🛡️ "Have I Been Pwned" : Vérifier si vos adresses mail, login, .. sont volés

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Avatar de l’utilisateur
Parisien_entraide
Messages : 20237
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

🛡️ "Have I Been Pwned" : Vérifier si vos adresses mail, login, .. sont volés

par Parisien_entraide »

2024-04-13_112658.png


⬇️ RAPPEL

On a cet excellent site, "Have I Been Pwned" pour savoir si notre login, mot de passe ou même numéro de téléphone, figurent dans une ou des bases de données, volées, vendues et disponible sur internet.
Comme expliqué sur le lien du forum, le site est sûr, surtout lorsque l'on sait qui est derrière


CONSULTATION LOCALE

Si on a des doutes sur le fait de fournir une adresse mail à vérifier, un login, ... à "quelqu'un d'extérieur, on peut le faire localement
Point négatif : Autant il y a quelques années il était relativement facile de télécharger la base même en ADSL, autant maintenant, vu la taille, un débit fibre à haut débit est plus que nécessaire
Je laisse cependant la méthode pour ceux que cela intéresse




📌 ALTERNATIVES EN CONSULTATION DIRECTE

Ce n'est que mon avis, mais je ne conseille que 3 sites (have I Been Pwned, Hasso Plattner Institut, DataBreach)
Les autres en fait se servent de Have I Been Pwned majoritairement, sans compter que malgré leurs déclarations, ils peuvent pomper ce que l'on propose au passage. Je n'ai qu'une confiance relative dans les outils des VPN par exemple :-)
Il est évident que vous ne pouvez pas tester des adresses qui vous ne vous appartiennent pas pour des rapports complets
Par ex, l'institut allemand envoie un rapport dans les 24 à 48h en relation avec l'adresse mail testée



⭐1) Haveibeenpwned

⭐2) Hasso Plattner Institut (Univeresité Allemande)

⭐3) DataBreach.com




Néanmoins pour les autres sites et façons de procéder

Les alternatives : 9 sites pour vérifier si l’e-mail, mot de passe ont été piratés, divulgués ou compromis
https://www.malekal.com/sites-pour-veri ... compromis/



Un complément sur le forum pour les discussions
viewtopic.php?f=37&t=54361




------------------------------------------------------------------------------------------------------------
📌 INTRODUCTION POUR VÉRIFIER LOCALEMENT


Le but de la manoeuvre est d'utiliser la base de données du site https://haveibeenpwned.com/Passwords localement, donc sans diffuser vos données sur internet car il est évident que l'on soit réticent à indiquer sur un site, donc avec des données sensibles qui vont transiter sur le réseau et analysées "quelque part" notre login, mot de passe, même si du fait du fonctionnement (voir la doc un peu plus bas), cela semble "sécurisé"


Lien direct du "haveibeenpwned-downloader" : https://github.com/HaveIBeenPwned/Pwned ... Downloader

Je pense mais ce n'est que mon avis, qu'il vaut mieux faire la vérification en local (mais c'est lié à mon rejet d'usage de clouds divers situés hors de France, appartenant souvent à des organismes liés ou ayant un droit de regard etc :-)
Par ex, si on prend le site Web HIBP il utilise le "trafic snooper" de Cloudflare. En théorie Cloudflare verra tous les mots de passe que vous vérifiez
En théorie.. parce que pour le fonctionnement : Voir la documentation à la fin du tuto



Pour rappel :

Haveibeenpwned : vérifier si vos mots de passe ont été piratés
have i been pwned sur le forum


Cette possibilité de vérification en local de vos mots de passe exige que vous utilisiez KeePass pour gérer tous les mots de passe
Logo Keepass.png
_______________________________

Mais il y a une Astuce ! : Si vous n'utilisez pas KeePass pour la gestion des mots de passe, mais que vous avez vos mots de passe enregistrés sous un format particulier vous pouvez les importer directement dans keePass

Keepass accepte les formats d'importation : CSV files (all), KeePass 1.x (KDB, XML and CSV), KeePass 2.x XML, 1Password Pro, 1PW, Alle meine Passworte, Any Password, CodeWallet, Dashlane, DataVault, DesktopKnox, Enpass, FlexWallet, Google Chrome, Handy Safe, Handy Safe Pro, Kaspersky Password Manager, KeePassX, LastPass, Mozilla Bookmarks, mSecure, Network Password Manager, Norton Identity Safe, nPassword, PassKeeper, Passphrase Keeper, Password Agent, Password Depot, Password Exporter, Password Keeper, Password Memory, Password Prompter, Password Safe, Password Saver, Passwords Plus, Passwort.Tresor, Personal Vault, PINs, Revelation, RoboForm, SafeWallet, Security TXT, SplashID, Steganos Password Manager 2007, Sticky Password, TurboPasswords, VisKeeper, Whisper 32, ZDNet's Password Pro, and Spamex.com.
6_Importer CSV.png

Pour Firefox, malheureusement depuis la version 57 du navigateur, le format a changé et l'importation directe ne fonctionne pas
Il vous faut pour cela convertir le fichier .json au format .CSV
A la fin de ce descriptif je donne la procédure en images. Celle ci est à l 'identique pour l'ensemble des importations au format .CSV (et dans la forme peut etre aussi pour d'autres formats)

!
IMPORTANT !
Si vous faites une importation, suivant le format, il se peut qu'une fois la base chargée rien ne s'affiche dans la colonne "Have I been pwned"
Il vous faudra alors faire un clic droit sur chaque ligne, et choisir "Modifier/entrée" puis cliquer comme indiqué sur l'image ci dessous
Faire apparaitre le mot de passe.png
___________________________________________________________________

LES PRE-REQUIS


Ce qu'il vous faut avoir pour effectuer la manipulation :
Attention ! Il est préférable de la récupérer au format torrent plutôt qu'en téléchargement direct, car la base fait...11 Go à ce jour, soit une fois décompactée.
Elle est au format .7z, donc compactée avec https://www.7-zip.org/]7-zip mais décompactable avec WinRar et autres) presque 23 Go.
Au besoin : 7-Zip : comment compresser ses fichiers (zip, rar, etc)

Ne vous trompez pas de fichier ! Il faut prendre la version "Ordered by hash".
Après il faudra s'armer de patience pour le téléchargement, puis ensuite la décompression suivant la puissance de votre processeur, et la copie sur le HD ou SSD.
Le fichier pourra être inséré pour des raisons pratiques dans le dossier d'installation de KeePass.

Pour rappel, il existe un tutoriel sur le site :

KeePass : utiliser le gestionnaire de mot de passe gratuit
1) Telecharge HASHG.png
En complément, si vous ne l'avez pas encore : https://sourceforge.net/projects/keepas ... t/download c'est complètement inutile pour l'usage décrit ici, et purement esthétique
Il s'agit de Favicon. Un favicon est la petite icône / logo utilisé pour identifier de nombreux sites Web
Cela va permettre d'ajoute des favicons de sites Web à la liste de mots de passe KeePass, du moins aux connexions ayant une URL répertoriée dans la base de données. Cela permet améliorer l'identification, donc de reconnaitre un site au premier coup d'oeil


Si vous souhaitez d'autres plug in pour KeePass https://keepass.info/plugins.html

!
ATTENTION ! Les créateurs de ces plug in sont des gens extérieurs au projet. Pas de malware mais de possible bugs pouvant occasionner des failles de de sécurité
A vous de vous renseigner avant utilisation

Les plug ins sont à mettre ici :

Code : Tout sélectionner

C:\Program Files (x86)\KeePass Password Safe 2\Plugins
_____________________________________________________________________

INSTALLATION DE KEEPASS

Vu que ce programme ne pose pas de problèmes à l'installation, je passe outre (c'est un programme open source, et il n'y a pas de risque à l'installation d'attraper des adwares et/ou adwares déguisés en malware

Par contre je déplore le fait qu'il laisse dans le démarrage une ligne "KeePass Pre load"
Cela est inutile pour l'usage décrit dans ce tuto, et on peut désactiver cette fonction via MSCONFIG https://www.malekal.com/msconfig-lutilitaire-windows-2/ ou avec un logiciel comme AUTORUNS https://www.malekal.com/autoruns/

Ceux qui seront intéressés par la suite de l'usage de KeePass peuvent lire ce tuto en FR https://craym.eu/tutoriels/utilitaires/keepass.html


CHANGEMENT DE LA LANGUE

On utilise la langue FR, donc on va passer le programme en ...FR (si si !)

Soit vous allez directement ici https://keepass.info/translations.html et vous téléchargez le fichier de langue qui vous intéresse dans la colonne de droite (version 2.41)
Soit une fois Keepass installé, vous utilisez le menu pour changez la langue d'utilisation
CHangez langue.png
Ce n'est pas automatique. Cela va vous amener sur la page : https://keepass.info/translations.html (ce qui revient au même que la manipulation précédente)

Une fois téléchargé le ficher, il faut le décompresser et le placer dans le dossier

Code : Tout sélectionner

C:\Program Files (x86)\KeePass Password Safe 2\Languages
Ensuite il suffit de retourner dans le menu et choisir la langue FR. Le programme vous demandera de redémarrer

Le plug in n'est pris en compte qu'au démarrage ou redémarrage du programme

__________________________________

INSTALLATION DE HIPB OFFLINE CHECK

Tous les plug in (Rappel) comme "HIPB Offline Check", se placent dans

Code : Tout sélectionner

C:\Program Files (x86)\KeePass Password Safe 2\Plugins
Lancez ensuite le gestionnaire de mots de passe KeePass et sélectionnez

Outils --------> Vérification HIBP Offline dans l'interface du programme.
Cliquez sur "Parcourir" et sélectionnez le fichier de base de données de mots de passe que vous avez extrait sur le système.
Menu d ouverture.png

Vous pouvez modifier d'autres paramètres, par exemple le nom de la colonne dans KeePass ou le texte affiché pour les mots de passe sécurisés et non sécurisés.

Enfin et surtout, sélectionnez Affichage> Configurer les colonnes, puis activez la colonne "Have I Been Pwned" pour afficher les résultats de la vérification dans l'interface.
2_ Configurez affichagepng.png
3_ Selctionner la base.png

Ensuite cela devrait ressembler à cela :
4_Fonctionnement.png

Pour rappel : Un succès ne signifie pas nécessairement que le mot de passe est connu d'un tiers (le méchant pirate) , car il dépend de la force du mot de passe et des capacités de ce tiers pour le déchiffrer

5_Fonctionnement.png

______________________________________

DOCUMENTATION :


https://blog.cloudflare.com/validating- ... anonymity/

sinon

https://blog.cloudflare.com/using-cloud ... passwords/


https://blog.discordapp.com/safety-jim- ... .s3ex2h7pg


et sur la vie privée :

https://haveibeenpwned.com/Privacy


et lire les réponses aux questions posées de Troy HUNT (qui est derrière le site "Have I been Pwned"):

https://mobile.twitter.com/vinzBad/stat ... 345216?p=v



Le mot de la fin de Troy HUNT

"Même si je ne veux pas encourager les gens à mettre leur mot de passe réel sur des sites tiers aléatoires, je peux garantir qu'un nombre considérable de personnes obtiennent un résultat positif, puis modifient leur hygiène de sécurité. L’un des aspects les plus importants de l’exécution du projet HIBP, c’est son impact sur le changement de comportement des utilisateurs. En voyant votre adresse e-mail ou votre mot de passe, pwned est en mesure de faire reconsidérer certaines de leurs décisions en matière de sécurité. ”

______________________

AVEC FIREFOX

Pour rappel il n'est pas conseillé de stocker les login et mot de passe dans le navigateur
https://www.malekal.com/mots-de-passe-s ... teurs-web/

_____________________________________________

La méthode décrite fonctionne également avec les importations .CSV d'autres programmes

Si vous avez l'habitude de stocker vos login et mots de passe dans Firefox, malheureusement, comme indiqué, depuis la version 57 du navigateur, le format des fichiers a changé

Dans Keepass la fonction est pourtant bien présente, mais cela ne fonctionne pas
6_Importer CSV.png

Il vous faut aller chercher le programme "Password Fox"


https://www.nirsoft.net/utils/passwordfox.html

Comme d'habitude avec les outils Nirsoft (tout comme ceux de Sysinternals) votre anti virus peut crier et s'agiter.
Il s'agit évidemment d'un faux positif


Une fois lancé, le programme va chercher et charger la base active par défaut. Si il ne le fait pas il va falloir lui indiquer le chemin

Normalement cela ressemble à cela :

Code : Tout sélectionner

C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\ 
et là vous lui indiquez le profil

Une fois la base chargée, vous allez dans le menu ---> Selectionner tout (Edit --> Select all) et ensuite dans le menu "Fichier" (File) vous choisissez "Save selected items" (sauvez les éléments choisis)


Là vous selectionnez "Keepass .csv file" et vous donnez un nom à votre base


Dans keePass, il suffira de passer par le menu Fichier---> Importer ----> De choisir le format "Importateur CSV generique", puis d'aller chercher et d ouvrirle fichier que vous avez converti avec "Password Fox"
7_IFirefox mporter CSV_2.png

Lors de l'importation il est demandé 2 ou 3 choses. Vous passez outre et vous cliquez sur OK

Le fichier apparaitra par défaut dans "General" dans le menu de KeePass"
Vous pouvez sélectionner toutes les entrées et le placer dans le dossier "Internet" par ex, mais il n'y a pas d'obligation
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Malekal_morte
Messages : 116274
Inscription : 10 sept. 2005 13:57

Re: "Have I Been Pwned" : Vérifier localement vos mots de passe

par Malekal_morte »

Merci pour le tuto par contre, ça nécessite de la re-télécharger régulièrement pour être à jour.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
Parisien_entraide
Messages : 20237
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: "Have I Been Pwned" : Vérifier localement vos mots de passe

par Parisien_entraide »

Effectivement, c'est le point négatif.

A chaque mise à jour de la base sur le site , il faut re télécharger le fichier de plusieurs GO, mais si je me souviens bien la dernière datait de décembre, donc 1 fois par mois cela reste raisonnable pour le téléchargement

Le truc, comme le dit Troy HUNT, c'est que le fait de découvrir que l'on figure sur la liste, incite à de nouveaux comportements, donc si on agit ensuite, l'impact et conséquences de se trouver dans une nouvelle base est TRES faible puisque les mots de passe sont censés avoir été changés par autre chose que le nom du chien ou du petit dernier :-)

Actuellement il y a 3 millions de FR dans la base. Mais il faut se rappeler que si la base globale actuellement est disponible, c'est parce que derrière il y a une vengeance de pirates entre eux
Les "petites" bases ont été volées à celui qui a fait le boulot (2 000 bases de données piratées entre 2016 et 2018 réparties en 7 collections) et se sont retrouvées à la vente pour $45. Le premier pirate (celui qui a fait le boulot) à donc diffusé 5 collections pour couper court à la vente

Il reste donc 2 autres collections non diffusées, dans le black market dont on ne sait si c'est si un complément ni de quand elles datent, ni à quoi elles font référence (les bases peuvent ne pas concerner les FR)
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20237
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: "Have I Been Pwned" : Vérifier localement vos mots de passe

par Parisien_entraide »

Pour suivre l'actualité des bases intégrées et compromises

https://twitter.com/haveibeenpwned
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Malekal_morte
Messages : 116274
Inscription : 10 sept. 2005 13:57

Re: "Have I Been Pwned" : Vérifier localement vos mots de passe

par Malekal_morte »

AdultFiender powned, ça sent encore les campagnes de scam et de chantage pour pas se faire dénoncer à sa femme :p
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
Parisien_entraide
Messages : 20237
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: "Have I Been Pwned" : Vérifier localement vos mots de passe

par Parisien_entraide »

C'est en vogue tout ce qui touche au porno, sites de rencontres, etc :-) Faut dire que les bases sont bien remplies.. Là pour AdultFiender c'est 412 millions de comptes

viewtopic.php?f=11&t=62280&start=15

(faudrait que je réactualise, même si je ne met que les bases où des FR pourraient être touchés)
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20237
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: "Have I Been Pwned" : Vérifier localement vos mots de passe

par Parisien_entraide »

Pour rappel derrière le site Have I been Pwned il y a Troy Hunt un chercheur en sécurité


2020-03-04_130301.jpg

L'année dernière il avait émis le souhait de vendre le site, car étant tout seul pour en assurer la maintenance celui lui prenait trop de temps

Depuis hier (3 mars) il s'explique sur sa nouvelle décision :

""Have I Been Pwned n'est plus à vendre et je continuerai de le faire fonctionner de manière indépendante."

Sur ce lien, il explique qu’une négociation était en cours avec un acheteur, mais qu’elle n’a pas pu aboutir à cause de multiples raisons.
Il a été quand même été contacté par 141 entreprises (en fait il y en a eu beaucoup plus qu'il a rejeté) 43 étaient retenues, puis une seule sélectionnée en septembre dernier. Il explique avoir signé des documents l’empêchant de révéler l’identité de la société concernée, au même titre que le prix ou les conditions précises.

En gros on peut comprendre qu'il ne voulait pas de '"menottes dorées". Il est conscient qu'il aurait du déléguer et va se réorganiser en conséquence

https://www.troyhunt.com/project-svalba ... ependence/

Il explique également qu'il aurait du mettre en place (c'est fait maintenant) https://haveibeenpwned.com/Donate ce afin d'éviter de dépendre de stés tierces, car maintenir le site et les bases cela a un coût (pour le paiement paypal qui n'est pas visible en premier lieu il suffit de cliquer sur le "donate" qui figure en dessous des différentes sommes)
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Malekal_morte
Messages : 116274
Inscription : 10 sept. 2005 13:57

Re: "Have I Been Pwned" : Vérifier localement vos mots de passe

par Malekal_morte »

Il devait y a voir Mozilla dans la liste, vu qu'ils utilisent son suivi.
Ca aurait pu le verrouiller pour Firefox.
Dommage, qu'il n'ait pas réussi à se mettre d'accord.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
Parisien_entraide
Messages : 20237
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: "Have I Been Pwned" : Vérifier localement vos mots de passe

par Parisien_entraide »

Il est difficile d'y voir clair en fait, parce que si on regarde cela parle d'usage, ensuite je doute que Mozille puisse avoir les ressources derrière en tant qu'acheteur et suivi

https://www.developpez.com/actu/212185/ ... mpromises/

Toujours est il que c'est fonctionnel https://monitor.firefox.com/

et actif https://github.com/mozilla/blurts-server
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20237
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: "Have I Been Pwned" : Vérifier localement vos mots de passe

par Parisien_entraide »

Nouvelle base dispo :en date du 19/11/2020 (prendre la base "ordered by hash"

https://haveibeenpwned.com/Passwords

Si téléchargement, le torrent est impératif

Le fichier.txt en décompressé fait plus de 25 Go
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20237
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: "Have I Been Pwned" : Vérifier localement vos mots de passe

par Parisien_entraide »

Comme on peut le voir c'est toujours actif et la base grossit au fil des ans et atteinte ce jour les 17.2 Go Non décompressée !

2022-10-31_103352.jpg


En complement de

9 Sites pour vérifier si le mail, mot de passe ont étés piratés, divulgués ou compromis
https://www.malekal.com/sites-pour-veri ... compromis/

Un petit nouveau : Le Hasso Plattner Institut
Ce site a été lancé par une université allemande spécialisée dans le numérique.
Le rapport reçu par mail est l'un ldes plus complets sur les types d’informations fuitées.
https://sec.hpi.de/ilc/?
2022-10-31_104639.jpg
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20237
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: "Have I Been Pwned" : Vérifier localement vos mots de passe

par Parisien_entraide »

A noter un outils de l'auteur

PwnedPasswordsDownloader

Il s'agit d'un un outil pour télécharger toutes les plages de hachage des mots de passe Pwned et les enregistrer hors ligne afin qu'ils puissent être utilisés sans dépendance à l'API k-anonymity.

https://github.com/HaveIBeenPwned/Pwned ... Downloader

Sur la page auteur d'autres outils mais plus spécifiques
https://github.com/HaveIBeenPwned

L'annonce (oui j'ai un peu de retard :-) :
Téléchargement de la liste des mots de passe Pwned
Depuis mai 2022, le meilleur moyen d'obtenir les mots de passe les plus à jour est d'utiliser le téléchargeur de mots de passe Pwned . Les hachages de mots de passe téléchargés peuvent être intégrés à d'autres systèmes et utilisés pour vérifier si un mot de passe est déjà apparu dans une violation de données, après quoi un système peut avertir l'utilisateur ou même bloquer purement et simplement le mot de passe.
Pour des suggestions sur les pratiques d’intégration, lisez le billet de blog de lancement de Pwned Passwords pour plus d’informations.
https://www.troyhunt.com/introducing-30 ... passwords/

A lire https://www.troyhunt.com/downloading-pw ... ownloader/ ce qui explique pourquoi on ne trouve plus la base en direct téléchargement ou par torrent


L'auteur du plug in pour Keepass HIBPOfflineCheck https://github.com/mihaifm/HIBPOfflineCheck qui depuis les dernières moutures conseille de passer par l'outil de Roy Hunt pour télécharger la base

Pour Linux et Mac OS il existe une autre voie (vue dans les discussions avec Troy)
https://github.com/easybill/easypwned#d ... downloader

Attention quand même à la taille de la base téléchargée...
Vu l'accélération des vols de données et des bases récupérées (même si une partie est nettoyée car en général on s'aperçoit qu'il y a au minima 60% de recyclages, (les voleurs se volant entre eux) aux vues de ce qui défile celle ci doit maintenant etre importante

https://twitter.com/haveibeenpwned

Pour info en 2021 la base était passé à plus de ...121Go
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20237
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: "Have I Been Pwned" : Vérifier localement vos mots de passe

par Parisien_entraide »

Malwarebytes lance un nouveau portail Web qui offre une visibilité sur les informations personnelles de type Login et mot de passe exposés, mais pas que, afin que chacun puisse facilement voir où et quand

- une violation a compromis les données,
- les types de données exposées et les données personnelles spécifiques à vendre sur le dark web.

viewtopic.php?t=74282
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20237
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: "Have I Been Pwned" : Vérifier localement vos mots de passe

par Parisien_entraide »

2024-06-04_123718.png

La base de https://haveibeenpwned.com/ s'est enrichie avec un apport massif de données


Troy Hunt a reçu plusieurs colis totalisant 122 Go d'un chercheur en sécurité.

Cela comprend 361 millions d’adresses e-mail différentes, dont 151 millions ne figuraient pas encore dans la base de données (On retrouve par ex la base du "slip Français" dont le vol est récent). Mais les mots de passe et les sites Web étaient également inclus.

L'auteur explique ce qu'il a vérifié et comment
https://www.troyhunt.com/telegram-combo ... addresses/

Pour résumer, bien qu'il y a évidemment des anciennes listes, pas mal sont en liens avec des Stealer (Voleur de données) et non de vol de données de sites
Il est retrouvé également du Lastpass (probalement du fait du plus gros vol de données en 2022)
Ce gestionnaire de mots de passe, considéré dans les milieux de la sécurité comme un "emmenthal Suisse' c'est à dire plein de trous de sécurité

Du reste ce gestionnaire de mots de passe est à éviter pour plusieurs raisons
le PDG de LASTPASS a investi quelques millions de dollars, dans une sté du nom de Wing security située en Israêl, avec d’autres investisseurs liés aux services de renseignements Israélien (Orca Security par ex)

Wing security a été fondée en 2020 par le général de brigade à la retraite Noam Shaar, ancien responsable de la sécurité de l’information des Forces de défense israéliennes (FDI) et le colonel à la retraite Galit Lubitsky, ancien chef des cyber-opérations de Tsahal. Les deux fondateurs ont occupé des postes de direction dans la prestigieuse unité 8200 IDF et ont géré avec succès des cyber-événements au niveau national tout en gérant d’énormes cyber-organisations"
D'autres détails à viewtopic.php?p=533779#p533779 sur Lastpass et pourquoi il ne faut pas l'utiliser sans compter ses liens avec ExpressVPN et.. KAPE
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 20237
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: "Have I Been Pwned" : Vérifier localement vos mots de passe

par Parisien_entraide »

Vu qu'il devient illusoire de vérifier en local vu la taille de la base (On doit être à 200 Go)

En complément de

9 Sites pour vérifier si le mail, mot de passe ont étés piratés, divulgués ou compromis
https://www.malekal.com/sites-pour-veri ... compromis/

Un petit nouveau : Le Hasso Plattner Institut
Ce site a été lancé par une université allemande spécialisée dans le numérique.
Le rapport reçu par mail est l'un des plus complets sur les types d’informations fuitées.
https://sec.hpi.de/ilc/?
2024-10-30_110440.png
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Securite informatique »