Un peu de cybersécurité

[SeikoTheWiz]

Je relance, perso j'ai un algo genre:

Prendre une lettre sur 2, mettre la première et la dernière en majuscule et rajouter 2 chiffes et un symbole
Mtgverse = MgeS78!
Et pouf sécurisé ET facile à retenir

Alors l'exemple choisis rend les mdp courts c'est peut-etre pas ouf, mais c'est un algo faites ce que vous voulez tant que votre cerveaux est capable de se dire quand il voit un site : "Ah oui, MTGVerse le mdp c'est MtGvErSe1983!!!"

[sapro]

tiens @sapro , question con, je voulais changer mon mot de passe de ma boite yahoo, mais je me rends compte que j'ai une clef activée liée à mon téléphone, et il me dit "si tu veux créer un mot de passe, désactive ta clef téléphone". Mais c'est pas mieux que le mot de passe en fait? (je sais pas si je suis clair)

De manière globale, c'est toujours mieux d'avoir de la double authentification : ce que je sais (un mot de passe)+ ce que je possède (mon téléphone/ma carte bancaire) ou ce que je suis (empreinte digitale). La seule limite à ce modèle, c'est quand tu n'es plus capable de prouver un de ces éléments, typiquement le jour où ton téléphone lâche. Là, vu la description que tu en fais, tu es tranquille si ton mot de passe peut pas être utilisé, mais il faudrait savoir à quelle occasion il peut l'être, et savoir ce qui est prévu si ton téléphone marche plus (j'ai pas de boite yahoo,je sais pas comment ils prévoient la récupération de compte).

xpost : oui c'est bien tant que tu t'en souviens. Le seul bémol que je vois à ta technique, c'est que tu n'es pas capable de t'en souvenir "facilement", au moins au début, ce qui fait que in fine tu vas devoir te le répéter jusqu'à ce qu'il rentre (ex, je suis incapable de savoir ce que donnerait un mot de passe facebook comme ça sans compter les caractères)

[Niluje]

Toujours aussi instructif et ça rafraîchit la mémoire sur les bonnes pratiques
Je ne suis pas un très bon élève, j'ai 2 mots de passes principaux mais avec une dizaine de déclinaisons chacun (casse, caractères spéciaux, longueur). Le point pénible, c'est que je ne me souviens pas toujours quelle version correspond à quel site
Pour le mail c'est une déclinaison unique et beaucoup plus robuste, j'avais pris cette décision y a quelques années et je le regrette pas : rien que le fait de savoir que cette déclinaison est unique me fait m'en souvenir ^^
2 petites questions sinon :
- j'avais lu qu'une bonne pratique (que je n'applique pas, par flemme) était d'utiliser des mots de passe totalement random et d'user/abuser de la fonction « mot de passe oublié » des sites pour ne pas se soucier de s'en rappeler, t'en penses quoi ? (condition sine qua non je suppose : avoir un mdp de mail très robuste)
- j'ai découvert cette page la semaine dernière : https://en.wikipedia.org/wiki/Wikipedia ... _passwords, c'est fiable ?

[sapro]

Toujours aussi instructif et ça rafraîchit la mémoire sur les bonnes pratiques
Je ne suis pas un très bon élève, j'ai 2 mots de passes principaux mais avec une dizaine de déclinaisons chacun (casse, caractères spéciaux, longueur). Le point pénible, c'est que je ne me souviens pas toujours quelle version correspond à quel site
Pour le mail c'est une déclinaison unique et beaucoup plus robuste, j'avais pris cette décision y a quelques années et je le regrette pas : rien que le fait de savoir que cette déclinaison est unique me fait m'en souvenir ^^
2 petites questions sinon :
- j'avais lu qu'une bonne pratique (que je n'applique pas, par flemme) était d'utiliser des mots de passe totalement random et d'user/abuser de la fonction « mot de passe oublié » des sites pour ne pas se soucier de s'en rappeler, t'en penses quoi ? (condition sine qua non je suppose : avoir un mdp de mail très robuste)
- j'ai découvert cette page la semaine dernière : https://en.wikipedia.org/wiki/Wikipedia ... _passwords, c'est fiable ?

- Alors tu peux, mais effectivement tout repose sur la robustesse de ton mot de passe mail, et surtout, c'est mégachiant comme procédé vu que tu perds du temps à demander le mdp oublié, à aller voir les mails etc.
- Elle est fiable mais attention, c'est pour de l'anglais. Si on devait trier les mots de passe les plus courant pour la France ça serait sans doute très différent . Typiquement, azerty arrive en 380e position, si on prend que les utilisateurs français il doit être dans le top 5.

[Zoorp]

tiens @sapro , question con, je voulais changer mon mot de passe de ma boite yahoo, mais je me rends compte que j'ai une clef activée liée à mon téléphone, et il me dit "si tu veux créer un mot de passe, désactive ta clef téléphone". Mais c'est pas mieux que le mot de passe en fait? (je sais pas si je suis clair)

De manière globale, c'est toujours mieux d'avoir de la double authentification : ce que je sais (un mot de passe)+ ce que je possède (mon téléphone/ma carte bancaire) ou ce que je suis (empreinte digitale). La seule limite à ce modèle, c'est quand tu n'es plus capable de prouver un de ces éléments, typiquement le jour où ton téléphone lâche. Là, vu la description que tu en fais, tu es tranquille si ton mot de passe peut pas être utilisé, mais il faudrait savoir à quelle occasion il peut l'être, et savoir ce qui est prévu si ton téléphone marche plus (j'ai pas de boite yahoo,je sais pas comment ils prévoient la récupération de compte).

la récupération de compte, c'est... mon autre mail , le gmail cette fois... ok lui aussi faut que je le change, mais je m'en sers quasi pas, c'est juste là qu'atterrissent les factures Deliveroo, VTC, les achats sur les jeux de téléphone genre marvel snap, tout ce qui est lié au compte google quoi

ce qui est bizarre, c'est qu'il me semble avoir un mot de passe yahoo en tête, donc il existe déjà, je vois pas pourquoi yahoo me dit "si tu mets/changes un mot de passe, tu vas niquer le lien avec ton téléphone"

[SeikoTheWiz]

xpost : oui c'est bien tant que tu t'en souviens. Le seul bémol que je vois à ta technique, c'est que tu n'es pas capable de t'en souvenir "facilement", au moins au début, ce qui fait que in fine tu vas devoir te le répéter jusqu'à ce qu'il rentre (ex, je suis incapable de savoir ce que donnerait un mot de passe facebook comme ça sans compter les caractères)

c'est l'avantage en fait, t'as pas besoin de t'en souvenir, tu as juste besoin qu'il soit facile à re-calculer facilement

[quake]

Le problème c'est quand certains sites sont incompatibles avec ton algorithme parce qu'ils n'autorisent pas les caractères spéciaux, les chiffres, les majuscules, etc.

[Kaptain]

Bon c'est cool, je suis à peu près dans les clous des recommandations de sapro. Mais je me refuse à utiliser autant que possible les doubles validations sur support physique tiers (le smartphone quoi), pour m'être déjà retrouvé coincé avec une perte de tel, une banque qui ne proposait pas d'autre choix de double authentification, et un virement ultra-urgent à gérer.

Par contre, en parlant de banque, je trouve la mienne très légère sur la question des mdp : on a pas le choix c'est forcément un nombre à 8 chiffres. Ni plus, ni moins.

[Xuelynom]

J'ai des mots de passe que je retrouve en combinant le nom du site et le placement des caractères sur clavier azerty.

Quand je dois rentrer un mdp sur mobile avec clavier android ou iphone la première chose que je dois faire c'est google imagee clavier azerty pasque je me souviens pas de la dispo des touches

[EtMini]

pour mes listes de MDP j'utilise le triple stockage. Fichier Excel avec mes noms d'utilisateur (adresse mail ou autre) et une correspondance avec une lettre (EtMini c'est le A par exemple) et un calepin avec mes MDP et une correspondance chiffre. (le MDP MtGvErSe1969! c'est le 1)
et j'ai un fichier Word sur lequel j'ai :
-MTGVERSE A-1
Il faut les 3 fichiers pour que ca serve à quelque chose, et j'ai choisi le calepin pour stocker mes MDP car c'est le fichier le plus sensible.

J'ai tenté de convertir ma femme, mais elle préfère demander la réinitialisation du MDP. Encore qu'elle commence à changer d'avis car il faut remonter de plus en plus loin dans le temps pour réutiliser les vieux MDP, et elle est en rade de MDP à recycler.

[SeikoTheWiz]

Le problème c'est quand certains sites sont incompatibles avec ton algorithme parce qu'ils n'autorisent pas les caractères spéciaux, les chiffres, les majuscules, etc.

ouais en effet ça peut arriver. Surtout sur les sites genre de validation bancaire ou les trucs ou ils demandent juste un nombre avec un pseudo clavier de boutons. C'est archi minoritaire depuis 2020 cela dit.

[Ragisacam]

Le problème c'est quand certains sites sont incompatibles avec ton algorithme parce qu'ils n'autorisent pas les caractères spéciaux, les chiffres, les majuscules, etc.

ouais en effet ça peut arriver. Surtout sur les sites genre de validation bancaire ou les trucs ou ils demandent juste un nombre avec un pseudo clavier de boutons. C'est archi minoritaire depuis 2020 cela dit.

J'ai encore dû faire un renouvellement de mot de passe aujourd'hui où la question de contrôle c'est le fameux nom de jeune fille d'un membre de ma famille. C'est pas comme si c'était l'une des plus grosses banques françaises...

Et l'histoire du fichier de login/mot de passe transmis dans un fichier excel en clair d'un presta informatique à un autre qui a été rapporté sur le discord...

Ne jamais utiliser deux fois le même mot de passe, tu sais jamais ce qui va en être fait derrière.

[MutoKenji]

https://tutut.delire.party/@rusty@piail ... 2160981793

Ça fait deux jours que je suis fasciné par ce qui se passe dans le monde de la sécurité informatique, autour de la backdoor XZ. Je vais essayer de vous l'expliquer, ça va être technique, mais c'est important.

Pour Internet, c'est l'équivalent d'un gros astéroïde qui serait passé à 5000km de la Terre. Pas d'impact, pas de dégâts directs, mais on aurait pu tous y passer et personne ne l'a vu venir.

Je vais chercher à vulgariser un maximum, tout en donnant des liens vers les sources directes, qui sont souvent très techniques et en anglais.
1/13

Absolument passionnant.

T'as vu ça @sapro ?
Si tu suis le sujet tu pourras nous donner des news du sujet et comment la compréhension du truc évolue ?

[Niluje]

Y a un petit côté SolarWinds de l'open source ou je suis totalement à côté de la plaque ?

[piRro]

La sérendipité de la découverte fait vraiment peur (c'était juste qu'il y avait une régression de perf sur un accès bdd...), ça aurait largement pu être Solarwind oui. Pour le moment l'impact est bien plus faible que Solarwind car la backdoor a été peu déployée (distribution basées sur apt ou rpm, et la maj n'a été envoyée que dans les rolling releases, enfin il y aura sans doute un œil plus fort sur les commits précédens de l'attaquant, et peut-être que finalement c'est super grave ).

[Li Mahong]

Rien compris, mais merci quand même.

[Zoorp]

j'ai compris, mais grâce aux devs du taf

[piRro]

J'avais une grille de loto à remplir, j'ai pu cocher pas mal de mots