Faut surtout pas utiliser le même mot de passe partout par exces de confianceOuais mais si un gars fait ça, il a notre compte, et alors ? Il va nous contrôler sur un forum/site, osef
(puis c'est pas illégal ça ?)
Vos mots de passe
Retrosasu
- Membre
- 27186 posts
07 septembre 2010, 21:36
(puis c'est pas illégal ça ?)
(puis c'est pas illégal ça ?)
Nikon Ni Canon
- Membre
- 148 posts
07 septembre 2010, 21:39
En imaginant que tes accès soient les mêmes sur Paypal, par exemple, imagine les dégâts 
Aurelgadjo
- Membre
- 2377 posts
07 septembre 2010, 21:42
Voila, qu'il démolisse ton compte sur son site, ça sert à rien, et au pire c'est limité.
Par contre si t'as le meme mot de passe que gmail/msn/Facebook/paypal, le type il peut te faire beaucoup de mal.
Sinon oui c'est clairement illégal.
Par contre si t'as le meme mot de passe que gmail/msn/Facebook/paypal, le type il peut te faire beaucoup de mal.
Sinon oui c'est clairement illégal.
Captain Awesome
- Membre
- 4579 posts
07 septembre 2010, 21:45
Bah moi j'ai un mot de passe pour mon ordi , un pou r les forum , un pour msn et un pour orange Tout different
Tout differentM2K
- Membre
- 26756 posts
07 septembre 2010, 21:46
Sinon, petite technique de phish qui fonctionne bien sur les forums styles JVC GameKult etc...
Repérer un mec avec un e-mail caramail.
Si il s'agit d'une adresse pré-2008 (ça l'est dans disons 75% des cas) aller sur GMX.fr et la recréer.
Aller sur le site, et faites une demande de renvoi de MDP (cliquez sur mot de passe perdu quoi)
Essayez le MDP sur d'autres sites que fréquente la personne.
Tip : si elle a un compte hotmail, son compte xbox live y est surement lié, ainsi que son Paypal
Bien sur, ceci n'est pas à faire, juste un exemple de ce qu'on peut faire à quelqu'un qui a le même MDP partout.
Repérer un mec avec un e-mail caramail.
Si il s'agit d'une adresse pré-2008 (ça l'est dans disons 75% des cas) aller sur GMX.fr et la recréer.
Aller sur le site, et faites une demande de renvoi de MDP (cliquez sur mot de passe perdu quoi)
Essayez le MDP sur d'autres sites que fréquente la personne.
Tip : si elle a un compte hotmail, son compte xbox live y est surement lié, ainsi que son Paypal
Bien sur, ceci n'est pas à faire, juste un exemple de ce qu'on peut faire à quelqu'un qui a le même MDP partout.
Aurelgadjo
- Membre
- 2377 posts
07 septembre 2010, 21:51
Mdr ça sent l'expérience
Mais le fait que le MDP soit envoyé en clair ça veut surtout dire que... le site en question stocke vos MDP !
Et que là un administrateur peut les VOIR.
Et que si un jour le site se fait pirater, le pirate aura login, email, pass tout ensemble.
Et ça c'est super grave quand même, ça devrait pas exister
PS: sur PT tous les mots de passe sont hashés en base de données
Mais le fait que le MDP soit envoyé en clair ça veut surtout dire que... le site en question stocke vos MDP !
Et que là un administrateur peut les VOIR.
Et que si un jour le site se fait pirater, le pirate aura login, email, pass tout ensemble.
Et ça c'est super grave quand même, ça devrait pas exister
PS: sur PT tous les mots de passe sont hashés en base de données
M2K
- Membre
- 26756 posts
07 septembre 2010, 21:53
Lool, non j'ai juste volé 2-3 pseudos sur le 15-18 y a quelques années :')
Wep, en général c'est juste une redéfinition du MDP, mais parfois, il est envoyé en clair même sur des sites très connus o0
MD5?
Wep, en général c'est juste une redéfinition du MDP, mais parfois, il est envoyé en clair même sur des sites très connus o0
MD5?
Nikon Ni Canon
- Membre
- 148 posts
07 septembre 2010, 21:54
J'avais eu le .sql de la base de données de eve-online un temps...
...je ne me rendais pas vraiment compte de l'ampleur des informations que j'avais en main...
Toutes les informations de carte de crédit en clair, etc etc.... Une vraie mine d'or, qui pesait près de 22go !
Si ça avait été à refaire, ce serait sans hésiter...
...je ne me rendais pas vraiment compte de l'ampleur des informations que j'avais en main...
Toutes les informations de carte de crédit en clair, etc etc.... Une vraie mine d'or, qui pesait près de 22go !
Si ça avait été à refaire, ce serait sans hésiter...
Aurelgadjo
- Membre
- 2377 posts
07 septembre 2010, 21:54
MD5 oui, mais avec un salt, pour compliquer la tache des bruteforcer / dictionnaires
M2K
- Membre
- 26756 posts
07 septembre 2010, 21:56
Jamais bien compris le principe du salt, mais c'est décryptable quand même?
Captain Awesome
- Membre
- 4579 posts
07 septembre 2010, 21:57
Tu mettais ça sur un disque dur et t'avait des couilles en or
J'avais eu le .sql de la base de données de eve-online un temps...
...je ne me rendais pas vraiment compte de l'ampleur des informations que j'avais en main...
Toutes les informations de carte de crédit en clair, etc etc.... Une vraie mine d'or, qui pesait près de 22go !
Si ça avait été à refaire, ce serait sans hésiter...
Tu mettais ça sur un disque dur et t'avait des couilles en or
Nikon Ni Canon
- Membre
- 148 posts
07 septembre 2010, 21:59
Salt : http://www.commentcamarche.net/faq/8821-comment-bien-stocker-et-verifier-un-mot-de-passe
Décryptable, mais difficilement.
J'aime à double-crypter mes mot de passe, mais avec md5(sha1($p)) par exemple... En plus du salt.
Décryptable, mais difficilement.
J'aime à double-crypter mes mot de passe, mais avec md5(sha1($p)) par exemple... En plus du salt.
M2K
- Membre
- 26756 posts
07 septembre 2010, 22:00
WTF
J'avais eu le .sql de la base de données de eve-online un temps...
...je ne me rendais pas vraiment compte de l'ampleur des informations que j'avais en main...
Toutes les informations de carte de crédit en clair, etc etc.... Une vraie mine d'or, qui pesait près de 22go !
Si ça avait été à refaire, ce serait sans hésiter...
WTF
Aurelgadjo
- Membre
- 2377 posts
07 septembre 2010, 22:01
Le salt c'est l'ajout de caractères au mot de passe.
Sur PT le forum (SMF) utilise un salt par personne. C'est quelques caractéres générées au hasard qui sont concaténés à ton mot de passe.
Imagine que tu utilises le même mot de passe partout
Et ton mot de passe est un truc connu (un mot, une expression connue, qu'on peut retrouver sur les sites qui "décryptent le MD5" comme ils disent (ce qui est faux)).
Si qqun pirate PT et retrouve le pass grace à ton MD5 connu, t'es cuit.
Le principe du salt est d'ajouter des caractéres vraiment random qui rendent ton expression connue en expression inconnue de ces sites.
Ainsi, si ton mot de passe est 123456789, en base de données, il sera 123456789roivd.
Certes le hacker à ton MD5 avec le salt, mais les sites qui ont des tables de correspondance entre les hash MD5 et les pass en clair ne connaissent pas ces expressions.
Et un bruteforce sur une expression "salée" verra son temps de calcul exploser (cf le lien du site dans le premier post du topic. tu mets un MDP débile + 6 caractéres au hasard et ça rend le bruteforce plus compliqué)
Sur PT le forum (SMF) utilise un salt par personne. C'est quelques caractéres générées au hasard qui sont concaténés à ton mot de passe.
Imagine que tu utilises le même mot de passe partout
Et ton mot de passe est un truc connu (un mot, une expression connue, qu'on peut retrouver sur les sites qui "décryptent le MD5" comme ils disent (ce qui est faux)).
Si qqun pirate PT et retrouve le pass grace à ton MD5 connu, t'es cuit.
Le principe du salt est d'ajouter des caractéres vraiment random qui rendent ton expression connue en expression inconnue de ces sites.
Ainsi, si ton mot de passe est 123456789, en base de données, il sera 123456789roivd.
Certes le hacker à ton MD5 avec le salt, mais les sites qui ont des tables de correspondance entre les hash MD5 et les pass en clair ne connaissent pas ces expressions.
Et un bruteforce sur une expression "salée" verra son temps de calcul exploser (cf le lien du site dans le premier post du topic. tu mets un MDP débile + 6 caractéres au hasard et ça rend le bruteforce plus compliqué)
Darkraid
- Membre
- 3026 posts
07 septembre 2010, 22:02
JE suis sur le mien vous vous y mettez un peu et vous le trouvez 
M2K
- Membre
- 26756 posts
07 septembre 2010, 22:04
Wow, rusé !
Donc les forums qui ne cryptent pas les MDP peuvent être considérés illégaux/Virés de google ?
Donc les forums qui ne cryptent pas les MDP peuvent être considérés illégaux/Virés de google ?
Nikon Ni Canon
- Membre
- 148 posts
07 septembre 2010, 22:05
Si google sait que les mot de passes ne sont pas cryptés, tu devras SERIEUSEMENT t'inquiéter... Ca voudrait dire qu'ils ont accès à la BDD...
Aurelgadjo
- Membre
- 2377 posts
07 septembre 2010, 22:12
Voilà ils peuvent pas savoir, et puis ils n'ont pas à décider de te virer pour ça
Je pense pas que ça soit illégal... Mais en tout cas la CNIL je pense pas qu'elle kiffe ça. Le hashage des mots de passe doit faire partie de ses recommandations
Je pense pas que ça soit illégal... Mais en tout cas la CNIL je pense pas qu'elle kiffe ça. Le hashage des mots de passe doit faire partie de ses recommandations
M2K
- Membre
- 26756 posts
07 septembre 2010, 22:14
Bah comment ils détectent les sites de Fish alors ???
Nikon Ni Canon
- Membre
- 148 posts
07 septembre 2010, 22:15
En ayant les accès du serveur sql. C'est le seul moyen efficace.
yurisses
- Membre
- 2667 posts
07 septembre 2010, 22:47
on va profiter de ce topic pour sensibiliser les gens à avoir un mot de passe par site :Ça me rappelle une affaire sur une board de warez, l'admin chopait les pass et testait pass+email sur paypal, il a escroqué pas mal de fric
imaginez que je suis méchant, moi, administrateur de pokemontrash (avec un accés au FTP).
Le fait que votre mot de passe soit long ou pas à cracker n'a pas vraiment d'importance.
Vous etes d'accord que sur un site internet on controle tout, tout le code des pages etc ?
Si je mets dans la page de login une commande qui m'envoie votre login et votre mot de passe quand vous vous connectez, couic. C'est aussi simple que ça.
Maintenant que vous savez ça, vous avez envie de me faire confiance ? De faire confiance à tous les webmaster + ou - amateurs des sites que vous fréquentez ? Faire confiance à leurs developpeurs, leurs administrateurs ?
Il faut en prendre conscience. Et ne pas faire d'exces de confiance. Etre un peu parano quoi.
qqes régles selon moi : avoir des "rangs" de mots de passe, par difficulté et par sensibilité. Cad pour pokemontrash, (et quand on est membre normal), avoir un mot de passe comme "123456" c'est pas trop un problème. De toute façons personne va bruteforce PT pour avoir votre mot de passe. Par contre avoir 123456 comme mot de passe paypal ça craint.
Donc pour paypal et gmail, (site de "même rang"), avoir des mots de passe du même type. similaires c'est pas un problème (mais pas identiques).
Mais pour les sites randoms, avoir des mots de passe de merde mais tjrs différents, ça va.
Gevilgamesh
- Membre
- 704 posts
07 septembre 2010, 22:49
Mais il y a quelque chose qui me chagrine: quand vous vous inscrivez quelque part, on vous envoie souvent un mail avec votre mot de passe donc en gros si un mec se fait pirater sa boite mail, il est bonbon sur tout puisque le mec à accès à tout ses mots de passes! Donc la question est: faut il garder ces satanés mails ou non?
yurisses
- Membre
- 2667 posts
07 septembre 2010, 22:50
C'est une très bonne remarque.
À première vue il faudrait les supprimer. Voire en conserver des copies sur le disque dur...
À première vue il faudrait les supprimer. Voire en conserver des copies sur le disque dur...
M2K
- Membre
- 26756 posts
07 septembre 2010, 22:51
Incapable de poursuivre ton raisonnement ? =)
Maniak => Dans le titre y avait pas "Maroc"? "Hakwaza"? "Final"? "Paradise"? "Mania"?
Maniak => Dans le titre y avait pas "Maroc"? "Hakwaza"? "Final"? "Paradise"? "Mania"?
Aurelgadjo
- Membre
- 2377 posts
07 septembre 2010, 23:13
Ce sont les utilisateurs qui les rapportent. Avec certains navigateurs tu peux dénoncer un site de fishing.
Opera : outils > avancé > Informations sur la sécurité de la page > Effectuer la vérification > et là tu peux dénoncer le site à netcraft
Google ils ont des algorythmes de la mot qui tue pour ça, t'inquiète pas pour eux. Mais sinon on peut aussi leur soumettre les faux sites je sais plus ou.
Bah comment ils détectent les sites de Fish alors ???
Ce sont les utilisateurs qui les rapportent. Avec certains navigateurs tu peux dénoncer un site de fishing.
Opera : outils > avancé > Informations sur la sécurité de la page > Effectuer la vérification > et là tu peux dénoncer le site à netcraft
Google ils ont des algorythmes de la mot qui tue pour ça, t'inquiète pas pour eux. Mais sinon on peut aussi leur soumettre les faux sites je sais plus ou.
Aurelgadjo
- Membre
- 2377 posts
07 septembre 2010, 23:28
Les garder ou les supprimer, telle est la question...
Mais comme beaucoup de sites te permettent de récupérer ton compte via ton adresse email... (avec le mot de passe perdu)... Il te faut surtout avoir un MDP unique (et complexe) sur ton adresse email !
D'ailleurs Gmail m'a demandé mon n° de portable il y a peu en me disant qu'en cas de vol de mon compte ou de perte de MDP ils m'enverraient un SMS
Mais il y a quelque chose qui me chagrine: quand vous vous inscrivez quelque part, on vous envoie souvent un mail avec votre mot de passe donc en gros si un mec se fait pirater sa boite mail, il est bonbon sur tout puisque le mec à accès à tout ses mots de passes! Donc la question est: faut il garder ces satanés mails ou non?
Les garder ou les supprimer, telle est la question...
Mais comme beaucoup de sites te permettent de récupérer ton compte via ton adresse email... (avec le mot de passe perdu)... Il te faut surtout avoir un MDP unique (et complexe) sur ton adresse email !
D'ailleurs Gmail m'a demandé mon n° de portable il y a peu en me disant qu'en cas de vol de mon compte ou de perte de MDP ils m'enverraient un SMS
M2K
- Membre
- 26756 posts
07 septembre 2010, 23:29
Idem, pas donné.
Déjà à cause de facebook, je reçois des pubs sous mon pseudo dans ma boite aux lettres...
Déjà à cause de facebook, je reçois des pubs sous mon pseudo dans ma boite aux lettres...
The Miz
- Membre
- 19276 posts
07 septembre 2010, 23:31
Bylkian Amaroots Panther c'est pas terrible comme pseudo.
M2K
- Membre
- 26756 posts
07 septembre 2010, 23:32
Comment tu connais mon fb? 
The Miz
- Membre
- 19276 posts
07 septembre 2010, 23:32
STALK STALK STALK
