Security breach on the Debian wiki 2012-07-25

Le
Alain Vaugham
Bonjour la liste,

En résumé, le fichier contenant les mots de passe des utilisateur=
s du
wiki Debian a été volé. Il leur est conseillé d'agir en=
conséquence.
Les détails sont ici :
http://wiki.debian.org/DebianWiki/SecurityIncident2012

Partout il est indiqué qu'un mot de passe _"solide"_ doit faire au moi=
ns
8 caractères, si ce n'est pas 12, comporter des chiffres, des
majuscules, des minuscules plus d'autres caractères que l'on peut
choisir parmi la bonne trentaine qui sont disponibles sur nos claviers
azerty dont les caractères de ponctuation et changer ce mot de passe
tous les trois mois.

Donc si les mots de passe sont _"solides"_, ça laisse combien de temps
de tranquillité par rapport aux techniques de craquage actuelles
qui vont sûrement être utilisées pour faire parler ce fichie=
r volé?
Exprimé différemment : avec les techniques actuelles, est-ce qu'i=
l faut
moins de trois mois pour casser le hashé d'un mot de passe _"solide"_?

--
Alain Vaugham
Clef GPG : 0xD26D18BC

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20130107025415.7cf1746b@mach07.localdomain
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Bzzz
Le #25117692
On Mon, 7 Jan 2013 02:54:15 +0100
Alain Vaugham

Donc si les mots de passe sont _"solides"_, ça laisse combien de tem ps
de tranquillité par rapport aux techniques de craquage actuelles
qui vont sûrement être utilisées pour faire parler ce fich ier volé?
Exprimé différemment : avec les techniques actuelles, est-ce qu 'il faut
moins de trois mois pour casser le hashé d'un mot de passe _"solide" _?



Sans doute que les p/w ont des hashes MD5 et pas SHA-128 ou plus.

--
<CompuMan> La tragédie du Canada c'est qu'ils auraient pu avoir
la culture britannique, la cuisine française et la
technologie américaine, mais ils ont eu la culture
américaine, la cuisine britannique et la technologie
française.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
David Prévot
Le #25117712
This is an OpenPGP/MIME signed message (RFC 2440 and 3156)
--------------enig62CB26D98A400E2F54824A90
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Salut,

Le 06/01/2013 22:02, Bzzz a écrit :
Sans doute que les p/w ont des hashes MD5 et pas SHA-128 ou plus.



Assomption incorrecte.

Le 06/01/2013 22:42, Luca Filipozzi a écrit :
moin 1.9.x uses SSHA (salted SHA1):

http://moinmo.in/MoinMoin2.0/SecurePasswordStorage



http://lists.debian.org/debian-www/2013/01/msg00030.html

Amicalement

David



--------------enig62CB26D98A400E2F54824A90
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
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=nwNK
-----END PGP SIGNATURE-----

--------------enig62CB26D98A400E2F54824A90--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/kcdfmd$l6s$
Bzzz
Le #25117722
On Sun, 06 Jan 2013 23:33:31 -0400
David Prévot

Assomption incorrecte.

Le 06/01/2013 22:42, Luca Filipozzi a écrit :
> moin 1.9.x uses SSHA (salted SHA1):
>
> http://moinmo.in/MoinMoin2.0/SecurePasswordStorage

http://lists.debian.org/debian-www/2013/01/msg00030.html



C'est pas beaucoup mieux, SHA-1 s'est aussi fait
péter la rondelle depuis un moment.

--
BOFH excuse #314:
You need to upgrade your VESA local bus to a MasterCard local bus.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
mouss
Le #25119952
Le 07/01/2013 05:07, Bzzz a écrit :
On Sun, 06 Jan 2013 23:33:31 -0400
David Prévot
Assomption incorrecte.

Le 06/01/2013 22:42, Luca Filipozzi a écrit :
moin 1.9.x uses SSHA (salted SHA1):

http://moinmo.in/MoinMoin2.0/SecurePasswordStorage


http://lists.debian.org/debian-www/2013/01/msg00030.html


C'est pas beaucoup mieux, SHA-1 s'est aussi fait
péter la rondelle depuis un moment.




les recommandations actuelles sont SHA256 et SHA512. et ce dernier étant
plus rapide sur archi 64 bits, je ne vois pas de raison de faire un
autre choix.
(oui, y a désormais SHA-3, mais on va attendre!).

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme