Security breach on the Debian wiki 2012-07-25
Le
Alain Vaugham

Bonjour la liste,
En résumé, le fichier contenant les mots de passe des utilisateur=
s du
wiki Debian a été volé. Il leur est conseillé d'agir en=
conséquence.
Les détails sont ici :
http://wiki.debian.org/DebianWiki/SecurityIncident2012
Partout il est indiqué qu'un mot de passe _"solide"_ doit faire au moi=
ns
8 caractères, si ce n'est pas 12, comporter des chiffres, des
majuscules, des minuscules plus d'autres caractères que l'on peut
choisir parmi la bonne trentaine qui sont disponibles sur nos claviers
azerty dont les caractères de ponctuation et changer ce mot de passe
tous les trois mois.
Donc si les mots de passe sont _"solides"_, ça laisse combien de temps
de tranquillité par rapport aux techniques de craquage actuelles
qui vont sûrement être utilisées pour faire parler ce fichie=
r volé?
Exprimé différemment : avec les techniques actuelles, est-ce qu'i=
l faut
moins de trois mois pour casser le hashé d'un mot de passe _"solide"_?
--
Alain Vaugham
Clef GPG : 0xD26D18BC
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20130107025415.7cf1746b@mach07.localdomain
En résumé, le fichier contenant les mots de passe des utilisateur=
s du
wiki Debian a été volé. Il leur est conseillé d'agir en=
conséquence.
Les détails sont ici :
http://wiki.debian.org/DebianWiki/SecurityIncident2012
Partout il est indiqué qu'un mot de passe _"solide"_ doit faire au moi=
ns
8 caractères, si ce n'est pas 12, comporter des chiffres, des
majuscules, des minuscules plus d'autres caractères que l'on peut
choisir parmi la bonne trentaine qui sont disponibles sur nos claviers
azerty dont les caractères de ponctuation et changer ce mot de passe
tous les trois mois.
Donc si les mots de passe sont _"solides"_, ça laisse combien de temps
de tranquillité par rapport aux techniques de craquage actuelles
qui vont sûrement être utilisées pour faire parler ce fichie=
r volé?
Exprimé différemment : avec les techniques actuelles, est-ce qu'i=
l faut
moins de trois mois pour casser le hashé d'un mot de passe _"solide"_?
--
Alain Vaugham
Clef GPG : 0xD26D18BC
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20130107025415.7cf1746b@mach07.localdomain
Alain Vaugham
Sans doute que les p/w ont des hashes MD5 et pas SHA-128 ou plus.
--
<CompuMan> La tragédie du Canada c'est qu'ils auraient pu avoir
la culture britannique, la cuisine française et la
technologie américaine, mais ils ont eu la culture
américaine, la cuisine britannique et la technologie
française.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
--------------enig62CB26D98A400E2F54824A90
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
Salut,
Le 06/01/2013 22:02, Bzzz a écrit :
Assomption incorrecte.
Le 06/01/2013 22:42, Luca Filipozzi a écrit :
http://lists.debian.org/debian-www/2013/01/msg00030.html
Amicalement
David
--------------enig62CB26D98A400E2F54824A90
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)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=nwNK
-----END PGP SIGNATURE-----
--------------enig62CB26D98A400E2F54824A90--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/kcdfmd$l6s$
David Prévot
C'est pas beaucoup mieux, SHA-1 s'est aussi fait
péter la rondelle depuis un moment.
--
BOFH excuse #314:
You need to upgrade your VESA local bus to a MasterCard local bus.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
les recommandations actuelles sont SHA256 et SHA512. et ce dernier étant
plus rapide sur archi 64 bits, je ne vois pas de raison de faire un
autre choix.
(oui, y a désormais SHA-3, mais on va attendre!).
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/