Elections des bureaux

Les résultats des élections sont disponibles ici :

Le bureau AE : https://ae.utbm.fr/election/21/detail

Le bureau BDF : https://ae.utbm.fr/election/27/detail

Forum > Le Hall > Suggestions pour le forum, le site de l'AE, FAQ, Hotline > Vos mots de passe

Vos mots de passe

Reply Mark as favorite

1 2


Grande nouvelle !

Le format de stockage des mots de passe a été changé.

Implémentation

L'ancien format était du Traditional DES Les mots de passe étaient donc tronqués à 8 caractères, et cerise sur le gâteau, un salt unique ("ae") était utilisé.

Le forum utilise maintenant bcrypt, avec un facteur de difficulté de 7, ce qui permet d'augmenter singulièrement la puissance de calcul requise pour les casser, tout en évitant de mettre le forum à genoux. De plus, le salt est maintenant dynamique. Voilà pour les détails techniques.

Je serai ravi d'en discuter plus en détail avec ceux que ça intéresse.

Concernant les mots de passe

Il semblerait que[[https:www.youtube.com/watch?v=ZzIAiSGKxQc|pas mal de gens] utilisent des mots de passe triviaux (aeforum, utbm, forumae, foyer, azerty//, ...).

Il y a même des personnes qui poussent le vice à utiliser leur date de naissance.

Un bon mot de passe est unique et sert pour un seul site.

Comment choisir un bon mot de passe

Les gens malins utilisent des "phrases de passe" et non pas des "mots de passe" pour les applications importantes.

Vous pouvez jeter un coup d’œil aux conseils de:

1.> de Microsoft,

1.> de notre gouvernement ,

1.> de XKCD

Exemples de bonnes passphrases

1.Jesaisoùestmaserviette 1.DustriN3Tri3PasLesPh0t0s. 1.Dustri_est_trop_relou 1.Jamais je n'aurai MT11 bon sang

Pourquoi ne pas forcer les gens a utiliser un mot de passe compliqué?

Parce que c'est idiot. Imposer une majuscule, deux chiffres et un caractères spécial, avec un mot de passe de 8 caractères minimum, c'est le meilleur moyen de finir avec des mots de passes qui:

  1. commencent TOUS par une majuscule,
  2. finissent TOUS par deux chiffres puis un caractères spécial,
  3. et ne contiennent que des minuscules entre les deux.

Comment se souvenir de tout ses mots de passe ?

Le gens malins utilisent des password-manager, du style keepass/keepassx.

"Oui mais si je veux me logger alors que je ne suis pas sur mon Mac Book ?"

Est-ce que tu es vraiment sûr de vouloir taper TES identifiants bancaires sur MA machine ? Non, je ne pense pas.

=Conclusion=

  1. Le format de stockage des mots de passe a changé
  2. Vous ne verrez pas la différence
  3. Vous devriez changez votre mot de passe sur le site de l'AE
  4. Si vous réutilisez vos mots de passe, où si vous utilisez "maman123", vous finirez en enfer.

Bonus

J'ai ajouté un "password-meter" (J'ai piqué celui de dropbox) sur la page de changement de mot de passe. Si votre évaluation est en-dessous de "CORRECTE", vous êtes une grosse tourte.


Dustri

"Oui mais si je veux me logger alors que je ne suis pas sur mon Mac Book ?"

Est-ce que tu es vraiment sûr de vouloir taper TES identifiants bancaires sur MA machine ? Non, je ne pense pas. .

Et si on veut se logger au bar, on dit :"Ah bah non, je ne suis pas sur mon MacBook !" Et Bim, plus de barmen.

Sinon, bonne initiative et travail pour ce changement.

\"Qui promène son chien est au bout de la laisse\" S.GAINSBOURG | Trésorier Promo 12 A11-P12 | VPI Sevenans BDS P12 | Respo GA BDS A12 | Vice-respo SDM P13 | Respo Foyer P13 | Président BDF P14-A14


Je me permets d'insister un peu sur ce point : Changez votre mot de passe et profitez du "password-meter" pour utiliser une phrase de passe

Et si certains utilisent des mots de passe vraiment faibles, je pense que c'est le cas aussi sur d'autres sites. Donc profitez-en pour les changer en n'utilisant jamais le même mot de passe pour plusieurs sites en même temps.

:-)

Jérôme | http://fr33tux.org - https://toolslib.net

"Information is power. But like all power, there are those who want to keep it for themselves." - Aaron Swartz


Est-ce qu'avoir un mot de passe de base compliqué comme il faut avec une variation à la fin par site vous semble un compromis correct?

Par exemple sur le site de l'AE 4rC@dE43vER-a3, sur facebook 4rC@dE43vER-fAceb0Ok...


Est ce que mon nouveau mot de passe : aabbccddeeffgghhiijjkkllnnmmooppqqrrssttuuwwvvxxyyzz11223344665577889900 est un bon mot de passe ;)


Dustri, vraiment on peut pas mettre le même mot de passe partout? Parce qu'on a déjà plein de formules de maths, physique, etc.. à retenir, donc ducoup je me disais que qu'en tant que futur ingé, ça faisait déjà beaucoup...

⛩️ May the Force be with you. ⛩️
🤘 https://libskia.so/ 🤘


non mais faut aussi savoir tous les mans du shell aussi hein faut pas pousser mémé dans les ordis!

@droum : je rigolerai quand je te verrais taper ça sur l'ordi du foyer qui comprends pas quand tu tapes sur des touches.


Il y a eu un petit cafouillage, mais c'est réparé :) Vous pouvez changer votre mot de passe sans passer par le processus "j'ai oublié mon mot de passe, je suis un·e misérable, ô Dieux du forum, puis-je en avoir un nouveau ?".


Skia

Dustri, vraiment on peut pas mettre le même mot de passe partout? Parce qu'on a déjà plein de formules de maths, physique, etc.. à retenir, donc ducoup je me disais que qu'en tant que futur ingé, ça faisait déjà beaucoup...

Je pense que tu n'es en rien obligé, maintenant à toi de voir si tu estimes que c'est important ou pas....

Après, je vous dirais bien qu'en entreprise ça l'est, certaines entreprises prennent même le temps de formé sur 1/2 journée ou 1 journée, leurs nouveaux employés sur ce genre de thématique.....

Sinon merci Dustri :) !

Responsable Sécurité FIMU 2008 à 2013 // Prez AE 2010 // popoteenfolie.unblog.fr


Skia

Dustri, vraiment on peut pas mettre le même mot de passe partout? Parce qu'on a déjà plein de formules de maths, physique, etc.. à retenir, donc ducoup je me disais que qu'en tant que futur ingé, ça faisait déjà beaucoup...

Utilise tes formules comme mot de passe,

Comme ça, t'as le double effet Kiss-Cool

Ça passe!!

Ah merde… en faite non…


Connaissant Skia, c'est un sacré gros troll. Bien subtil, bien fourbe. Un vrai bon troll des familles :)

Respo. Info BDS P/A'15 | Respo. ReZoME P'14-A'15 | Respo. basket P/A '13 P'14 P/A'15 | ST40 WappZapp.TV à Amsterdam A'14 (http://unfrancaisaamsterdam.tumblr.com) | ST50 Free Electrons à Toulouse P'16


Subtil, really ?

<o> \o> \o\ \o/ /o/ <o/ <o>

_o< >o_/


Pour moi, il y a tout ce qui est site pas tendu (genre les forums typiquement) et tout ce qui est site plus tendancieux (messagerie, infos bancaire,....). Le premier type ne nécessitant pas forcément un truc méga dur et/ou différent tout le temps. Après, c'est juste une question de criticité quoi.

Apprenti GI/GE\r\n\r\nSexcrétaire 11 A11 - Responsable Info Gala 2011 - Responsable JDP/Com/Tresorier Conv\' Troll Penché 2012/2013/2014 - Trésorier Troll Penché P12/A12/P13/A13-P14 Organisateur Repas Informatique A13 - P14 - Responsable clubs BDS A12


C'est juste bizarre qu'on ait pas besoin d'entrer l'ancien mdp avant d'en choisir un nouveau

Ça passe à l'aise, on est la treize ! ♪

Respo trombi promo 13 // Team père 200


Àfumer

C'est juste bizarre qu'on ait pas besoin d'entrer l'ancien mdp avant d'en choisir un nouveau

Sans cela quelqu'un qui va sur ton pc pendant que tu ne fais pas attention peut changer ton mot de passe sans connaitre l'ancien. C'est risqué!

Resp Info BDS P13 A13 - Club Zik - Apprenti GI Faurecia

Profile
Vid

si le mec qui hack mon compte AE peut le recharger ca serait pas mal :D

Promo 9 dans le coeur ! - Life is too short to be boring - Site : http://nicolasgrenie.com


Vid

si le mec qui hack mon compte AE peut le recharger ca serait pas mal :D

On peut aussi te le vider en sucettes ?

Le Mojo, tu devines quand tu l'as, tu sais très bien quand il s'en va, alors quand tu l'as, profite ta race !

Profile
Vid

Vid: C'est sûr que si tu ne changes pas ton mot de passe pour quelque chose de moins évident, je ne serai pas surpris si quelqu'un arrivait à te pwn ton compte ;)

Promo 9 dans le coeur ! - Life is too short to be boring - Site : http://nicolasgrenie.com


Vid

Vid: C'est sûr que si tu ne changes pas ton mot de passe pour quelque chose de moins évident, je ne serai pas surpris si quelqu'un arrivait à te pwn ton compte ;)

La question c'est est-ce que tu lui rechargé son compte ?

<o> \o> \o\ \o/ /o/ <o/ <o>

_o< >o_/

Profile
Vid

Epyde
Vid

Vid: C'est sûr que si tu ne changes pas ton mot de passe pour quelque chose de moins évident, je ne serai pas surpris si quelqu'un arrivait à te pwn ton compte ;)

La question c'est est-ce que tu lui rechargé son compte ?

On m'a forcé mais ça a bien marché pendant 7 ans :)

Au passage... y'avait aussi un photo à changer :P

Promo 9 dans le coeur ! - Life is too short to be boring - Site : http://nicolasgrenie.com


Dustri

Implémentation

L'ancien format était du Traditional DES Les mots de passe étaient donc tronqués à 8 caractères, et cerise sur le gâteau, un salt unique ("ae") était utilisé.

Cool, j'ai ma réponse. Merci Dustri

BDF <3


Du coup Dustri compte rechargé ou pas ?? !!

GG pour les mots de passe

Perso je pratique un mot de passe a base d'une clef unique (toujours la même) et des modifications selon l'URL du site

Par exemple imaginons que ma clef soit aFf12dù je décide de prendre les deux premières lettres de l'URL (sans compter http://www. ) que j'insère en 3ième et 5 ième position (choisie au hazard pour le coup) ça nous donne

pour le site AE aFafe12dù pour google (bouh méchant tous ça) aFgfo12dù facebook (bouh nul tous ça) aFffa12dù etc

Sachant que ma clef est plus longue et que les positions des lettres que j'insère dépendent de la longueur de l'URL et que j'insère des variations (dans les maj et tout et tout ) je pense que c'est pas mal sécure. Disons que même en trouvant deux ou trois mdp je pense pas qu'on puisse les trouver tous.

Sa me permet d'avoir que la clef a me souvenir et la méthode de reconstruction du coup je me log partout assez vite.

Qu'en pensez vous ?

Pilot' FF1J P13 || Repas Info P13 || Respo Trad'z Integ' A13 || Chargé de mission BdF A13|| Trésorier Promo 12 A13 /\ Info 3 I2RV || ST40 au labo IrTes-SeT A13

1 pour 12 et 12 pour 1 --Un Tati qui vous veut du bien


Tatirel

Du coup Dustri compte rechargé ou pas ?? !!

GG pour les mots de passe

Perso je pratique un mot de passe a base d'une clef unique (toujours la même) et des modifications selon l'URL du site

Par exemple imaginons que ma clef soit aFf12dù je décide de prendre les deux premières lettres de l'URL (sans compter http://www. ) que j'insère en 3ième et 5 ième position (choisie au hazard pour le coup) ça nous donne

pour le site AE aFafe12dù pour google (bouh méchant tous ça) aFgfo12dù facebook (bouh nul tous ça) aFffa12dù etc

Sachant que ma clef est plus longue et que les positions des lettres que j'insère dépendent de la longueur de l'URL et que j'insère des variations (dans les maj et tout et tout ) je pense que c'est pas mal sécure. Disons que même en trouvant deux ou trois mdp je pense pas qu'on puisse les trouver tous.

Sa me permet d'avoir que la clef a me souvenir et la méthode de reconstruction du coup je me log partout assez vite.

Qu'en pensez vous ?

Plutôt classe ^^ à moins que qqn trouve ton code initial et s'amuse à tout retrouver, c'est une méthode que je trouve presque parfaite(rien n'est parfait) ^^ Pour ma part, c'est un code principal d'un certain nombre de lettres/chiffres accommodés selon l'envie d'un ou deux autres mots de passe, principalement un possédant des caractères/chiffres/lettre le tout en maj/min. Mais je me retrouve sur plusieurs sites avec le même code, donc faudrait que je modifie ça un jour..


tati, a partir du moment on il y a une logique entre deux mots de passe, le temps pour trouver l'un a partir de l'autre est horriblement court par rapport à un autre mot de passe différent ( genre sqrt(x) vs exp(x) ) et c'est d'autant vrai quand tu sais la logique qu'il y a derrière


Super idée ! Ça fait plaisir de voir qu'il y a des gens avec des notions de statistiques/probabilité/combinatoire.

Je plaisante.

Maintenant que tu as rendu ton schéma publique, si je trouve ton mot de passe du site de l'AE, pour avoir ton mot de passe google, il suffit que je supprime les "a" et les "e", puis que je bruteforce en les remplaçant avec des "g" et des "o".

En fait, même si tu n'avais pas rendu ça public, je trouve deux de tes mots de passes (Coucou le leak de linkedin), je vois qu'il y a un pattern, tu as perdu.

Je pense que tu peux changer tes mots de passe un peu partout.

Question à une bière: Si sa passphrase est de taille N, combien y-a-t-il de possibilité pour un site donné ? Indice: le nombre est ridiculement petit comparé au nombre de hash/secondes d'une machine actuelle.


J'ai pas donné exactement ce que je faisais dustri :) mais oui tu as raison le fait de le rendre public rend ma méthode moins efficace si je fais ça c'est que je trouve qu'elle est pas mal et je voulais la partager.

Et au pire je trouve que c'est se donner beaucoup de mal pour me hacker compte AE (ou on peut pas faire grand mal...) compte Gmail (à la rigueur un peu plus vis a vis de mes contacts) compte youtube... mes jeux en ligne et facebook...

Mais merci pour vos retour je vais pouvoir improve mon système...

Pilot' FF1J P13 || Repas Info P13 || Respo Trad'z Integ' A13 || Chargé de mission BdF A13|| Trésorier Promo 12 A13 /\ Info 3 I2RV || ST40 au labo IrTes-SeT A13

1 pour 12 et 12 pour 1 --Un Tati qui vous veut du bien

Profile
Vid

Pourquoi hacker un compte AE quand on peut hacker un compte youporn premium ? :D

Promo 9 dans le coeur ! - Life is too short to be boring - Site : http://nicolasgrenie.com

Reply

1 2