Sécu d'un forum

Salut,

Est ce qu'un forum peux se faire casser facilement le code d'accés d'un membre?

Si c'est le cas, de quoi cela vient-il?

- Mauvaise sécurité du serveur?

- Mauvaise sécurité du forum?

- Il n'y a rien à faire si de toute façon le mec a envie d'y arriver?

Dans la même veine, peut on casser un code d'accès blogspot, ebay et gmail?

Le code était une date de naissance (oui je sais pas bien malin de la part du membre qui s'est fait avoir).

Alors:

- Ou le hackeur à essayé au pif plusieurs dates de naissances.

- Ou il à chopé la date de naissance quelquepart et il à testé au flan.

- Ou il a agit sciemment en utilisant un log de brute force (ou autre) d'où la question sur la sécu.

Si j'arrive à définir que ce membre n'a laissé sa date de naissance nulle part quelle est pour vous la solution la plus plausible?

- Au pif, en essayant plusieurs dates en admettant qu'il ai réussi à cibler plus ou moins l'année de naissance, mais ça doit faire un paquet de soluce quand même.

- Le log de brute force (ou autre).

Après d'un ordre général, quelle position adopter envers cette personne qui a sciemment évoqué et prouvé qu'il avait réussi à trouver ces codes sans toutefois vouloir s'en servir?

D'avance merci

Knarf
Modifié par knarf (28 Apr 2007 - 04:06)

knarf a écrit :

Est ce qu'un forum peux se faire casser facilement le code d'accés d'un membre?

Je ne suis pas expert et je ne sais pas ce que tu entends par facilement

Maintenant je répondrais non à ta question au sens où il faut tout de même quelques moyens informatiques et de bonnes connaissances du sujet pour y parvenir.

knarf a écrit :

Si c'est le cas, de quoi cela vient-il?

- Mauvaise sécurité du serveur?

- Mauvaise sécurité du forum?

Je dirais d'abord 2
- d'une part parce que la base de donnée stocke le mot de passe crypté et que, si (ce qui est généralement le cas) tu n'as pas modifié l'algorithme, l'algorithme de décryptage est connu.
- d'autre part parce que si tu autorises un accès externe à la base de donnée, aucune sécurisation de serveur que ce soit n'empèchera quoi que ce soit.
- En règle générale dans les systèmes, la vulnérabilité croît avec l'ordre des couches. (Qui n'a pas ici sur sa machine au moins un code applicatif où ne traîne pas un set user id upon exec ?) Gnarf ! Gnraf !

knarf a écrit :

- Ou le hackeur à essayé au pif plusieurs dates de naissances.

Je n'y crois pas trop. Pour quasiment toutes les procédures de login, tu bloques le compte au bout d'un certain nombre de tentatives loupées. (5 par défaut sur phpBB)

knarf a écrit :

Après d'un ordre général, quelle position adopter envers cette personne qui a sciemment évoqué et prouvé qu'il avait réussi à trouver ces codes sans toutefois vouloir s'en servir?

Alors là... cela... dépend de l'humeur...
Modifié par aCOSwt (28 Apr 2007 - 14:52)

Merci aCOSwt

knarf a écrit :
Quelle position adopter envers cette personne qui a sciemment évoqué et prouvé qu'il avait réussi à trouver ces codes sans toutefois vouloir s'en servir?

Si cette personne ne le fait que pour le défi, et averti ensuite le webmaster de la faille qu'il a utilisé, alors c'est une personne respectable qui contribue à la sécurité du web...

a écrit :
Si cette personne ne le fait que pour le défi, et averti ensuite le webmaster de la faille qu'il a utilisé, alors c'est une personne respectable qui contribue à la sécurité du web...

Ben non justement, c'est qu'il s'en est servis uniquement pour mettre un peu la pression sur le membre "hacké" en MP suite à une discussion houleuse sur un forum.

Bref, c'est un con.

a écrit :
Bref, c'est un con.

Je pense que tu résume bien la chose

Limite son attitude va peut être tout de même servir.

J'avais pas percuté, mais il existe sur ce forum un post sur les anniversaires des membres, et souvent il est également annoncé les naissances avec les prénoms des chérubins, donc je suis en train de faire le forcing pour demander à afficher un post-it qui mets en garde sur l'utilisation de tels mots de passe trop facile et leur réutilisation ailleurs.

En me renseignant sur les problèmes de hacks j'ai lu que 75% d'internautes utilisaient des mots de passe relativement facile à deviner genre prénom, date de naissance...

C'est un chiffre fiable, ce n'est pas un peu exagérer?
Modifié par knarf (29 Apr 2007 - 03:31)

Je pense que c'est fiable.

Mon père utilisait avant sa date de naissance pour ebay, paypal, ses mails, etc.

J'ai du le calmer.

Aujourd'hui, il prend un mot du dictionnaire.

L'idéal, c'est de faire comme Firefox ou Live.com; à l'inscription, tu affiches en temps réel si le mot de passe est sécurisé ou non: l'idéal étant d'avoir 8 lettres, chiffres, majuscules et caractères spéciaux...

La date de naissance: à éviter

Sylvain a écrit :
l'idéal étant d'avoir 8 lettres

Correction : au moins huit lettres.

Pour ma part je fais partie des 25% restant, et même sans doute des 5% qui ont une approche plutôt « sécurisée ». Mes mots de passe pour les sites marchands (par exemple où je renseigne mon adresse postale, ou encore mon numéro de carte bancaire) sont tous différents, et sont des suites aléatoires de chiffres et lettres. Pour m'en souvenir, je stocke tout ça dans un fichier chiffré avec PassReminder, avec un mot de passe principal plutôt sûr.

Au sujet de ce logiciel : Gérer ses multiples identités en ligne avec PassReminder

a écrit :
l'idéal étant d'avoir 8 lettres

Sur certain système effectivement. J'ai croisé ça sur de vieux système seuls les 8 premieres lettres sont comprises. et dans des réseaux hétérogenes il peut arrivé qu'une vieille machine soit le goulet d'etranglement.
c'est pourquoi on dit souvent 8 lettres c'est l'idéal.

Dans le cas d'un forum récent je pense que l'on peut en mettre plus.

sinon j'ai un peu honte de l'avoué mais moi pour mes mots de passe j'utilise encore un calepin papier et un stylo . sauf que j'ecris si mal que c'est parfois le meilleur des cryptage^^
Modifié par CPascal (29 Apr 2007 - 14:09)

Après, cela dépend ce que l'on a à protéger.
Lorsque je disais 8 lettres, je pensais bien évidemment: "au moins";
Mais certains sites comme Dmoz imposent une longueur maximale et une longueur minimale: entre 6 et 8 caractères; c'est assez contraignant.

J'utilise souvent les même mots de passe

il y a des logiciels de bruteforce qui gèrent les doublons ... 2 codes "en lettres" peuvent, par exemple en md5, donner la même chaine de caractères cryptés.
Perso j'utilise parfois des clés de logiciels (bah oui, faut bien que les keygen servent à quelque chose ) en mélangeant certains blocs de code pour éviter qu'un petit malin ne tombe dessus (même si la probabilité est très très faible). Et pour tous les sites sécurisés, j'ai un mot de passe différent. Pour les retenir, le ciboulot est mieux que pass reminder, 25 chiffres et lettres, ça se retient vite