Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Linux Autres OS Linux Debian Security breach on the Debian wiki 2012-07-25

Security breach on the Debian wiki 2012-07-25

4 réponses
Avatar
Alain Vaugham
Bonjour la liste,

En r=C3=A9sum=C3=A9, le fichier contenant les mots de passe des utilisateur=
s du
wiki Debian a =C3=A9t=C3=A9 vol=C3=A9. Il leur est conseill=C3=A9 d'agir en=
cons=C3=A9quence.
Les d=C3=A9tails sont ici :
http://wiki.debian.org/DebianWiki/SecurityIncident2012

Partout il est indiqu=C3=A9 qu'un mot de passe _"solide"_ doit faire au moi=
ns
8 caract=C3=A8res, si ce n'est pas 12, comporter des chiffres, des
majuscules, des minuscules plus d'autres caract=C3=A8res que l'on peut
choisir parmi la bonne trentaine qui sont disponibles sur nos claviers
azerty dont les caract=C3=A8res de ponctuation... et changer ce mot de passe
tous les trois mois.

Donc si les mots de passe sont _"solides"_, =C3=A7a laisse combien de temps
de tranquillit=C3=A9 par rapport aux techniques de craquage actuelles
qui vont s=C3=BBrement =C3=AAtre utilis=C3=A9es pour faire parler ce fichie=
r vol=C3=A9?
Exprim=C3=A9 diff=C3=A9remment : avec les techniques actuelles, est-ce qu'i=
l faut
moins de trois mois pour casser le hash=C3=A9 d'un mot de passe _"solide"_?

--=20
Alain Vaugham
Clef GPG : 0xD26D18BC

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20130107025415.7cf1746b@mach07.localdomain
Signaler un problème avec ce contenu

4 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
Bzzz
On Mon, 7 Jan 2013 02:54:15 +0100
Alain Vaugham wrote:


Donc si les mots de passe sont _"solides"_, ça laisse combien de tem ps
de tranquillité par rapport aux techniques de craquage actuelles
qui vont sûrement être utilisées pour faire parler ce fich ier volé?
Exprimé différemment : avec les techniques actuelles, est-ce qu 'il faut
moins de trois mois pour casser le hashé d'un mot de passe _"solide" _?



Sans doute que les p/w ont des hashes MD5 et pas SHA-128 ou plus.

--
<CompuMan> La tragédie du Canada c'est qu'ils auraient pu avoir
la culture britannique, la cuisine française et la
technologie américaine, mais ils ont eu la culture
américaine, la cuisine britannique et la technologie
française.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
David Prévot
This is an OpenPGP/MIME signed message (RFC 2440 and 3156)
--------------enig62CB26D98A400E2F54824A90
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Salut,

Le 06/01/2013 22:02, Bzzz a écrit :
Sans doute que les p/w ont des hashes MD5 et pas SHA-128 ou plus.



Assomption incorrecte.

Le 06/01/2013 22:42, Luca Filipozzi a écrit :
moin 1.9.x uses SSHA (salted SHA1):

http://moinmo.in/MoinMoin2.0/SecurePasswordStorage



http://lists.debian.org/debian-www/2013/01/msg00030.html

Amicalement

David



--------------enig62CB26D98A400E2F54824A90
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
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=nwNK
-----END PGP SIGNATURE-----

--------------enig62CB26D98A400E2F54824A90--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/kcdfmd$l6s$
Avatar
Bzzz
On Sun, 06 Jan 2013 23:33:31 -0400
David Prévot wrote:


Assomption incorrecte.

Le 06/01/2013 22:42, Luca Filipozzi a écrit :
> moin 1.9.x uses SSHA (salted SHA1):
>
> http://moinmo.in/MoinMoin2.0/SecurePasswordStorage

http://lists.debian.org/debian-www/2013/01/msg00030.html" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/debian-www/2013/01/msg00030.html



C'est pas beaucoup mieux, SHA-1 s'est aussi fait
péter la rondelle depuis un moment.

--
BOFH excuse #314:
You need to upgrade your VESA local bus to a MasterCard local bus.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
mouss
Le 07/01/2013 05:07, Bzzz a écrit :
On Sun, 06 Jan 2013 23:33:31 -0400
David Prévot wrote:

Assomption incorrecte.

Le 06/01/2013 22:42, Luca Filipozzi a écrit :
moin 1.9.x uses SSHA (salted SHA1):

http://moinmo.in/MoinMoin2.0/SecurePasswordStorage


http://lists.debian.org/debian-www/2013/01/msg00030.html" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lists.debian.org/debian-www/2013/01/msg00030.html


C'est pas beaucoup mieux, SHA-1 s'est aussi fait
péter la rondelle depuis un moment.




les recommandations actuelles sont SHA256 et SHA512. et ce dernier étant
plus rapide sur archi 64 bits, je ne vois pas de raison de faire un
autre choix.
(oui, y a désormais SHA-3, mais on va attendre!).

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/