KeePass KeePassXC KeePass2Android

Poster ici les programmes utiles que vous avez découverts
Avatar de l’utilisateur
Parisien_entraide
Messages : 20574
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: KeePass KeePassXC KeePass2Android

par Parisien_entraide »

2024-05-13_124049.jpg


Pas de rapport direct avec un des programmes cités sur ce sujet mais indirect quand même puisque la sécurité liée au mot de passe (longueur etc), c'est la base et concerne en fait tous les gestionnaires de mots de passe

Il y a une chose à prendre en compte... L'approche est théorique, car de nombreux sites Web etc vous bloqueront l’accès à votre compte après trop de tentatives infructueuses.
D'autres peuvent mettre un timer qui obligera à attendre après avoir saisi un mot de passe incorrect.
Certains nécessitent la saisie d'un code 2FA qui est envoyé par SMS /Mail sur le smartphone téléphone et qui doit être saisi avant de se connecter.

Par contre lors de vols de données (Phising, infostealer, ..) où tout n'est pas en clair ou que les données récupérées sont partielles (login et mot de passe de l'appli courrier par ex, et que ceux ci ne sont pas unique) , mais pas de instagram, discord etc cela peut aider surtout que généralement les mots de passe ne sont pas crées en aléatoire
Si on a un tiers ou la moitié du mot de passe on diminue drastiquement la recherche d'un facteur de 2 ou plus


La source précise que les temps qui augmenté par rapport à l'année dernière et donne l'explication ;
L'année dernière, le hachage de mot de passe utilisé était MD5.
Il n'y a plus autant de violations de MD5, ce qui signifie probablement que les sites Web et les entreprises l'utilisent moins (une bonne chose !).
MD5 a régné en maître pendant plusieurs années mais bcrypt était en tête en 2020, 2021, 2023 et encore jusqu'à présent en 2024.
Les solutions de stockage de mots de passe telles que LastPass, 1Password et Bitwarden utilisent l'approche de hachage appelée PBKDF2 salée avec une alternative de hachage puissante à MD5, appelée SHA-256.
Même le NIST recommande le PBKDF2 SHA-256.
Mais comme nous l’avons vu, les choses semblent différentes « dans la nature ». Les hachages de mots de passe violés de Dropbox, Ethereum, MyFitnessPal et DataCamp utilisaient tous bcrypt au lieu d'une fonction de dérivation de clé comme PBKDF2.
Bcrypt semble également être l’option la plus sécurisée en termes de ressources nécessaires pour le déchiffrer. En conséquence, le tableau des mots de passe 2024 Hive Systems est basé sur la puissance des 12 GPU RTX 4090 par rapport à bcrypt.




Source : https://www.hivesystems.com/blog/are-yo ... the-green
Alors OUI tout le monde n'a pas 12 cartes graphiques RTX 4090 chez soi, mais les malfaisants en ont la possibilité car ils ne travaillent pas seuls la plupart du temps, peuvent être liées à des gouvernements, et peuvent avoir de grandes cibles privilégiées dont il faut du matériel/logiciel derrière, MAIS on peut louer une douzaine de cartes 4090 (à distance) pour 6 euros de l'heure

On note que la longueur du mot de passe n'est pas seul à prendre en compte (l'ex du 8 caractères souvent utilisé est flagrant), mais le fait de mélanger majuscules, minuscules, caractères spéciaux, .. augmentent grandement la durée de déchiffrement et surtout... généré en aléatoire et non directement ou indirectement via notre mode de vie, notre environnement (Prénom des enfants par ex) , personnalité, goûts etc
Ce que permettent les gestionnaires de mots de passe (d'où l'intérêt des sauvegardes car il est humainenement impossible de se souvenir de tous les mots de passe de type : IL'-.!8odV#(k etc sauf être autiste/asperger avec une mémoire photographique

Force brute et dictionnaires : deux attaques courantes contre les mots de passe.
Les attaques par dictionnaire utilisent des listes de mots de passe, souvent ceux trouvés dans les fuites, car il s'agit d'une méthode rapide pour déchiffrer rapidement un pourcentage de mots de passe.
La force brute consiste à essayer n'importe quelle combinaison d'un jeu de caractères, par exemple tous les chiffres, lettres majuscules et minuscules d'un mot de passe.
Les deux peuvent être combinées si il y a déjà connaissance partielle du mot de passe
Par ex l'utilisateur/trice qui va utiliser "Doudou" va se servir de la même base en incrémentant "Doudou" de 1 par ex, puis "Doudou2" etc


En France en 2023 les 2 mots de passe les plus utilisées étaient ; 12345679 , puis azerty.
2024-05-13_124944.png

(copier coller de la source)

Dans le contexte des mots de passe, un « hachage » est une version brouillée d’un texte reproductible si l’on sait quel logiciel de hachage a été utilisé.
En d'autres termes, si votre ami hache le mot « mot de passe » à l'aide du hachage MD5, le hachage de sortie sera 5f4dcc3b5aa765d61d8327deb882cf99 .

Maintenant, si vous hachez le mot « mot de passe » en utilisant le hachage MD5, vous obtiendrez également 5f4dcc3b5aa765d61d8327deb882cf99 ! Vous et votre ami savez tous les deux secrètement que le mot « mot de passe » est le code secret, mais toute autre personne qui vous regarde ne voit que 5f4dcc3b5aa765d61d8327deb882cf99 .

Les mots de passe sont stockés sur les serveurs sous forme de hachages comme celui-ci plutôt que sous forme de texte brut comme « mot de passe ».
De cette façon, si quelqu'un vole la base de données, tout ce qu'il peut voir, ce sont ces hachages, mais pas le mot de passe qui les a créés.

Vous ne pouvez pas faire l'inverse.

Un résumé de hachage tel que 5f4dcc3b5aa765d61d8327deb882cf99 ne peut pas être calculé pour produire le mot « mot de passe » qui a été utilisé pour le créer.
Les logiciels de hachage sont de par leur conception une voie à sens unique.

La façon dont les pirates informatiques résolvent ce problème consiste à « déchiffrer » les mots de passe.
Dans ce contexte, « cracker » signifie dresser une liste de toutes les combinaisons de caractères de votre clavier puis les hacher.
Ensuite, vous recherchez des correspondances entre la liste et une base de données violée de hachages de mots de passe.
Vous pouvez le faire avec n’importe quel ordinateur, mais c’est beaucoup plus rapide si vous accélérez le processus avec une carte graphique puissante.
2024-05-13_125719.png



Recommandations de mots de passe 2024
  • - Incluez toujours des chiffres, des lettres majuscules et minuscules et des symboles, à condition que l'application ou le service le prenne en charge.
    - Choisissez 16 caractères ou plus, à condition encore une fois que le service ou les applications prennent en charge le numéro.
    - Utilisez toujours des mots de passe uniques.
    - utilisez un gestionnaire de mots de passe

Néanmoins il ne faut pas tomber dans la paranoïa..

Choisir pour l'instant 16 caractères est quelque peu démesuré et ce n'est pas accepté la plupart du temps, et les vols de données si on fait abstraction des personnes qui s'infectent "volontairement" du fait de cracks ou involontairement suite à du phishing, émanent des sites pour lesquels on a collé un login et mot de passe dont la sécurité n'est pas le point fort, sans compter ceux qui les stockent "en clair" et qui se sont fait hacker le serveur

Par contre autant il est conseillé d'avoir un mot de passe différent, autant perso je conseille de cloisonner les adresses mails par thématiques ou certains sites
Par ex sur mailo.fr, ex netcourrier, j'ai presque une centaine d'alias
En cas de fuites (et il y en a eu de certains sites) je sais de suite d'où elle proviennent et je peux ensuite la neutraliser
Je conseille également de changer les mots de passe régulièrement, comme tous les 6 mois ce qui est "relativement" raisonnable
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )

Revenir à « Programmes utiles »