"Have I Been Pwned" : Vérifier localement vos mots de passe

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 2857
Inscription : 02 juin 2012 20:48

"Have I Been Pwned" : Vérifier localement vos mots de passe

Message par Parisien_entraide » 27 janv. 2019 11:11

INTRODUCTION


Le but de la manoeuvre est d'utiliser la base de données du site https://haveibeenpwned.com/Passwords localement, donc sans diffuser vos données sur internet car il est évident que l'on soit réticent à indiquer sur un site, donc avec des données sensibles qui vont transiter sur le réseau et analysées "quelque part" notre login, mot de passe, même si du fait du fonctionnement (voir la doc un peu plus bas), cela semble "sécurisé"



Je pense mais ce n'est que mon avis, qu'il vaut mieux faire la vérification en local (mais c'est lié à mon rejet d'usage de clouds divers situés hors de France, appartenant souvent à des organismes liés ou ayant un droit de regard etc :-)
Par ex, si on prend le site Web HIBP il utilise le "trafic snooper" de Cloudflare. En théorie Cloudflare verra tous les mots de passe que vous vérifiez
En théorie.. parce que pour le fonctionnement : Voir la documentation à la fin du tuto



Pour rappel :

https://www.malekal.com/haveibeenpwned- ... -de-passe/
viewtopic.php?f=37&t=54361


Cette possibilité de vérification en local de vos mots de passe exige que vous utilisiez KeePass pour gérer tous les mots de passe
Logo Keepass.png
Logo Keepass.png (13.95 Kio) Consulté 1429 fois
_______________________________

Mais il y a une Astuce ! : Si vous n'utilisez pas KeePass pour la gestion des mots de passe, mais que vous avez vos mots de passe enregistrés sous un format particulier vous pouvez les importer directement dans keePass

Keepass accepte les formats d'importation : CSV files (all), KeePass 1.x (KDB, XML and CSV), KeePass 2.x XML, 1Password Pro, 1PW, Alle meine Passworte, Any Password, CodeWallet, Dashlane, DataVault, DesktopKnox, Enpass, FlexWallet, Google Chrome, Handy Safe, Handy Safe Pro, Kaspersky Password Manager, KeePassX, LastPass, Mozilla Bookmarks, mSecure, Network Password Manager, Norton Identity Safe, nPassword, PassKeeper, Passphrase Keeper, Password Agent, Password Depot, Password Exporter, Password Keeper, Password Memory, Password Prompter, Password Safe, Password Saver, Passwords Plus, Passwort.Tresor, Personal Vault, PINs, Revelation, RoboForm, SafeWallet, Security TXT, SplashID, Steganos Password Manager 2007, Sticky Password, TurboPasswords, VisKeeper, Whisper 32, ZDNet's Password Pro, and Spamex.com.
6_Importer CSV.png

Pour Firefox, malheureusement depuis la version 57 du navigateur, le format a changé et l'importation directe ne fonctionne pas
Il vous faut pour cela convertir le fichier .json au format .CSV
A la fin de ce descriptif je donne la procédure en images. Celle ci est à l 'identique pour l'ensemble des importations au format .CSV (et dans la forme peut etre aussi pour d'autres formats)

!
IMPORTANT !
Si vous faites une importation, suivant le format, il se peut qu'une fois la base chargée rien ne s'affiche dans la colonne "Have I been pwned"
Il vous faudra alors faire un clic droit sur chaque ligne, et choisir "Modifier/entrée" puis cliquer comme indiqué sur l'image ci dessous
Faire apparaitre le mot de passe.png
___________________________________________________________________

LES PRE-REQUIS


Ce qu'il vous faut avoir pour effectuer la manipulation :


- Le logiciel KeePass : https://keepass.info/ (KeePass est à la base un gestionnaire de mots de passe)
- Un plug in pour Keepass : "HIPB Offline Check" https://github.com/mihaifm/HIBPOfflineC ... Check.plgx
- La base de données de "Have I Been Pwned" https://haveibeenpwned.com/Passwords
Attention ! Il est préférable de la récupérer au format torrent plutôt qu'en téléchargement direct, car la base fait...11 Go à ce jour, soit une fois décompactée (elle est au format .7z, donc compactée avec https://www.7-zip.org/ mais décompactable avec WinRar et autres) presque 23 Go
Ne vous trompez pas de fichier ! Il faut prendre la version "Ordered by hash"
Après il faudra s'armer de patience pour le téléchargement, puis ensuite la décompression suivant la puissance de votre processeur, et la copie sur le HD ou SSD
Le fichier pourra être inséré pour des raisons pratiques dans le dossier d'installation de KeePass
1)  Telecharge HASHG.png
En complément, si vous ne l'avez pas encore : https://sourceforge.net/projects/keepas ... t/download c'est complètement inutile pour l'usage décrit ici, et purement esthétique
Il s'agit de Favicon. Un favicon est la petite icône / logo utilisé pour identifier de nombreux sites Web
Cela va permettre d'ajoute des favicons de sites Web à la liste de mots de passe KeePass, du moins aux connexions ayant une URL répertoriée dans la base de données. Cela permet améliorer l'identification, donc de reconnaitre un site au premier coup d'oeil


Si vous souhaitez d'autres plug in pour KeePass https://keepass.info/plugins.html

!
ATTENTION ! Les créateurs de ces plug in sont des gens extérieurs au projet. Pas de malware mais de possible bugs pouvant occasionner des failles de de sécurité
A vous de vous renseigner avant utilisation

Les plug ins sont à mettre ici :

Code : Tout sélectionner

C:\Program Files (x86)\KeePass Password Safe 2\Plugins
_____________________________________________________________________

INSTALLATION DE KEEPASS

Vu que ce programme ne pose pas de problèmes à l'installation, je passe outre (c'est un programme open source, et il n'y a pas de risque à l'installation d'attraper des adwares et/ou adwares déguisés en malware

Par contre je déplore le fait qu'il laisse dans le démarrage une ligne "KeePass Pre load"
Cela est inutile pour l'usage décrit dans ce tuto, et on peut désactiver cette fonction via MSCONFIG https://www.malekal.com/msconfig-lutilitaire-windows-2/ ou avec un logiciel comme AUTORUNS https://www.malekal.com/autoruns/

Ceux qui seront intéressés par la suite de l'usage de KeePass peuvent lire ce tuto en FR https://craym.eu/tutoriels/utilitaires/keepass.html


CHANGEMENT DE LA LANGUE

On utilise la langue FR, donc on va passer le programme en ...FR (si si !)

Soit vous allez directement ici https://keepass.info/translations.html et vous téléchargez le fichier de langue qui vous intéresse dans la colonne de droite (version 2.41)
Soit une fois Keepass installé, vous utilisez le menu pour changez la langue d'utilisation
CHangez langue.png
Ce n'est pas automatique. Cela va vous amener sur la page : https://keepass.info/translations.html (ce qui revient au même que la manipulation précédente)

Une fois téléchargé le ficher, il faut le décompresser et le placer dans le dossier

Code : Tout sélectionner

C:\Program Files (x86)\KeePass Password Safe 2\Languages
Ensuite il suffit de retourner dans le menu et choisir la langue FR. Le programme vous demandera de redémarrer

Le plug in n'est pris en compte qu'au démarrage ou redémarrage du programme

__________________________________

INSTALLATION DE HIPB OFFLINE CHECK

Tous les plug in (Rappel) comme "HIPB Offline Check", se placent dans

Code : Tout sélectionner

C:\Program Files (x86)\KeePass Password Safe 2\Plugins
Lancez ensuite le gestionnaire de mots de passe KeePass et sélectionnez

Outils --------> Vérification HIBP Offline dans l'interface du programme.
Cliquez sur "Parcourir" et sélectionnez le fichier de base de données de mots de passe que vous avez extrait sur le système.
Menu d ouverture.png

Vous pouvez modifier d'autres paramètres, par exemple le nom de la colonne dans KeePass ou le texte affiché pour les mots de passe sécurisés et non sécurisés.

Enfin et surtout, sélectionnez Affichage> Configurer les colonnes, puis activez la colonne "Have I Been Pwned" pour afficher les résultats de la vérification dans l'interface.
2_ Configurez affichagepng.png
3_ Selctionner la base.png

Ensuite cela devrait ressembler à cela :
4_Fonctionnement.png

Pour rappel : Un succès ne signifie pas nécessairement que le mot de passe est connu d'un tiers (le méchant pirate) , car il dépend de la force du mot de passe et des capacités de ce tiers pour le déchiffrer

5_Fonctionnement.png
5_Fonctionnement.png (7.29 Kio) Consulté 1429 fois

______________________________________

DOCUMENTATION :


https://blog.cloudflare.com/validating- ... anonymity/

sinon

https://blog.cloudflare.com/using-cloud ... passwords/


https://blog.discordapp.com/safety-jim- ... .s3ex2h7pg


et sur la vie privée :

https://haveibeenpwned.com/Privacy


et lire les réponses aux questions posées de Troy HUNT (qui est derrière le site "Have I been Pwned"):

https://mobile.twitter.com/vinzBad/stat ... 345216?p=v



Le mot de la fin de Troy HUNT

"Même si je ne veux pas encourager les gens à mettre leur mot de passe réel sur des sites tiers aléatoires, je peux garantir qu'un nombre considérable de personnes obtiennent un résultat positif, puis modifient leur hygiène de sécurité. L’un des aspects les plus importants de l’exécution du projet HIBP, c’est son impact sur le changement de comportement des utilisateurs. En voyant votre adresse e-mail ou votre mot de passe, pwned est en mesure de faire reconsidérer certaines de leurs décisions en matière de sécurité. ”

______________________

AVEC FIREFOX

Pour rappel il n'est pas conseillé de stocker les login et mot de passe dans le navigateur
https://www.malekal.com/mots-de-passe-s ... teurs-web/

_____________________________________________

La méthode décrite fonctionne également avec les importations .CSV d'autres programmes

Si vous avez l'habitude de stocker vos login et mots de passe dans Firefox, malheureusement, comme indiqué, depuis la version 57 du navigateur, le format des fichiers a changé

Dans Keepass la fonction est pourtant bien présente, mais cela ne fonctionne pas
6_Importer CSV.png

Il vous faut aller chercher le programme "Password Fox"


https://www.nirsoft.net/utils/passwordfox.html

Comme d'habitude avec les outils Nirsoft (tout comme ceux de Sysinternals) votre anti virus peut crier et s'agiter.
Il s'agit évidemment d'un faux positif


Une fois lancé, le programme va chercher et charger la base active par défaut. Si il ne le fait pas il va falloir lui indiquer le chemin

Normalement cela ressemble à cela :

Code : Tout sélectionner

C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\ 
et là vous lui indiquez le profil

Une fois la base chargée, vous allez dans le menu ---> Selectionner tout (Edit --> Select all) et ensuite dans le menu "Fichier" (File) vous choisissez "Save selected items" (sauvez les éléments choisis)


Là vous selectionnez "Keepass .csv file" et vous donnez un nom à votre base


Dans keePass, il suffira de passer par le menu Fichier---> Importer ----> De choisir le format "Importateur CSV generique", puis d'aller chercher et d ouvrirle fichier que vous avez converti avec "Password Fox"
7_IFirefox mporter CSV_2.png

Lors de l'importation il est demandé 2 ou 3 choses. Vous passez outre et vous cliquez sur OK

Le fichier apparaitra par défaut dans "General" dans le menu de KeePass"
Vous pouvez sélectionner toutes les entrées et le placer dans le dossier "Internet" par ex, mais il n'y a pas d'obligation


Only Amiga... was possible !
"Tous les patients mentent" Dr House


Malekal_morte
Site Admin
Site Admin
Messages : 98100
Inscription : 10 sept. 2005 13:57
Contact :

Re: "Have I Been Pwned" : Vérifier localement vos mots de passe

Message par Malekal_morte » 27 janv. 2019 12:15

Merci pour le tuto par contre, ça nécessite de la re-télécharger régulièrement pour être à jour.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 2857
Inscription : 02 juin 2012 20:48

Re: "Have I Been Pwned" : Vérifier localement vos mots de passe

Message par Parisien_entraide » 27 janv. 2019 12:39

Effectivement, c'est le point négatif.

A chaque mise à jour de la base sur le site , il faut re télécharger le fichier de plusieurs GO, mais si je me souviens bien la dernière datait de décembre, donc 1 fois par mois cela reste raisonnable pour le téléchargement

Le truc, comme le dit Troy HUNT, c'est que le fait de découvrir que l'on figure sur la liste, incite à de nouveaux comportements, donc si on agit ensuite, l'impact et conséquences de se trouver dans une nouvelle base est TRES faible puisque les mots de passe sont censés avoir été changés par autre chose que le nom du chien ou du petit dernier :-)

Actuellement il y a 3 millions de FR dans la base. Mais il faut se rappeler que si la base globale actuellement est disponible, c'est parce que derrière il y a une vengeance de pirates entre eux
Les "petites" bases ont été volées à celui qui a fait le boulot (2 000 bases de données piratées entre 2016 et 2018 réparties en 7 collections) et se sont retrouvées à la vente pour $45. Le premier pirate (celui qui a fait le boulot) à donc diffusé 5 collections pour couper court à la vente

Il reste donc 2 autres collections non diffusées, dans le black market dont on ne sait si c'est si un complément ni de quand elles datent, ni à quoi elles font référence (les bases peuvent ne pas concerner les FR)
Only Amiga... was possible !
"Tous les patients mentent" Dr House


Répondre

Revenir vers « Securite informatique »