Les comptes Yahoo victimes de la réutilisation des mots de passe

maestro321 a écrit :



Même si c’est généré par un algo en carton, ça n’empêche que le mot de passe sera unique par site, et le problème que rencontre Yahoo et d’autres sites n’en serait pas un.



et ça serait déjà pas mal " />





En même temps, si le services tiers sur lequel les mot des passes ont été volés avait une sécurité digne de ce nom (hash+salt des MPD), le problème ne ce serait même pas posé.



Si la réutilisation des mot de passe n’est pas la pratique la plus sécurisée, pour moi le gros du problème vient de services nécessitant une identification avec une implémentation faite par un stagiaire…

wanou2 a écrit :



Au boulot j’ai un machin qui s’appelle SSO Watch qui m’identifie partout. ça existe une telle solution multiplateforme ?





Keypass est multiplateforme et dispose d’un certain nombre de plugin pour l’authentification automatique.







maestro321 a écrit :



Le soucis ne vient pas que tant de l’implémentation de la sécurité que de la réutilisation des mots de passe.



Si j’ai un site avec une authentification parfaitement gérée, mais que les mots de passe sont commun à un service tiers, ma belle authentification ne servira à rien s’il y a un fuite du service tiers.





Ben justement, le problème vient bien de l’implémentation de la sécurité du service tiers " />



Pas de hack du service tiers, pas de mot de passe, pas de hack du compte Yahoo.

maestro321 a écrit :



Avec le même mot de passe, la faille est assurée par le maillon le plus faible de la chaine.

Si c’est un mot de passe différent par service, il n’y a pas d’effet de chaine. CQFD.





On est bien d’accord là dessus.



Je dis juste que pour moi, le plus gros du problème vient de professionnels qui ne font pas leur boulot correctement, et pas de Mme Michu qui n’y connaît rien en informatique, et qu’en général, aucune alerte ne la prévient d’éviter une réutilisation lorsqu’elle s’inscrit sur un service.

maestro321 a écrit :



Oui, mais pour le coup c’est tout à fait inimaginable que l’ensemble des services qu’utilise Mme Michu soient parfaitement à jour pour leur sécurité, (surtout lorsque certains services perdent en vitesse)



De plus, même si l’ensemble des services étais sécurisés, le vol de mot de passe peut se faire simplement en regardant par dessus l’épaule, et si tel est le cas, avec un seul mot de passe l’attaquant accède à l’ensemble des services . Alors que ça lui complique la tâche s’il y a un mot de passe par service (faut passer plus de temps derrière l’épaule " />).





Il ne faut pas compter uniquement sur le professionnalisme des devs, et les devs doivent s’assurer que leur système soit le plus fiable possibe " />







Elwyns a écrit :



sinon il reste quoi comme fournisseur gratuit de compte mail ? ( google j’irais jamais, laposte ça reste que pour un mail, et outlook pour mon principal )

Ceci dit yahoo commence à faire peur \o/





GMX, anciennement Caramail.



Sinon, tu peux monter ton propre serveur mail " />

Elwyns a écrit :



jcrois que j’ai une adresse gmx faudra que je fouille ^^’



Faire son propre serv mél soit ..mais bon si on te l’attaque tu l’as ds le cul .. un peu plus de protection cest loué un serveur chez OVH ,ou sinon carrement avoir un mél payant





Il y divers tutos sur le net pour faire ça bien, après, oui, tu peux héberger ton serveur ailleurs que chez toi.



Sinon, je viens de voir cette liste de fournisseurs de serveurs mails sécurisés sur le site de Korben.

Drepanocytose a écrit :



Que les boulets qui ne sont pas foutus de reflechir 3 secondes aux problèmes de sécurité se fassent pirater est une bonne chose : les pirates vident leurs comptes bancaires, ils ne peuvent plus payer leur ADSL et donc, ne viendront plus nous polluer le net…



Quant à Maestro plus haut qui nous parle de mots de passe imposés : et puis quoi encore ? On vient les border ? On lit leurs mails à leur place parce qu’ils sont trop cons pour apprendre un minimum à utiliser convenablement les outils dont ils se servent au quotidien ?



Tout ceci est une conséquence de la loi de lselection naturelle : les boulets se font avoir par plus fort ou plus malin qu’eux, pas de quoi defequer une pendule.

Qu’ils prennent le bon côté des choses : quand on se brule, on ne met plus sa main dans le feu….. Une bonne occasion pour eux de devenir un peu moins idiots….



Et à ceux qui me diraient que le net est indispensable aujourd’hui, et bla et bla que c’est bien que tout le monde y ait accès, etc : c’est pareil avec tous les outils du quotidien, et pour tous ces outils là, les gens s’y forment un minimum avant de les utiliser…

Qu’un gros naze s’eclate avec une tronçonneuse parce qu’il a été trop idiot pour apprendre à l’utiliser avant de s’en servir, ou qu’un boulet sans permis s’emplâtre dans un platane parce qu’il n’a pas appris à conduire n’émouvra personne : pourquoi donc s’émouvoir pour les boulets qui ne savent pas utiliser le net ?

A plus forte raison quand on parle de principes évidents que même un trisomique autiste comprendrait : pas deux fois le même mdp et des mdp un peu plus étoffés que sa date de naissance ou le nom de sa femme, pas besoin d’un doctorat en IT pour comprendre ca…

C’est juste de la bêtise crasse, AMHA couplée avec un poil d’1 km de long dans la main et aucune envie de se servir de son cerveau (qui pour beaucoup est devenu un organe superflu) : qu’ils assument les conséquences, je n’irai pas pleurer.





Depuis quand c’est aux usagers de faire de la veille sécuritaire sur le net ? " />



Quand tu achètes sur le net, c’est tout le temps le même code de carte bleue, et ce n’est pas gênant car c’est sécurisé.

Pour les “boulets” qui n’ont aucune aucune connaissance, les mots de passes sont sécurisés, et ils ne voient pas le besoin d’avoir un mdp différent, puisque c’est censé être sécurisé.



Quand tu achètes une tronçonneuse, tu as un mode d’emploi fourni avec, pour utiliser une bagnole, tu as passé un permis pour apprendre à t’en servir.

Le net, il n’y a pas de mode d’emploi. Et il n’y a en général pas de mode d’emploi à l’authentification sur un site. Si certains fournissent un repaire visuel de sécurisation des mots de passes, je n’en ai jamais vu qui indique que la réutilisation des mots de passes n’est pas une bonne pratique.



Et il n’y a pas non plus moyen de savoir si celui qui a codé l’authentification est un boulet de dev stagiaire pisseur de code qui ne sait pas faire son boulot.



Donc je trouve ça très simpliste de mettre ça sur le dos des usagers de services, même si ceux-ci pourraient se renseigner par eux-même sur les bonnes pratiques.

Drepanocytose a écrit :



T’es sérieux (salut au passage " />) ?





" /> " />

T’aimes bien les retours en fanfare toi " />



Et oui, je suis sérieux. Même si je comprend ton point de vue, je trouve ça un peu simpliste de tout remettre sur le dos des usagers.







Drepanocytose a écrit :



C’est aux usagers de faire attention à ce qu’ils font sur le net parce que c’est aux gens à faire attention à ce qu’ils font dans la vie EN GÉNÉRAL !!! (et donc sur le net en particulier)…





On est d’accord, mais pour les gens, le net, c’est hyper compliqué. Déjà qu’ils ont du mal à intégrer qu’il ne fallait pas donner d’infos sensibles s’il n’y avait pas le petit cadenas dans la barre d’adresse…







Drepanocytose a écrit :



Bah non justement, et c’est pour ca qu’on a inventé les e-cartes bleues avec un code qui change à chaque fois….





Et combien sont au courant ? Combien de personnes se retrouvent avec une carte bancaire avec puce NFC sans se douter du trou de sécurité que ça représente ?

Est-ce uniquement de leur faute, ou de celle des banques et des fournisseurs de carte bancaires ?







Drepanocytose a écrit :



Pas plus qu’il n’y a marqué que le feu ca brule sur les paquets d’allumettes ou de briquets… C’est aux gens de se former tous seuls, la vie c’est risqué de partout, manquerait plus qu’on liste tous les risques possibles sur tous les services du quotidien….

Y a-t-il écrit sur les baignoires que les enfants en bas age peuvent s’y noyer ? je ne crois pas ….





Comparaison foireuse.



Le corps humain a des mécanismes de défense qui lui permet d’appréhender tout seul ce genre de risque.



Et puis, franchement, ça coûte quoi de rajouter une page sur un site avec une liste de bonnes pratiques ?







Drepanocytose a écrit :



Il est là le desccord entre nous : les gens ne “pourraient” pas se renseigner, ils le DEVRAIENT !!!!





Dans ce cas là, on légitime la répression d’HADOPI, parce que MMe Michu devrait savoir ce qu’elles faisait, soit en téléchargeant illégalement sans se protéger, soit en ne sachant même pas qu’elle téléchargeait illégalement.

On légitime également les amendes à coup de millions de la MPAA.

On légitime les pratiques d’industrielles qui foutent des merdes cancérigènes dans les produits, parce que le boulet de consommateur n’avait qu’à se renseigner sur la dangerosité de ce qu’il achète.



Effectivement, il est là le désaccord entre nous. Je pense que l’ignorance du pécore ne doit pas légitimer des pratiques douteuses, ni déresponsabiliser ceux qui les mettent en place.

Drepanocytose a écrit :



LOL ! " />

Ouais je savais que je ferais réagir avec ca, mais je ne pensais pas que ca viendrait de toi !





Je passais dans le coin, et on ne te voit plus souvent, alors c’était l’occasion de te recadrer un peu " /> " />







Drepanocytose a écrit :



Je ne remet pas tout sur le dos des usagers, attention, mais vois ca à l’envers.. Disons que je recadre un peu le discours exprimé ici qui enlève toute responsabilité à l’usager : même s’il n’est pas le seul à être responsable de cet état de fait, sa responsabilité n’en est pas moins réelle et assez importante





" />



Et j’ai justement commencé sur la news pour faire contrepoids à recadrer les propos de maestro qui abondaient dans ton sens, mais aussi de la news qui ne parle pas de la responsabilité du fournisseur du service piraté.







Drepanocytose a écrit :



Toujours pareil : moi quand un truc me parait compliqué, je me renseigne. On ne peut pas dire “c’est compliqué” tout en faisant n’importe quoi quand même et ensuite pleurer qu’on ne savait pas.





" />







Drepanocytose a écrit :



On est d’accord, responsabilité partagée, toujours. Les banques abusent, mais combien d’usagers bancaires lisent leur contrat en détail ? Je te parie sur moins de 5%…





Vu la gueule du banquier quand il a vu que je commençais à lire le contrat avant de le signer, le chiffre de 5% ne me paraît pas improbable " />







Drepanocytose a écrit :



Si c’était vrai, il n’y aurait ni brulés, ni noyés, ni bébés secoués, etc….





Là, on est plus dans l’incompétence, la fainéantise du bulbe, ou dans des problèmes psy qui dépassent le cadre de l’ignorance.







Drepanocytose a écrit :



On est d’accord, ca ne coute pas grand chose.. Mais philosophiquement, on rentre dans l’assistanat..

Une fois qu’on a mis cette page en place, un autre problème ressurgira et tout ce qu’on trouvera à faire sera de remettre une autre page, et encore une, et encore une….

Et ca fera comme pour les contrats et les CLUF : personne ne les lira, parce qu’il y en aura tellement, et tellement détaillés, que le commun des pécores avec son poil de 3km dans la main ne prendra même pas la peine d’y jeter un oeil, et au lieu d’accuser la manie d’assistanant de notre socété moderne, on accusera la complexité des formulaires….





Oui, mais là, je serais entièrement d’accord pour dire que ce sera bien fait pour leur gueule.



Ce que je n’estime pas pour l’instant, au vu de l’incompétence de certains dev web.







Drepanocytose a écrit :



Là on est d’accord, dit comme ca.

Tout est dans le “recadrage” : responsabilité partagée.. Ce qui sigbnifie que les pauvres en esprit on aussi leur part de responsabilité, à ne pas nier…





On est d’accord " />