"Have I Been Pwned" : Vérifier localement vos mots de passe

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 6295
Inscription : 02 juin 2012 20:48

"Have I Been Pwned" : Vérifier localement vos mots de passe

Message par Parisien_entraide »

INTRODUCTION


Le but de la manoeuvre est d'utiliser la base de données du site https://haveibeenpwned.com/Passwords localement, donc sans diffuser vos données sur internet car il est évident que l'on soit réticent à indiquer sur un site, donc avec des données sensibles qui vont transiter sur le réseau et analysées "quelque part" notre login, mot de passe, même si du fait du fonctionnement (voir la doc un peu plus bas), cela semble "sécurisé"



Je pense mais ce n'est que mon avis, qu'il vaut mieux faire la vérification en local (mais c'est lié à mon rejet d'usage de clouds divers situés hors de France, appartenant souvent à des organismes liés ou ayant un droit de regard etc :-)
Par ex, si on prend le site Web HIBP il utilise le "trafic snooper" de Cloudflare. En théorie Cloudflare verra tous les mots de passe que vous vérifiez
En théorie.. parce que pour le fonctionnement : Voir la documentation à la fin du tuto



Pour rappel :

Haveibeenpwned : vérifier si vos mots de passe ont été piratés
have i been pwned sur le forum


Cette possibilité de vérification en local de vos mots de passe exige que vous utilisiez KeePass pour gérer tous les mots de passe
Logo Keepass.png
Logo Keepass.png (13.95 Kio) Consulté 3029 fois
_______________________________

Mais il y a une Astuce ! : Si vous n'utilisez pas KeePass pour la gestion des mots de passe, mais que vous avez vos mots de passe enregistrés sous un format particulier vous pouvez les importer directement dans keePass

Keepass accepte les formats d'importation : CSV files (all), KeePass 1.x (KDB, XML and CSV), KeePass 2.x XML, 1Password Pro, 1PW, Alle meine Passworte, Any Password, CodeWallet, Dashlane, DataVault, DesktopKnox, Enpass, FlexWallet, Google Chrome, Handy Safe, Handy Safe Pro, Kaspersky Password Manager, KeePassX, LastPass, Mozilla Bookmarks, mSecure, Network Password Manager, Norton Identity Safe, nPassword, PassKeeper, Passphrase Keeper, Password Agent, Password Depot, Password Exporter, Password Keeper, Password Memory, Password Prompter, Password Safe, Password Saver, Passwords Plus, Passwort.Tresor, Personal Vault, PINs, Revelation, RoboForm, SafeWallet, Security TXT, SplashID, Steganos Password Manager 2007, Sticky Password, TurboPasswords, VisKeeper, Whisper 32, ZDNet's Password Pro, and Spamex.com.
6_Importer CSV.png

Pour Firefox, malheureusement depuis la version 57 du navigateur, le format a changé et l'importation directe ne fonctionne pas
Il vous faut pour cela convertir le fichier .json au format .CSV
A la fin de ce descriptif je donne la procédure en images. Celle ci est à l 'identique pour l'ensemble des importations au format .CSV (et dans la forme peut etre aussi pour d'autres formats)

!
IMPORTANT !
Si vous faites une importation, suivant le format, il se peut qu'une fois la base chargée rien ne s'affiche dans la colonne "Have I been pwned"
Il vous faudra alors faire un clic droit sur chaque ligne, et choisir "Modifier/entrée" puis cliquer comme indiqué sur l'image ci dessous
Faire apparaitre le mot de passe.png
___________________________________________________________________

LES PRE-REQUIS


Ce qu'il vous faut avoir pour effectuer la manipulation :
Attention ! Il est préférable de la récupérer au format torrent plutôt qu'en téléchargement direct, car la base fait...11 Go à ce jour, soit une fois décompactée.
Elle est au format .7z, donc compactée avec https://www.7-zip.org/]7-zip mais décompactable avec WinRar et autres) presque 23 Go.
Au besoin : 7-Zip : comment compresser ses fichiers (zip, rar, etc)

Ne vous trompez pas de fichier ! Il faut prendre la version "Ordered by hash".
Après il faudra s'armer de patience pour le téléchargement, puis ensuite la décompression suivant la puissance de votre processeur, et la copie sur le HD ou SSD.
Le fichier pourra être inséré pour des raisons pratiques dans le dossier d'installation de KeePass.

Pour rappel, il existe un tutoriel sur le site :

KeePass : utiliser le gestionnaire de mot de passe gratuit
1)  Telecharge HASHG.png
En complément, si vous ne l'avez pas encore : https://sourceforge.net/projects/keepas ... t/download c'est complètement inutile pour l'usage décrit ici, et purement esthétique
Il s'agit de Favicon. Un favicon est la petite icône / logo utilisé pour identifier de nombreux sites Web
Cela va permettre d'ajoute des favicons de sites Web à la liste de mots de passe KeePass, du moins aux connexions ayant une URL répertoriée dans la base de données. Cela permet améliorer l'identification, donc de reconnaitre un site au premier coup d'oeil


Si vous souhaitez d'autres plug in pour KeePass https://keepass.info/plugins.html

!
ATTENTION ! Les créateurs de ces plug in sont des gens extérieurs au projet. Pas de malware mais de possible bugs pouvant occasionner des failles de de sécurité
A vous de vous renseigner avant utilisation

Les plug ins sont à mettre ici :

Code : Tout sélectionner

C:\Program Files (x86)\KeePass Password Safe 2\Plugins
_____________________________________________________________________

INSTALLATION DE KEEPASS

Vu que ce programme ne pose pas de problèmes à l'installation, je passe outre (c'est un programme open source, et il n'y a pas de risque à l'installation d'attraper des adwares et/ou adwares déguisés en malware

Par contre je déplore le fait qu'il laisse dans le démarrage une ligne "KeePass Pre load"
Cela est inutile pour l'usage décrit dans ce tuto, et on peut désactiver cette fonction via MSCONFIG https://www.malekal.com/msconfig-lutilitaire-windows-2/ ou avec un logiciel comme AUTORUNS https://www.malekal.com/autoruns/

Ceux qui seront intéressés par la suite de l'usage de KeePass peuvent lire ce tuto en FR https://craym.eu/tutoriels/utilitaires/keepass.html


CHANGEMENT DE LA LANGUE

On utilise la langue FR, donc on va passer le programme en ...FR (si si !)

Soit vous allez directement ici https://keepass.info/translations.html et vous téléchargez le fichier de langue qui vous intéresse dans la colonne de droite (version 2.41)
Soit une fois Keepass installé, vous utilisez le menu pour changez la langue d'utilisation
CHangez langue.png
Ce n'est pas automatique. Cela va vous amener sur la page : https://keepass.info/translations.html (ce qui revient au même que la manipulation précédente)

Une fois téléchargé le ficher, il faut le décompresser et le placer dans le dossier

Code : Tout sélectionner

C:\Program Files (x86)\KeePass Password Safe 2\Languages
Ensuite il suffit de retourner dans le menu et choisir la langue FR. Le programme vous demandera de redémarrer

Le plug in n'est pris en compte qu'au démarrage ou redémarrage du programme

__________________________________

INSTALLATION DE HIPB OFFLINE CHECK

Tous les plug in (Rappel) comme "HIPB Offline Check", se placent dans

Code : Tout sélectionner

C:\Program Files (x86)\KeePass Password Safe 2\Plugins
Lancez ensuite le gestionnaire de mots de passe KeePass et sélectionnez

Outils --------> Vérification HIBP Offline dans l'interface du programme.
Cliquez sur "Parcourir" et sélectionnez le fichier de base de données de mots de passe que vous avez extrait sur le système.
Menu d ouverture.png

Vous pouvez modifier d'autres paramètres, par exemple le nom de la colonne dans KeePass ou le texte affiché pour les mots de passe sécurisés et non sécurisés.

Enfin et surtout, sélectionnez Affichage> Configurer les colonnes, puis activez la colonne "Have I Been Pwned" pour afficher les résultats de la vérification dans l'interface.
2_ Configurez affichagepng.png
3_ Selctionner la base.png

Ensuite cela devrait ressembler à cela :
4_Fonctionnement.png

Pour rappel : Un succès ne signifie pas nécessairement que le mot de passe est connu d'un tiers (le méchant pirate) , car il dépend de la force du mot de passe et des capacités de ce tiers pour le déchiffrer

5_Fonctionnement.png
5_Fonctionnement.png (7.29 Kio) Consulté 3029 fois

______________________________________

DOCUMENTATION :


https://blog.cloudflare.com/validating- ... anonymity/

sinon

https://blog.cloudflare.com/using-cloud ... passwords/


https://blog.discordapp.com/safety-jim- ... .s3ex2h7pg


et sur la vie privée :

https://haveibeenpwned.com/Privacy


et lire les réponses aux questions posées de Troy HUNT (qui est derrière le site "Have I been Pwned"):

https://mobile.twitter.com/vinzBad/stat ... 345216?p=v



Le mot de la fin de Troy HUNT

"Même si je ne veux pas encourager les gens à mettre leur mot de passe réel sur des sites tiers aléatoires, je peux garantir qu'un nombre considérable de personnes obtiennent un résultat positif, puis modifient leur hygiène de sécurité. L’un des aspects les plus importants de l’exécution du projet HIBP, c’est son impact sur le changement de comportement des utilisateurs. En voyant votre adresse e-mail ou votre mot de passe, pwned est en mesure de faire reconsidérer certaines de leurs décisions en matière de sécurité. ”

______________________

AVEC FIREFOX

Pour rappel il n'est pas conseillé de stocker les login et mot de passe dans le navigateur
https://www.malekal.com/mots-de-passe-s ... teurs-web/

_____________________________________________

La méthode décrite fonctionne également avec les importations .CSV d'autres programmes

Si vous avez l'habitude de stocker vos login et mots de passe dans Firefox, malheureusement, comme indiqué, depuis la version 57 du navigateur, le format des fichiers a changé

Dans Keepass la fonction est pourtant bien présente, mais cela ne fonctionne pas
6_Importer CSV.png

Il vous faut aller chercher le programme "Password Fox"


https://www.nirsoft.net/utils/passwordfox.html

Comme d'habitude avec les outils Nirsoft (tout comme ceux de Sysinternals) votre anti virus peut crier et s'agiter.
Il s'agit évidemment d'un faux positif


Une fois lancé, le programme va chercher et charger la base active par défaut. Si il ne le fait pas il va falloir lui indiquer le chemin

Normalement cela ressemble à cela :

Code : Tout sélectionner

C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\ 
et là vous lui indiquez le profil

Une fois la base chargée, vous allez dans le menu ---> Selectionner tout (Edit --> Select all) et ensuite dans le menu "Fichier" (File) vous choisissez "Save selected items" (sauvez les éléments choisis)


Là vous selectionnez "Keepass .csv file" et vous donnez un nom à votre base


Dans keePass, il suffira de passer par le menu Fichier---> Importer ----> De choisir le format "Importateur CSV generique", puis d'aller chercher et d ouvrirle fichier que vous avez converti avec "Password Fox"
7_IFirefox mporter CSV_2.png

Lors de l'importation il est demandé 2 ou 3 choses. Vous passez outre et vous cliquez sur OK

Le fichier apparaitra par défaut dans "General" dans le menu de KeePass"
Vous pouvez sélectionner toutes les entrées et le placer dans le dossier "Internet" par ex, mais il n'y a pas d'obligation
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

Malekal_morte
Site Admin
Site Admin
Messages : 104582
Inscription : 10 sept. 2005 13:57
Contact :

Re: "Have I Been Pwned" : Vérifier localement vos mots de passe

Message par Malekal_morte »

Merci pour le tuto par contre, ça nécessite de la re-télécharger régulièrement pour être à jour.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 6295
Inscription : 02 juin 2012 20:48

Re: "Have I Been Pwned" : Vérifier localement vos mots de passe

Message par Parisien_entraide »

Effectivement, c'est le point négatif.

A chaque mise à jour de la base sur le site , il faut re télécharger le fichier de plusieurs GO, mais si je me souviens bien la dernière datait de décembre, donc 1 fois par mois cela reste raisonnable pour le téléchargement

Le truc, comme le dit Troy HUNT, c'est que le fait de découvrir que l'on figure sur la liste, incite à de nouveaux comportements, donc si on agit ensuite, l'impact et conséquences de se trouver dans une nouvelle base est TRES faible puisque les mots de passe sont censés avoir été changés par autre chose que le nom du chien ou du petit dernier :-)

Actuellement il y a 3 millions de FR dans la base. Mais il faut se rappeler que si la base globale actuellement est disponible, c'est parce que derrière il y a une vengeance de pirates entre eux
Les "petites" bases ont été volées à celui qui a fait le boulot (2 000 bases de données piratées entre 2016 et 2018 réparties en 7 collections) et se sont retrouvées à la vente pour $45. Le premier pirate (celui qui a fait le boulot) à donc diffusé 5 collections pour couper court à la vente

Il reste donc 2 autres collections non diffusées, dans le black market dont on ne sait si c'est si un complément ni de quand elles datent, ni à quoi elles font référence (les bases peuvent ne pas concerner les FR)
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 6295
Inscription : 02 juin 2012 20:48

Re: "Have I Been Pwned" : Vérifier localement vos mots de passe

Message par Parisien_entraide »

Pour suivre l'actualité des bases intégrées et compromises

https://twitter.com/haveibeenpwned
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

Malekal_morte
Site Admin
Site Admin
Messages : 104582
Inscription : 10 sept. 2005 13:57
Contact :

Re: "Have I Been Pwned" : Vérifier localement vos mots de passe

Message par Malekal_morte »

AdultFiender powned, ça sent encore les campagnes de scam et de chantage pour pas se faire dénoncer à sa femme :p
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 6295
Inscription : 02 juin 2012 20:48

Re: "Have I Been Pwned" : Vérifier localement vos mots de passe

Message par Parisien_entraide »

C'est en vogue tout ce qui touche au porno, sites de rencontres, etc :-) Faut dire que les bases sont bien remplies.. Là pour AdultFiender c'est 412 millions de comptes

viewtopic.php?f=11&t=62280&start=15

(faudrait que je réactualise, même si je ne met que les bases où des FR pourraient être touchés)
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 6295
Inscription : 02 juin 2012 20:48

Re: "Have I Been Pwned" : Vérifier localement vos mots de passe

Message par Parisien_entraide »

Pour rappel derrière le site Have I been Pwned il y a Troy Hunt un chercheur en sécurité


2020-03-04_130301.jpg

L'année dernière il avait émis le souhait de vendre le site, car étant tout seul pour en assurer la maintenance celui lui prenait trop de temps

Depuis hier (3 mars) il s'explique sur sa nouvelle décision :

""Have I Been Pwned n'est plus à vendre et je continuerai de le faire fonctionner de manière indépendante."

Sur ce lien, il explique qu’une négociation était en cours avec un acheteur, mais qu’elle n’a pas pu aboutir à cause de multiples raisons.
Il a été quand même été contacté par 141 entreprises (en fait il y en a eu beaucoup plus qu'il a rejeté) 43 étaient retenues, puis une seule sélectionnée en septembre dernier. Il explique avoir signé des documents l’empêchant de révéler l’identité de la société concernée, au même titre que le prix ou les conditions précises.

En gros on peut comprendre qu'il ne voulait pas de '"menottes dorées". Il est conscient qu'il aurait du déléguer et va se réorganiser en conséquence

https://www.troyhunt.com/project-svalba ... ependence/

Il explique également qu'il aurait du mettre en place (c'est fait maintenant) https://haveibeenpwned.com/Donate ce afin d'éviter de dépendre de stés tierces, car maintenir le site et les bases cela a un coût (pour le paiement paypal qui n'est pas visible en premier lieu il suffit de cliquer sur le "donate" qui figure en dessous des différentes sommes)
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

Malekal_morte
Site Admin
Site Admin
Messages : 104582
Inscription : 10 sept. 2005 13:57
Contact :

Re: "Have I Been Pwned" : Vérifier localement vos mots de passe

Message par Malekal_morte »

Il devait y a voir Mozilla dans la liste, vu qu'ils utilisent son suivi.
Ca aurait pu le verrouiller pour Firefox.
Dommage, qu'il n'ait pas réussi à se mettre d'accord.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 6295
Inscription : 02 juin 2012 20:48

Re: "Have I Been Pwned" : Vérifier localement vos mots de passe

Message par Parisien_entraide »

Il est difficile d'y voir clair en fait, parce que si on regarde cela parle d'usage, ensuite je doute que Mozille puisse avoir les ressources derrière en tant qu'acheteur et suivi

https://www.developpez.com/actu/212185/ ... mpromises/

Toujours est il que c'est fonctionnel https://monitor.firefox.com/

et actif https://github.com/mozilla/blurts-server
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 6295
Inscription : 02 juin 2012 20:48

Re: "Have I Been Pwned" : Vérifier localement vos mots de passe

Message par Parisien_entraide »

Nouvelle base dispo :en date du 19/11/2020 (prendre la base "ordered by hash"

https://haveibeenpwned.com/Passwords

Si téléchargement, le torrent est impératif

Le fichier.txt en décompressé fait plus de 25 Go
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

Répondre

Revenir à « Securite informatique »