Les appels répétés au renforcement de ses mots de passe émis ces dernières années n’ont pas suffi. On retrouve en effet les mêmes « hits » d’une année à l’autre.
C’est quoi « letmein » ?
la traduction de laisse moi entrer 
Let me in
Laisse moi rentrer
« Let me in » : « Laisse moi entrer » en Toubon.
Petite question: comment connaissent-ils les mots de passe? Ils les demandent aux gens qui leur donnent (j’en doute mais bon)? Ou alors tous les mots de passe sont stockés en clair sur les sites et les admin des sites peuvent les voir? Je doute aussi de cette réponse bien que cela doit arriver de temps en temps…
Ben non. On les connaît à travers les nombreuses fuites de bases de données de ces dernières années avec bien sur identifiants et mots de passe.
Voir le site « Have I been pwnd ».
1 « J'aime »
Mouais. Donc il y a eu encore beaucoup de fuite de données en 2019… Et les bases de données sont donc en clair? Ce serait bien de savoir le taux d’utilisation que représentent ces mots de passe parmi tous ceux qui ont fuité.
Du coup je suis tranquille avec mon « azerty » !?!
1 « J'aime »
J’imagine que certains sites ne font aucun effort pour protéger leurs utilisateurs et que c’est le cas. 
C’est pourtant ultra simple de chiffrer les mots de passe avec un algo de hashing (exemple avec « azerty ») :
- MD5 = 0xAB4F63F9AC65152575886860DDE480A1
- SHA1 = 0x9CF95DACD226DCF43DA376CDB6CBBA7035218921
- SHA2_256 = 0xF2D81A260DEA8A100DD517984E53C56A7523D96942A834B9CDC249BD4E8C7AA9
- …
Le résultat du hash est stocké en base. Au login, il suffit de rehash le mot de passe soumis (avec le même algo) et le comparer avec celui qui est stocké.
Avec ce principe un admin ne peut pas « voir » ton mot de passe, ni le déduire/reconstruire à partir de son hash (sauf MD5, SHA qui sont trop « triviaux »).
Mais soyez certain qu’un admin n’a pas besoin de connaitre ton mot de passe pour usurper ton identité. Au pire il peut même faire en sorte de capter ton mot de passe en clair derrière le SSL…
Ca c’est pour les mot de passe, mais il est aussi possible de :
- Crypter toute ou partie d’une base pour éviter les vols massifs.
et/ou - Crypter individuellement une à une les données avec des clés de cryptages différentes.
C’est par exemple ce qui se passe quand tu cryptes une chaine avec Slack (entre autres). Les messages de toutes les chaines sont stockées au même « endroit » (ensemble), pourtant elles ne sont pas cryptées avec la même clé (voir pas crypté du tout pour certaines).
Mais dans tous les cas, un admin peut tout faire en rajoutant du code afin de capter à la saisie les clés individuelles…
Par principe, un admin peut tout faire, même les choses qui lui sont normalement interdites mais c’est un autre débat.
2 « J'aime »
Merci pour tes explications. Il faudra que je me penche un peu sur le sujet un jour quand même…
Pour protéger un site ou pour le hacker?
1 « J'aime »
Les deux! En fait, un des types de job qui me passionnerait serait d’être payé pour tester les SI des entreprises, des sites web etc… pour essayer de trouver les failles. Intellectuellement ça doit être super stimulant d’essayer de trouver la ou les failles. De penser autrement, à un autre niveau etc…
1 « J'aime »
Clair !!
Mais un SI ne se limite pas aux sites Web (inter/intra/extra-net), aux services web en général ou aux bases de données…
C’est tellement vaste et imbriqué!!
Une fois que tu commences à avoir une expertise sur un aspect, tu te rends compte que ça ne vaut rien tant que d’autres ont des lacunes…
A quoi bon avoir un site blindé, crypté, sql injection proof, … si un hacker peut obtenir des droits dessus via un simple mail à la con (et un type assez débile pour l’ouvrir)?
A quoi bon mettre des GPO de fou, forcer un changement de mot de passe (de 500 caractères) ,non cycliques sur 500 ans, toute les 10mn, avec double authentification,… si un gamin de 14 ans pénètre le réseau de son téléphone en 12s?
A quoi bon avoir tout prévu… Et se faire trahir par un employé dévoué à sa nation d’origine?
La sécurité d’un SI doit être une approche globale… Du coup c’est chaud.
1 « J'aime »
Merci de l’info, je ne connaissais pas, je cherchais un sens en allemand ou néerlandais 
C’est qui doit rendre le truc passionnant. Surtout en mettant du social engineering dans l’équation… 
1 « J'aime »
MdP de 500 caractère, ce n’est plus un mot de passe, mais un paragraphe. 
Non cyclique sur 500 ans, c’est le minimum là. 
Et changement toutes les 10 minutes, autant te dire que la productivité va en prendre un coup !
2 « J'aime »
surtout que pour certains utilisateurs il faudra déjà plus de 10 minutes pour taper les 500 caractères
2 « J'aime »
mdr GRITI. Eh oui sans parler de ceux qui ont un bon mot de passe mais comme on les oblige a changer tous les 2 mois ils finissent par le noter sur un bout de papier… ou dans un fichier excel bien en clair sur le reseau… !!! Les empreintes, la retine c’est quand meme plus simple.
Certes, à ceci près que le MD5 n’est plus sûr maintenant.
Perso je fais un sha1(mot de passe), puis refais un sha1(salt + premier hash) et stocke ce dernier dans une table à part des utilisateurs. Avis aux amateurs…