-
Ajouter aux favoris
Pirater un mot de passe en deux heures
vendredi 15 mars 2019
Dans cet article, nous revenons au sujet toujours aussi sensible des fuites.
Un cybercriminel portant le pseudo Gnosticplayers a mis en vente dans le Darknet un nouveau et troisième bloc de données volées. Il « propose » des données d’utilisateurs GfyCat, Legendas.tv, Jobandtalent, Onebip, StoryBird, StreetEasy, ClassPass et Pizap. Il est à noter qu'aucune des platesformes susnommées n'a signalé de fuite de données.
Pouvez-vous être certain que vos données n'ont pas fuité sur le Web ? " Aucune des plateformes susnommées n'a signalé de fuite de données ".
Nous recommandons constamment de modifier périodiquement les mots de passe, et nous réalisons que peu de gens le font. De même, lorsqu’une fuite de données est relatée, il est bien de vérifier que ses données ne sont pas présentes dans la base de données concernée. Mais ce n'est pas à la portée de tous les internautes. Des fuites se produisent constamment et il n'est pas du tout facile de toutes les connaître, de télécharger les bases depuis des adresses suspectes et de traiter différents formats liés au stockage de données...
Mais il existe encore une option. Il existe des ressources permettant de vérifier si votre adresse figure dans les bases compromises.
Attention ! Nous avons déjà écrit écrit que ce type de recherche dans des ressources douteuses rappelle le jeu de la roulette russe : lorsque vous entrez vos données, vous ne pouvez pas savoir si elles tombent entre les mains de pirates ou pas.
Des pirates ont créé un clone du service « Have I been pwned » et demandaient un paiement en bitcoin pour les mots de passe compromis.
Tout comme dans Have I been Pwned, les utilisateurs étaient invités à saisir l’adresse email qu'ils souhaitaient vérifier. Le problème est qu’ensuite, ce service fournit les mots de passe des comptes compromis sous forme non chiffrée et demande à l'utilisateur de payer 10 $ en cryptomonnaies pour masquer ces données.
L'un des services les plus populaires de vérification des mots de passe compromis – haveibeenpwned.com. A propos : « Le développeur ne cesse de s'étonner du fait que les gens se mettent à vérifier leurs mots de passe via un service tiers malgré la recommandation de ne pas le faire ".
Les données peuvent être vérifiées manuellement via un champ de requête ou via une API.
L'API permet une vérification plus sophistiquée, utilisant en tant que clé un préfixe du hashage du mot de passe, dans ce cas, le serveur répond en sortant les hashages réels des mots de passe de la base de données, et le client de son côté peut les comparer avec son hash complet. Par exemple, allons vérifier le mot de passe" test " (l'API ne donne que la queue du hachage SHA-1, sans le préfixe requis).
Cela permet aux administrateurs de vérifier les adresses automatiquement. L'API est utilisée notamment par la société Mozilla, qui a lancé le service monitor.firefox.com.
Ce service est très pratique car il affiche tout de suite les sites où des fuites de paires email/mot de passe ont eu lieu et les dates de ces fuites. Selon mon adresse principale, il affiche cinq fuites dans les années 2011-2013.
C'est intéressant. Notre test a montré que monitor.firefox.com et haveibeenpwned.com donnent des réponses différentes lorsque vous entrez la même adresse e-mail. Bizarre !
Le service vous permet également de vérifier les mots de passe. Mais est-ce que cela en vaut la peine ?
Il existe une blague populaire :
- Maître, j'ai trouvé un mot de passe fort qui ne figure dans aucun dictionnaire.
Le Maître fait un signe de tête pour qu'il continue.
- Je l'ai introduit dans Google, - continue l'administrateur système, - et je me suis assuré que cette combinaison n'existe pas sur le Web.
Le Maître répond alors : Maintenant, elle y est.
Par conséquent, si vous avez le désir de vérifier les mots de passe pour une fuite via haveibeenpwned.com; vous pouvez télécharger une base de hashages des mots de passe, puis créer un hashage de votre mot de passe et ensuite procéder à la vérification.
Un autre détail important : même si vous avez reçu la réponse que vos données ne figurent pas parmi les données fuitées, ce n'est pas une raison pour vous détendre.
Le site ne contient pas tous les cas connus de piratage, mais seuls les plus retentissants et concernant les bases disponibles en accès libre.
Le projet Lumières sur la sécurité recommande
Vous ne pouvez pas être certain que vos données n'ont pas été compromises. Les entreprises qui ont recueilli vos données peuvent ignorer la fuite. Rappelons-nous : " Aucune des plateformes susnommées n'a signalé de fuite de données ".
Il ne faut pas utiliser des mots de passe courts et simples :
L'outil open source pour la récupération de mots de passe HashCat est désormais en mesure de pirater le hashage d'un mot de passe NTLM de huit chiffres en mois de deux heures et demie, quelle que soit la complexité du mot de passe.
Deux heures trente après le piratage de votre ordinateur, le pirate pourra connaître votre mot de passe d’une longueur de moins de 9 caractères !
Nous tenons à ajouter qu'il est fort déconseillé de transmettre via le réseau des logins et mots de passe en texte clair.
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png "Partagés 0 fois")
Nous apprécions vos commentaires
Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.
Commentaires des utilisateurs
Неуёмный Обыватель
01:36:18 2019-03-16
razgen
21:02:36 2019-03-15
Bernard
10:09:34 2019-03-15
Un logiciel de mot de passe apparaît utile même si sur ce plan Dr Web n'en a pas encore réalisé un.Dommage
Vous dites dans vos recommandations "Nous tenons à ajouter qu'il est fort déconseillé de transmettre via le réseau des logins et mots de passe en texte clair"
Pourquoi alors transmettez vous lors du renouvellement de mon produit Dr Web Security Space le mot de Passe en clair sur le mail de renouvellement?