’est que le serveur autorise des centaines de tentatives… il suffit qu’il ne l’autorise pas.

introduire 5 secondes de delay de réponse entre 2 tentives de log, ça règle le cas du brute force.


#3

Tout à fait, la sécurité est une chose qui se regarde de façon globale

Les cartes bancaires, c’est un code à 4 chiffres… C’est merdique de façon isolé. Et pourtant la sécurité de ce coté n’est pas un probleme

Si le brute forte est possible, la “faiblesse” n’est pas le mot de passe, mais bien le nombre de tentatives possibles avant de réagir (une règle de base appliqué à peu pret partotu, même hors de contexte “haute sécurité”, c’est 3 tentatives en erreur max par heure, avec éventuellement blocage du compte et des IP)

Quand les questions “secrètes” sont limités à 3 ou 4 phrases types bateau, la faiblesse, c’est d’imposer si peu de choix et aussi évident, et non la réponse elle même à la question.

Quand des mots de passe “fuitent”, le soucis, c’est la sécurité de l’endroit où ça été pompé, peu importe le mot de passe, qui n’est pas la faiblesse. (pour rappel, dans un système “de base”, personne, même pas l’administrateur système n’a accès aux mots de passe des usagers, celui ci ne peut que le remettre à zéro, pas le connaitre)

Bref, cet article ressemble “fortement” à rien d’autre qu’une pub à peine déguisée pour Dashlane avec votre lien affilié, le tout non mentionné bien sur…

Bref, comme tout ce qui est publié par Humanoid Content… la boite à pub qui profite del 'espace numérama pour glisser ce genre de chose comme si c’était des articles…


#4

ben quoi t’as jamais vu les films où les combinaisons défilent à toute berzingue pour trouver le code en moins de 5 minutes ?

et puis l’espace de numerama hein… entre humanoid machin et les bobos qui ne jurent que par les iPhone équitables ou te pondent des “articles” liste à puces comique CM1, mon cœur balance :thinking:


#5

en revanche on n’est pas obligé de dire la vérité aux questions secrètes, ça me viendrait même pas à l’idée…

on peux répondre “ta gueule” à chaque question secrète. :ok_hand:


#6

perso c’est devenu un web journal comique involontaire, un peu comme un dîner de con quotidien…


#7

Et tu es invité tous les mercredis mon con.


#8

Pour la plupart c’est l’inverse, ils se voient pas “mentir” à la question…
Quand tu leur dis que y’a aucun lien entre la question et leur réponse, tu peux mettre n’importe quoi, ils “comprennent pas”.

Alors parfois, je leur dis de “réfléchir” légèrement sur la question posée:
Par exemple “lieu de naissance”, la plupart des gens pensent à la ville de naissance. Hors le lieu peut être une rue / adresse postale, le nom de la maternité, etc…


#9

ben non, un site web ça essaye de s’inviter chez les gens, ça fait la manche des clics…

pas le contraire…