Je viens de recevoir un chantage par courriel (menace
d'envoyer une vidéo compromettante si je n'envoie pas
800 $ en bitcoins).
Je sais qu'une telle vidéo n'existe pas, aussi je ne crains
rien de ce côté là, mais le problème est que pour me faire
peur le maître chanteur m'a écrit à l'adresse avec laquelle
je me suis abonné à /Pour la Science/, et ce en me donnant
le mot de passe que j'avais choisi pour ce compte.
J'utilise une adresse unique et un mot de passe unique pour
chaque site marchand, ce qui fait que je n'ai aucun doute
sur le fait que c'est *ce* compte en particulier qui a été
piraté.
Si S est constant, alors le vrai mot de passe est haché(P×S), et P n'est qu'un moyen mnémotechnique pour le retenir.
Effectivement, soit on envoie le mot de passe en clair(*), et il peut être stocké haché côté serveur (PAP), soit on envoie un mot de passe haché, de préférence avec un sel dynamique unique (nonce) (CHAP), et il doit être stocké en clair côté serveur. Ou on fait, de mémoire, comme certaines versions de MS-CHAP où on stocke le mot de passe haché côté serveur, tout en faisant un CHAP pour l'authentification: donc le vrai mot de passe est en fait haché(P). Avec quelques vulnérabilités associées. (*) voir ta remarque sur l'utilisation d'un tunnel chiffré avec authentification mutuelle ou du serveur uniquement, p.ex. ce que fait EAP-TTLS.
Nicolas George <nicolas$george@salle-s.org> wrote:
Si S est constant, alors le vrai mot de passe est haché(P×S), et P n'est
qu'un moyen mnémotechnique pour le retenir.
Effectivement, soit on envoie le mot de passe en clair(*), et il
peut être stocké haché côté serveur (PAP), soit on envoie un mot de passe
haché, de préférence avec un sel dynamique unique (nonce) (CHAP),
et il doit être stocké en clair côté serveur.
Ou on fait, de mémoire, comme certaines versions de MS-CHAP où
on stocke le mot de passe haché côté serveur, tout en faisant
un CHAP pour l'authentification: donc le vrai mot de passe est en
fait haché(P). Avec quelques vulnérabilités associées.
(*) voir ta remarque sur l'utilisation d'un tunnel chiffré avec
authentification mutuelle ou du serveur uniquement, p.ex.
ce que fait EAP-TTLS.
Si S est constant, alors le vrai mot de passe est haché(P×S), et P n'est qu'un moyen mnémotechnique pour le retenir.
Effectivement, soit on envoie le mot de passe en clair(*), et il peut être stocké haché côté serveur (PAP), soit on envoie un mot de passe haché, de préférence avec un sel dynamique unique (nonce) (CHAP), et il doit être stocké en clair côté serveur. Ou on fait, de mémoire, comme certaines versions de MS-CHAP où on stocke le mot de passe haché côté serveur, tout en faisant un CHAP pour l'authentification: donc le vrai mot de passe est en fait haché(P). Avec quelques vulnérabilités associées. (*) voir ta remarque sur l'utilisation d'un tunnel chiffré avec authentification mutuelle ou du serveur uniquement, p.ex. ce que fait EAP-TTLS.
yamo'
Salut, Olivier Miakinen a écrit le 09/10/2018 à 23:43 :
L'adresse dont je parlais n'est pas référencée sur ce site. En revanche mon adresse principale a fuité du site NemoWeb, et apparemment ils n'ont jamais eu de réponse du responsable du site... du coup, je mets Julien en copie de ma réponse.
As-tu eu une réaction de sa part? -- Stéphane
Salut,
Olivier Miakinen a écrit le 09/10/2018 à 23:43 :
L'adresse dont je parlais n'est pas référencée sur ce site. En revanche
mon adresse principale a fuité du site NemoWeb, et apparemment ils n'ont
jamais eu de réponse du responsable du site... du coup, je mets Julien
en copie de ma réponse.
Salut, Olivier Miakinen a écrit le 09/10/2018 à 23:43 :
L'adresse dont je parlais n'est pas référencée sur ce site. En revanche mon adresse principale a fuité du site NemoWeb, et apparemment ils n'ont jamais eu de réponse du responsable du site... du coup, je mets Julien en copie de ma réponse.
As-tu eu une réaction de sa part? -- Stéphane
Olivier Miakinen
Le 30/10/2018 11:32, yamo' a écrit :
L'adresse dont je parlais n'est pas référencée sur ce site. En revanche mon adresse principale a fuité du site NemoWeb, et apparemment ils n'ont jamais eu de réponse du responsable du site... du coup, je mets Julien en copie de ma réponse.
As-tu eu une réaction de sa part?
Oui. En septembre 2016 il a pu y avoir une « fuite de la base de données de l'ancien serveur de dev qui comportait quelques dizaines de membres.» Je n'ai pas cherché à en savoir plus. -- Olivier Miakinen
Le 30/10/2018 11:32, yamo' a écrit :
L'adresse dont je parlais n'est pas référencée sur ce site. En revanche
mon adresse principale a fuité du site NemoWeb, et apparemment ils n'ont
jamais eu de réponse du responsable du site... du coup, je mets Julien
en copie de ma réponse.
As-tu eu une réaction de sa part?
Oui. En septembre 2016 il a pu y avoir une « fuite de la base de données
de l'ancien serveur de dev qui comportait quelques dizaines de membres.»
Je n'ai pas cherché à en savoir plus.
L'adresse dont je parlais n'est pas référencée sur ce site. En revanche mon adresse principale a fuité du site NemoWeb, et apparemment ils n'ont jamais eu de réponse du responsable du site... du coup, je mets Julien en copie de ma réponse.
As-tu eu une réaction de sa part?
Oui. En septembre 2016 il a pu y avoir une « fuite de la base de données de l'ancien serveur de dev qui comportait quelques dizaines de membres.» Je n'ai pas cherché à en savoir plus. -- Olivier Miakinen
