Microsoft : écrivez vos mots de passe

On dit la Gold Coast, en Autralie (enfin traduit en Francais)
[hs]qui au passage est a 70km au sud de Brisbane et tres sympa pour faire du surf (Surfers paradise) (j'ai eut la change d'y passer 2 ans et demie).
[/hs]

Alors crosoft comme ils sont toujours fous, ils vont mettre à dispo un site où tu peux stocker tes MDP !!!
Puis moi demain je vais hacker leur serveur(dans mes rêves) et bidouiller tous vos comptes !!! eheh

Un jour on piratera vos cerveaux pour avoir vos clefs... En attendant, mieux vaut sefondre dans la masse!

C'est vrai que ça se défend... tiens, comme je suis convaincu, je vais stocker mes mots de passes sur cette news:

- presencepc: maisilestouheinleyouki

- messagerie: lemambodudécalco

- dossiers 'achement confidentiels: FemmesàlunettesSousleslorgnettesLescochonnettes



PS: pour jamais les oublier, j'ai fait comme microsoft m'a dit en les mettant en bien gras

A mon avis, il n'a pas dit ca betement comme ca, faudrait avoir le texte complet. Ou alors il est completement con, mais ca je doute...

MS fait toujours aussi fort en conseil de sécurité. Ils ne savent pas que les plus grands hackers ont comme méthode l'introduction physique dans les grandes entreprises... Ils feraient mieux de leur conseiller le morceau d'un texte qu'on connait par coeur au lieu de laisser trainer ces pass sur le bureau.

Sujet délicat les mot de passes ...

Les noter implique le risque que qqun de l'entreprise les récupère pour faire ce qu'il ne devrait pas, et étant donné que la plupart des attaques viennent de l'intérieur de l'entreprise ...

Mais d'un autre coté, ca évite les mots de passe bateaux du style nom / prenom avec des chiffres.

Perso j'ai pleins de mots de passes de différentes compléxité, que je retiens de tête, mais c'est pas forcément évident pour tout le monde.

Au fait, un tuyau, le top est de former un mot de passe qui correspond à une phrase, par exemple :
Mot de passe de presence pc = MdPdPpC80

Ca permet d'avoir des pass assez facile a retrouver, et suffisament complexe malgré tout.

lol antar ^^
Si on a affaire à qqun qui veut vraiment s'introduire dans le système, c'est assez dur de l'arréter si il est bon.

Mais déja, le fait d utiliser des mots de passe un peu plus complexe et pas tous les memes, ca permet d'éviter que qqun qui récupère un de tes mots de passe ait accès à tout, et surtout, ca évite les attaques par brute force trop facile sur les mots de passe simple. (ca n empeche pas totalement bien sur ..)

Ben là il faut taper dans le cryptage alors !!! Mais comme dit underseb si le gars est doué, rien à faire !!!!

On peut "comprendre la chose" lorsque l'on a un peu d'expérience de ce qui se passe dans certaines sociétés. Expérience vécue en tant qu'intervenant dans une entreprise gérant des actifs fonciers (dont on pourrait donc s'attendre à ce qu'elle prenne la sécurité comme une notion importante !) : Début de la mission, le responsable bureautique me fourni un listing de tous les comptes et mots de passe de la société afin de faciliter mes interventions sur les postes des utilisateurs qui ne seraient éventuellement pas sur place ! En poussant un peu le brave homme, j'apprends même que les mots de passe ne sont changés qu'une fois l'an afin de ne pas trop embrouiller les utilisateurs ...

Le conseil de Microsoft tel que rapporté dans la news est effectivement une ineptie totale sur le plan de la sécurité, mais il y a très souvent un décalage énoooorme entre ce qu'il faudrait faire et ce que les gens font (même ceux qui sont sensés savoir) ...

underseb, ton astuce est un pas en avant pour compliquer les choses si quelqu'un cherche un mot de passe à la main. Malheureusement en cas d'attaque par force brute, cela risque de ne pas peser tellement plus lourd que le nom de ma bouteille de vin favorite. Le fait de remplacer un o par un 0 ne changera malheureusement pas la donne : un mot de passe de 10 caractère est de plus en plus vulnérable ...

Daniel

Il suffit que les admins bloquent le compte 30 minutes au bout de 5 échecs et adieu la force brute...

Quelques infos en anglais sur les mots de passe longs :
http://www.theserverside.net/blogs [...] gPasswords

Daniel

Et bien, étant donné qu'on peut décrypter un mot de passe windows, en environ 10 minutes maxi, meme si le pass fait plus de 14 caractères, et avec des .!234oO, il est clair qu'on ne peut rien faire pour parer ca, si ce n'est, empecher les utilisateurs d'avoir des comptes admins par exemple.
Mais bon, c'est quasi impossible a vérifier, suffit que qqun boot avec un knoppix et c'est réglé.

Au fait, pour les pass dont je parlais tt a l'heure, ca n'évite certes pas vraiment le brute force, mais au moins les attaques par dico, et aussi les "collègues" de boulot.

Bah perso, je trouve que Microsoft a raison et je fais ce qu'ils disent.
J'écris mes mots de passe sur un PostIT planqué chez moi.
Résultat, je n'utilise jamais le même mot de passe, si je change de mot de passe, je raye sur le post it, ça va vite et aucun pirate ne peux me choper mes mots de passe, à moins de venir chez moi, fouiller dans mes tiroirs pour choper mes post-its.
Après, si le pirate utilise des méthodes plus "informatiques", quelquesoit mon mot de passe, c'est mort, donc bon...

perso : j'ai trois pass selon le niveau de sécurité ou je suis

J'ai 3 mots de passe que je ne change pas souvent.

1 des 3 est vraiment pour des trucs important.

Mais le pire : j'ai une clef de cryptage aes 256bits (32 octets) que je connais par coeur

Méfies-toi. Enfin, je te dis juste ça comme ça.
Moi j'ai un paquet de site et un paquet d'email, j'essaye de faire en sorte de n'avoir aucun mdp identique.

boaf, pour les forum, j'ai un vieux truc tout simple (ranafoot), pour les trucs de niveau 2 (genre les mails) j'ai un truc bien béton avec lettres plus chiffre, et pour les trucs niveau 3 (PPC, comptes bancaires), j'en ai deux bien chiadés avec tout pleins de majuscules bizarres

Ouaip, mais rien n'ai infaillible, si tu gardes le même pour tous tes trucs super sécurisés, il suffit qu'un seul se fasse pirater pour qu'il ait accès à tout.
C'est arrivé sur l'un de mes comptes, depuis ce jour là, je change de mot de passe à chaque fois, je collectionne les post-its, mais c'est plus "sécure".

PPC aussi important que ton compte bancaire ?

je passe plus de temps sur PPC que sur mon compte bancaire, voist-u

Il a raison, il est fortement recommandé d'écrire tout ses mots de passe sur la dernière page de son agenda posé près de l'ordinateur. Afin d'oter les problèmes de changement de mot de passe, utiliser de préférence un postIt (r).

De toute facon afin de ne pas trop souvent se reporter à son postIT utiliser le nom du chien, de la femme ou du dernier Né. Pour apporter un peu de complexité bien penser à commencer par une majuscule au début et à finir par un chiffre que l'on incrémente. Le jour où on oublie de mettre à jour le postIt il est facile à retrouver.



Bref, le monsieur de chez Ms à en partie raison, mais comme de toute facon les mots de passe des utilisateurs sont dans la plupart des cas triviaux (j'en ai fait l'expérience aujourd'hui avec un utilisateur à qui j'ai donné son mot de passe sans qu'il me dise quoi que ce soit) ca ne change pas grand chose au problème.

tient c'est marrant ton histoire de niveau denis, à un moment, j avais fait pareil, mais j'avais 7 niveaux de sécurités lol

Enfin, c'etait les 7 mots de passes que j utilisais
J'ai dit c'était, maintenant c'est plutot une vongtaine
(perso, + les servs du taff etc)

Disons que tout dépends du type de la menace.
Pour une utilisation personelle de l'ordinateur noter le mot de passe sur un papier dans un tiroir(par contre ne pas laisser sur le bureau) n'est pas vraiment risquée et permet justement de le changer sans risque d'oubli. En effet la seule menace est généralement exterieure.
Tant qu'on a pas d'ennemis capables de venir fouiller sa maison, le risque est surtout lié au conjoint jaloux ou aux enfants curieux

Pour une entreprise, cette utilisation est absolument à proscrire et tout bon admin réseau se devrait de défenestrer toute personne notant son mot de passe sur un papier. L'infiltration est en effet un moyen terriblement efficace et certainement un des plus employé. On peut aussi ajouter l'éventuel problème du collègue avec qui on s'est faché et qui voudrait se venger.
Dans la pratique c'est vrai que ca peut mieux passer dans certaines entreprises que d'autre. Le coup du listing de l'admin avec tous les mots de passe est malheureusement un grand classique qui ne devrait pas exister sachant qu'un admin(du moins sous un Unix/Linux mais je suppose que ça devrait aussi être le cas sous Windows) peut sans problème faire tout ce que fait un utilisateur y compris de se logger à sa place.

Sinon il avait sorti un truc là, heu comme dans les films, de reconnaissance digitale , c'est ça la solution du futur

Ouai! super le truc qui se pirate encore plus facilement que les MDP : les lecteurs d'empreinte digitale...

Jin Kazama> Tiens donc, détailles un petit peu. Moi qui bosse la dedans, j'aimerais bien que tu m'expliques une méthode qui permet de tromper un BON lecteur d'empreintes digitales. Et les trucs vu dans James Bond ne seront pas admis.

Ce qu'il voulait surement dire, ce n'est pas remplacer ton pouce par un faux!
Mais intercepter le hashing correspondant à ton empreinte digitale... Car une fois l'empreinte lue par le détecteur, ca n'est plus que du binaire tout ca!
Donc on revient aux techniques habituelles: keylogger (enfin fingerlogger plutot), sniffer de trames...

Jesper Johansson, manager du programme sécurité chez Microsoft à expliqué que l'industrie de la sécurité donnait de mauvais conseils et de mauvaises habitudes aux utilisateurs en leur demandant de ne pas écrire leurs mot de passe…

Heureusement que MS est là pour nous donner les bons conseils ...

Ms a vraiment que ça a faire de sa thunes...

Y payent combien pour une etude sur l'accouplement des coléoptéres en milieu urbain ?