Mots de passe : des choix déconcertants
Les mots de passe des utilisateurs ne sont pas plus compliqués que 1234. Une aubaine pour les pirates informatiques.
Face au nombre de mots de passe toujours croissant qu'ils ont à retenir, les internautes semblent avoir pris le parti de la simplicité la plus basique. Ils se facilitent la vie mais facilitent également celle de pirates informatiques qui cherchent par exemple à s'introduire dans un système via une identité usurpée.
Tout commence par le vol d'une base de données et Errata Security rapporte que le site phpBB.com a justement été la victime récente d'une attaque avec pour conséquence la fuite dans la nature de quelque 400 000 adresses e-mail. De retour après une interruption de quelques jours, le site phpBB.com se demande encore le pourquoi d'une telle attaque à l'encontre des membres de sa communauté, leur demandant de modifier leurs mots de passe dès que possible.
Outre les adresses e-mail, le pirate a également pu récupérer les hashs des mots de passe servant à s'identifier sur le forum du site. A priori, en usant d'une attaque par dictionnaire, il n'a pas eu trop de mal à les déchiffrer. Les utilisateurs lui ont donc simplifié la tâche par leurs choix.
Le PDG d'Errata Security a confié à Information Week (relayé par l'AFP) que suite à l'analyse statistique de 28 000 mots de passe volés, 16 % des internautes concernés avaient fait le choix d'un simple prénom, souvent leur propre prénom, voire celui de l'un de leurs enfants. 14 % ont préféré une série de touches successives du clavier du type " 1234 " ou " AZERTY ". Egalement pas mal de " Yes " ou " No ", et sans doute l'un des plus recherchés avec comme choix de password... password.
Pas très sérieux tout cela pour Robert Graham qui rappelle ce que nombre de ses pairs préconisent, à savoir le choix d'un mot de passe robuste constitué d'au moins huit caractères mélangeant majuscules, minuscules, chiffres et symboles.
Poser une question
ne (sont) pas?
"A priori, en usant de la force brute, il n'a pas eu trop de mal à les déchiffrer. Les utilisateurs lui ont donc simplifié la tâche par leurs choix."
Si les utilisateurs lui ont facilité la tache en prenant des mots de passe facile à retrouver alors c'est qu'il a utilisé un dictionnaire (recherche de mot déjà référencé ) et pas la force brute (test de toutes les combinaisons possible).
En tout cas, en dehors des mots de passe on voit bien que la légendaire fiabilité de phpbb est toujours d'actualité.
Ca va être sympa quand je vais commencer ma carrière dans l'administration système et réseau.
Au niveau des portes d'immeuble aussi c'est folklorique : années telles que 1945, chiffres qui se suivent, touches contigus, série mathématique simple (par exemple les chiffres pair) et j'en passe. Le mieux c'est qu'en plus, pour une porte donnée, les agences immobilières bouclent souvent sur la même série de code quand ils en changent.
Quand on voit comment les gens choisissent les codes en dehors d'internet, il ne faut pas s'étonner que ça soit pareil sur internet.
Tu parle de quoi la ??? As-tu été visité le site de phpbb ??? Le hackers n'a pas pu casser le forum pour dérobé la base de donnée. Il a utiliser une faille dans un script tiers (PHPlist) qui n'était plus a jour depuis...3 jours !!
Concernant l'article, le hash des mot de passe concerne les utilisateur qui ne se sont pas reconnecter au forum depuis sont passage en V3. La V2 "cryptais" les mot de passe avec un hash MD5, alors que la V3 utilise un algorythme non reversible. Au passage a la V3, tous les utilisateurs qui se connectais, voyait leur mot de passe mis a jour dans la base et crypté de façon plus sur.
D'ailleur, tous les forums phpbb V2 stock encore leur mot de passe avec un hash MD5 dans la base.
Et comme dit dans l'article, le nombre de mots de passe va croissant. Perso pour mes mdp j'ai souvent une combinaison du type [chaine fixe compliquée et exotique pas dans les dicos] + [chaine dépendant du site web]. Le tout fait un mdp assez compliqué, mais si on en connait un on peut retrouver les mdp des autres sites...
Mais même avec ça, j'ai bien trop de mdp différents, donc petit fichier archive sur mon DD (avec cette fois bon gros mdp de plus de 20 caractères que je connait par coeur).
Tout ça, ça reste trop compliqué pour l'internaute lambda