Dans le cas où mon mot mot de passe ne sort jamais de mon cerveau (je ne l'écris nul par, je ne le donne à personne, et il n'a strictement rien à voir avec moi), est-ce qu'il est possible qu'un individu me pirate mon compte gmail) ?
J'ai envie de dire non puisque s'il arrive à pirater le miens, ça vaut dire qu'il a pirater Google et qu'il peut cracker les mots de passes de tous les autres...
Du coup, tout ce qui se font pirater leur compte gmail, ce n'est pas par des hackers, mais par des amis "cons" qui ont réussi à répondre à la question secrète ?
Si le hacker ne connaît ni le mot de passe, ni la question secrète, ni n'a accès à l'adresse mail de récupération / au téléphone associé au compte, alors il ne peut pas pirater un compte gmail. Ou il a trouvé une faille dans le système Google mais ça n'est pas demain la veille que ça va arriver.
Comment procèdent les hackers ? Il y a plusieurs techniques :
1- Le phishing. Ils envoient un mail à la personne "bonjour c'est google il y a un problème sur votre compte rendez vous sur cette page" (mais avec une belle mise en forme des beaux textes qui peuvent ressembler à ce qu'écrit Google). Sauf que la dite page de connexion est une fausse : au lieu de connecter au compte le mot de passe va droit chez eux.
2- Le virus type keylogger. Ils envoient un fichier à la personne, généralement un exécutable. La personne l'ouvre, le fichier se comporte normalement mais en plus exécute un virus en tâche de fond. Ce virus prend toutes les touches du clavier qui sont tapées et les envois sur le serveur des hackers. Alors quand la personne va taper son mot de passe ils vont le recevoir et pouvoir se connecter. Ce type de virus existe aussi pour téléphones.
3- Des attaques sophistiqués sur des réseaux wifi publics (moins évident à faire que les deux autres points). Dans un wifi public type aéroport les hacker s'intercalent dans le réseau entre toi et Google, et voient tout ce qui passe comme informations, donc cela peut inclure le mot de passe. Les technologies de sécurisation des connexions (SSL etc) rendent cette technique très compliquée mais elle n'est pas impossible.
Voilà il y a sans doute d'autres techniques mais ce sont les 3 plus courantes je pense
Si le hacker ne connaît ni le mot de passe, ni la question secrète, ni n'a accès à l'adresse mail de récupération / au téléphone associé au compte, alors il ne peut pas pirater un compte gmail. Ou il a trouvé une faille dans le système Google mais ça n'est pas demain la veille que ça va arriver.
En fait c'est pas complet, il y a une autre technique très classique :
Les humains peuvent être un peu fainéants et utilisent parfois (voire souvent) des mots de passe simples.
Par exemple, 123456 est un grand classique, il suffit d'essayer ce mot de passe sur plein de comptes utilisateurs différents, et il y a de grandes chances que certains aient utilisé ce mot de passe.
C'est pour ça que certains sites imposent un minimum de complexité pour le mot de passe, ou limitent le nombre de tentatives et présentent des captchas, c'est pour éviter qu'on puisse essayer une liste des mots de passe simples pour chaque utilisateur.
- Edité par LoupSolitaire 10 septembre 2017 à 16:34:40
Oui, ou alors je crois qu'il y a des sites qui mettent en place un temps de latence au moment où il reçoit le formulaire de connexion et où il traite le formulaire de connexion... (par exemple 3s)
Ceci permet d'éviter à des robots de tester en boucle (en un rien de temps) plein de mot de passe.
Comme ca, chaque connexion dure 3s de plus. Et sur 100 mot de passe, ça fait dejà 5min.
Oui, ou alors je crois qu'il y a des sites qui mettent en place un temps de latence au moment où il reçoit le formulaire de connexion et où il traite le formulaire de connexion... (par exemple 3s)
Ceci permet d'éviter à des robots de tester en boucle (en un rien de temps) plein de mot de passe.
Comme ca, chaque connexion dure 3s de plus. Et sur 100 mot de passe, ça fait dejà 5min.
C'est des sites de merde, et c'est très facilement contournable, donc bon ... :x
Je ne suis plus modérateur, ne me contactez plus pour des demandes, je n'y répondrai pas.
Si je ne me trompe pas, c'est justement l'intérêt d'algos comme bcrypt qui permettent de ralentir la vérification du mot de passe, pour contrer ce genre d'attaques.
Juste un détail pour l'OP : Si tu utilises ton mot de passe sur plusieurs sites, là ça pourrait être dangereux. Il suffit que l'un des sites soit lui-même piraté (ou mal intentionné) pour que tes comptes sur les autres sites soient vulnérables (ça m'est arrivé...).
Juste un détail pour l'OP : Si tu utilises ton mot de passe sur plusieurs sites, là ça pourrait être dangereux. Il suffit que l'un des sites soit lui-même piraté (ou mal intentionné) pour que tes comptes sur les autres sites soient vulnérables (ça m'est arrivé...).
Je ne vois pas le rapport d'utiliser le même mot de passe avec le ralentissement du traitement du formulaire de connexion...
Sakuto a écrit: > C'est des sites de merde, et c'est très facilement contournable, donc bon ... :x
Très facilement contournable ? Si c'est le serveur qui met du temps à répondre, je ne vois pas ce que tu peux y faire.
En gros il existe plusieurs méthode de contournement, faire plusieurs connexion simultané soit d'un même appareil, soit utiliser des fermes PC (Zombie ou non), voir utiliser des méthodes proxy, pour contourner les temps d'attente liée à l'ip (la façon va dépendre fortement de la façon dont est implémenté la sécurité.
Sinon en ce moment l'une des méthodes les plus utilisé porte le doux nom de "social engineering", en gros tu te base sur les données public pour trouver le mots de passe ou la réponse à la question secrète, ce qui fonctionne sur beaucoup de personne.
florent m a écrit:
> En gros il existe plusieurs méthode de contournement, faire plusieurs connexion simultané soit d'un même appareil, soit utiliser des fermes PC (Zombie ou non), voir utiliser des méthodes proxy, pour contourner les temps d'attente liée à l'ip (la façon va dépendre fortement de la façon dont est implémenté la sécurité.
Je trouve qu'on s'éloigne du « très facilement ».
Puis si les cœurs des serveurs du site sont occupés à hasher des mots de passe, à part provoquer un DDOS, je ne vois pas l'intérêt.
Ça ne répond pas à la question de savoir en quoi ça fait de ces sites des sites de merde, et pourquoi ce serait mal qu'une fonction de hashage de mots de passe prenne un certain temps à s'exécuter.
Tu ne provoque pas forcément un DDOS, cela dépend du nombre de connexion utiliser.
Ensuite c'est assez "facile" à utiliser car il existe des systèmes de location sur le Dark net, certe il faut avoir un minimum de connaissance.
Ensuite dire que c'est un "site de merde" est un peu exagéré, il s'agit juste d'un système de sécurité "peu fiable"(à prendre avec des pincettes) et qui peu potentiellement ramener plus de problème que cela n'en résous en générale (problème de performance en augmentation de charge).
Après je répondait juste à ton point sur la fiabilité et pas au: "site de merde".
Oui enfin utiliser un réseau de machines zombies pour tester une multitude de mot de passe est aussi possible pour un site qui répondrait instantanément.
Je ne comprends pas comment vous pouvez concevoir que la lenteur d'un algorithme de hashage n'est pas une sécurité supplémentaire dans le cas des mots de passe.
Le but n'est pas juste que le site mette plus de temps à répondre sur les demandes d'authentification. Mais que si une faille est exploitée et que les données en base se retrouvent étalées un peu partout, il demeure toujours difficile pour les pirates de calculer les mots de passe initiaux à partir de dictionnaires.
Pour un site qui répond directement, ce n'est pas forcément nécessaire.
Un temps de traitement de hashage n'est pas un gage de qualité, si ton serveur tourne sur un CPU tout moisie ou bien l’algorithme qui n'est pas optimale.
Pour contrer l'utilisation d'un dictionnaire, en générale rajouter un salt suffit (en générale) ou bien même plusieurs boucle hashage.
Il est très rare que les pirates s'embête à "dé-hasher" (Pas sur que sa soit français) les mot de passe, car cela est très compliqué, même si tu utilise du md5 basique avec juste un salt sans avoir les sources de l'algorithme de hashage et même avec cela prend pas mal de temps.
- Edité par florent m 12 septembre 2017 à 11:29:46
florent m a écrit:
> Un temps de traitement de hashage n'est pas un gage de qualité, si ton serveur tourne sur un CPU tout moisie ou bien l’algorithme qui n'est pas optimale.
Depuis le début j'ai parlé de la fonction de hashage en elle-même, sans considérations sur le CPU de la machine.
Donc bien entendu un algorithme fiable et adapté.
C'est le cas par exemple de bcrypt, qui en plus de saler les mots de passe, peut être configuré pour exécuter un plus grand nombre d'itérations, et ainsi rendre le traitement plus long.
J'y vois un problème de limitation matérielle quand même, une nombre d'itération ne sera longue que pour une période (au vus de l'évolution de puissance du matérielle), ce n'est pas vraiment une solution pérenne dans le temps (je sait pas si je suis très clair).
Du coup je ne sait pas si le temps de traitement est une variable de fiabilité.
Ben de toute manière tu es obligé de faire confiance aux solutions actuelles, aucune n'est pérenne dans le temps. Quand c'est sorti, MD5 c'était tip top cool. Maintenant c'est tellement facile à calculer que la rainbow table n'est plus nécessaire, c'est plus simple de bruteforcer.
Edit : à titre d'exemple de phishing, le mail de phishing qui a servi à pirater les mails du parti démocrate américain pendant les élections (affaire Podesta) est trouvable sur Wikileaks. C'est un faux mail de GMail qui t'invite à changer de mot de passe parce que quelqu'un l'a volé (GMail envoie effectivement ce genre de mails, je crois). Tu suis le lien, tu arrives sur une fausse page Google qui t'invite à rentrer ton mot de passe actuel... Et pouf, tu t'es fait hacker.
Sinon un autre possibilité pour la version social engineering: Bien souvent, on utilise le même mot de passe pour plusieurs sites, ou juste ajouter des chiffres à la fin.
Si le pirate te suis sur facebook par exemple, il peux réussir à trouver un site sur lequel tu t'es inscrit et pirater ton compte sur ce dernier. Si il s'agit d'un jeu navigateur ou site de permis de conduire ou tout autre site codé par un débutant / non sécurisé, tu n'es pas à l'abris d'un bruteforce (ou pire, même password) sur ton gmail / facebook / insta ...
Voilà pourquoi il faut bien changer ses mots de passes sur les différents sites !
Mon projet: SpotRoom. N'hésites pas à passer dire ce que tu en penses !
Du coup, la meilleur façon de sécuriser son compte google, c'est de ne pas rentrer de numéro de téléphone, ne pas rentrer de question secrete, ne pas rentrer d'email de récupération, etc.
Parce que à chaque fois Google m'incite à rentrer ses informations pour sécuriser mon compte... Mais c'est faux, non ?
Ces informations sont utiles car si quelqu'un pirate ton compte tu pourras le récupérer à partir de ton adresse mail de récupération ou ton numéro de téléphone. C'est sécurisé si l'adresse mail de récupération est bien protégée. Par exemple si elle ne sert qu'à ça, et protégée avec un mot de passe dit "difficile". Pour le téléphone il faut qu'il soit protégé avec un code par exemple, et ne pas installer n'importe quoi dessus.
Pour la question secrète c'est en effet plus sujet à débat.
Personnellement, j'aime bien retenir une phrase d'un poème. Par exemple, "Danslevieuxparcsolitaireetglace,Deuxformesonttoutal'heurepasse". (Colloque Sentimental, Verlaine)
Raisons à utiliser cette méthode :
Facile à retenir
Facile à taper vu que c'est une suite de mots français
c'est un moyen comme un autre de se cultiver
Majuscules et ponctuations présentes, et faciles à retenir (on évite les accents qui ne sont pas présents sur tous les claviers)
Mot de passe (très) long, et donc résistant à un bruteforce
Bien sûr, si tu crains qu'un attaquant tente toutes les phrases de la littérature classique, tu peux toujours inventer tes propres phrases !
Je suis d'accord pour la question secrète : ne pas en mettre. Elle te sert juste pour si tu as des troues de mémoire. Mais si tu oublies ton mot de passe, tu as aussi des chances d'oublier la réponse à la question
Quand j'étais gosse, j'avais piqué le compte Facebook d'un "ami". Je clique sur mot de passe oublié, et je vois en question secrète : "Quel est mon animal préféré". Je rentre "Tortue", et il me propose de réinitialiser le mot de passe Facebook.
J'avais fais la même sur un compte Google d'une amie avec le nom de son chat...
Bon après, c'était en 2012, peut-être que maintenant on te demande un peu plus d'infos, mais la vulnérabilité sur le compte d'une personne que tu connait bien est toujours présente.
C’est vrai de la part d’attaquants sophistiqués mais là on parle de quelqu’un qui a piraté un compte sans importance et en dehors d’une attaque de masse (Pour ce qui est des inquiétudes de l’OP). On relève quand même dans ce cas du script kiddie.
Avatar by MaxRoyo. Venez parler du sdz
Blond, bouclé, toujours le sourire aux lèvres...
Je ne suis plus modérateur, ne me contactez plus pour des demandes, je n'y répondrai pas.
entwanne — @entwanne — Un zeste de Python — La POO en Python — Notions de Python avancées — Les secrets d'un code pythonique
entwanne — @entwanne — Un zeste de Python — La POO en Python — Notions de Python avancées — Les secrets d'un code pythonique
entwanne — @entwanne — Un zeste de Python — La POO en Python — Notions de Python avancées — Les secrets d'un code pythonique
entwanne — @entwanne — Un zeste de Python — La POO en Python — Notions de Python avancées — Les secrets d'un code pythonique
Mon projet: SpotRoom. N'hésites pas à passer dire ce que tu en penses !
Avatar by MaxRoyo. Venez parler du sdz
Posez vos questions ou discutez informatique, sur le Discord NaN | Tuto : Preuve de programmes C
Avatar by MaxRoyo. Venez parler du sdz