Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

Persona (non) grata

Persona (non) grata

D'autres publications de cette rubrique (10)
  • Ajouter aux favoris
    Ajouter aux favoris

Pirater un mot de passe en deux heures

Lu par: 449 Commentaires: 3 Cote de popularité: 7

Dans cet article, nous revenons au sujet toujours aussi sensible des fuites.

Un cybercriminel portant le pseudo Gnosticplayers a mis en vente dans le Darknet un nouveau et troisième bloc de données volées. Il « propose » des données d’utilisateurs GfyCat, Legendas.tv, Jobandtalent, Onebip, StoryBird, StreetEasy, ClassPass et Pizap. Il est à noter qu'aucune des platesformes susnommées n'a signalé de fuite de données.

Source

Pouvez-vous être certain que vos données n'ont pas fuité sur le Web ? " Aucune des plateformes susnommées n'a signalé de fuite de données ".

Nous recommandons constamment de modifier périodiquement les mots de passe, et nous réalisons que peu de gens le font. De même, lorsqu’une fuite de données est relatée, il est bien de vérifier que ses données ne sont pas présentes dans la base de données concernée. Mais ce n'est pas à la portée de tous les internautes. Des fuites se produisent constamment et il n'est pas du tout facile de toutes les connaître, de télécharger les bases depuis des adresses suspectes et de traiter différents formats liés au stockage de données...

Mais il existe encore une option. Il existe des ressources permettant de vérifier si votre adresse figure dans les bases compromises.

Attention ! Nous avons déjà écrit écrit que ce type de recherche dans des ressources douteuses rappelle le jeu de la roulette russe : lorsque vous entrez vos données, vous ne pouvez pas savoir si elles tombent entre les mains de pirates ou pas.

Des pirates ont créé un clone du service « Have I been pwned » et demandaient un paiement en bitcoin pour les mots de passe compromis.

Tout comme dans Have I been Pwned, les utilisateurs étaient invités à saisir l’adresse email qu'ils souhaitaient vérifier. Le problème est qu’ensuite, ce service fournit les mots de passe des comptes compromis sous forme non chiffrée et demande à l'utilisateur de payer 10 $ en cryptomonnaies pour masquer ces données.

Source

L'un des services les plus populaires de vérification des mots de passe compromis – haveibeenpwned.com. A propos : « Le développeur ne cesse de s'étonner du fait que les gens se mettent à vérifier leurs mots de passe via un service tiers malgré la recommandation de ne pas le faire ".

Les données peuvent être vérifiées manuellement via un champ de requête ou via une API.

L'API permet une vérification plus sophistiquée, utilisant en tant que clé un préfixe du hashage du mot de passe, dans ce cas, le serveur répond en sortant les hashages réels des mots de passe de la base de données, et le client de son côté peut les comparer avec son hash complet. Par exemple, allons vérifier le mot de passe" test " (l'API ne donne que la queue du hachage SHA-1, sans le préfixe requis).

Source

Cela permet aux administrateurs de vérifier les adresses automatiquement. L'API est utilisée notamment par la société Mozilla, qui a lancé le service monitor.firefox.com.

#drweb

Ce service est très pratique car il affiche tout de suite les sites où des fuites de paires email/mot de passe ont eu lieu et les dates de ces fuites. Selon mon adresse principale, il affiche cinq fuites dans les années 2011-2013.

#drweb

Source

C'est intéressant. Notre test a montré que monitor.firefox.com et haveibeenpwned.com donnent des réponses différentes lorsque vous entrez la même adresse e-mail. Bizarre !

Le service vous permet également de vérifier les mots de passe. Mais est-ce que cela en vaut la peine ?

#drweb

Il existe une blague populaire :

- Maître, j'ai trouvé un mot de passe fort qui ne figure dans aucun dictionnaire.

Le Maître fait un signe de tête pour qu'il continue.

- Je l'ai introduit dans Google, - continue l'administrateur système, - et je me suis assuré que cette combinaison n'existe pas sur le Web.

Le Maître répond alors : Maintenant, elle y est.

Par conséquent, si vous avez le désir de vérifier les mots de passe pour une fuite via haveibeenpwned.com; vous pouvez télécharger une base de hashages des mots de passe, puis créer un hashage de votre mot de passe et ensuite procéder à la vérification.

Un autre détail important : même si vous avez reçu la réponse que vos données ne figurent pas parmi les données fuitées, ce n'est pas une raison pour vous détendre.

#drweb

Le site ne contient pas tous les cas connus de piratage, mais seuls les plus retentissants et concernant les bases disponibles en accès libre.

Source

Dr.Web recommande :

Vous ne pouvez pas être certain que vos données n'ont pas été compromises. Les entreprises qui ont recueilli vos données peuvent ignorer la fuite. Rappelons-nous : " Aucune des plateformes susnommées n'a signalé de fuite de données ".

Il ne faut pas utiliser des mots de passe courts et simples :

L'outil open source pour la récupération de mots de passe HashCat est désormais en mesure de pirater le hashage d'un mot de passe NTLM de huit chiffres en mois de deux heures et demie, quelle que soit la complexité du mot de passe.

Source

Deux heures trente après le piratage de votre ordinateur, le pirate pourra connaître votre mot de passe d’une longueur de moins de 9 caractères !

Nous tenons à ajouter qu'il est fort déconseillé de transmettre via le réseau des logins et mots de passe en texte clair.

Evaluez les publications et recevez des Dr.Webonus ! (1 voix = 1 Dr.Webonus)

Authentifiez-vous et recevez 10 Dr.Webonus pour un lien vers une publication du projet dans un réseau social.

[Twitter]

En raison de limitations techniques liées aux réseaux sociaux Vk et Facebook, nous ne pouvons malheureusement pas vous offrir de DrWebonus. Mais vous pouvez partager gratuitement le lien vers cette publication.

Nous apprécions vos commentaires

10 Dr.Webonus pour un commentaire publié le jour de la sortie d’une news ou 1 Dr.Webonus un autre jour. Les commentaires sont automatiquement publiés et modérés après. Règles de commentaires de news sur le site de Doctor Web.

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs