Forum 4x4

It would take a desktop PC about 22 minutes to crack your password c'est le rdv des hackers! tout ce que j’envoie est aussi vérolé que Kim Kardashian


le mieux que j'ai pu faire : " It would take a desktop PC about 58 sextillion years to crack your password "

Tout le monde va se coucher le soir en fermant soigneusement sa porte à clef
Et pourtant, le même monde sait que sa serrure peut être ouverte en 5 mn par un serrurier pas trop manchot. Cela empêche t il de dormir ?

Idem pour le reste. Faire que ce soit plus dur que la moyenne et mettre le paquet sur ce qui est précieux (coffre ou banque, MdP super hyper ...)


Sans prétention simple, c'est ce qui me semble le mieux

Klug a écrit :Mouais, ça marche pas des masses ça, tous les dictionnaires un peu minimum pas débile font la substitution en l33t 5p34k (https://fr.wikipedia.org/wiki/Leet_speak).

C'est tellement plus simple de faire de l'ingénierie sociale de toutes façons pour récupérer des couples user/pass.
Ou du key-logging.

Le brute force, c'est intéressant (et quasiment réalisable aujourd'hui avec les nouveaux GPU) lorsqu'il s'agit de casser des systèmes de communication soit-disant sécurisés mais configurés avec les pieds (SSL en particulier).

Klug a écrit :C'est tellement plus simple de faire de l'ingénierie sociale de toutes façons pour récupérer des couples user/pass.
Ou du key-logging.

Le brute force, c'est intéressant (et quasiment réalisable aujourd'hui avec les nouveaux GPU) lorsqu'il s'agit de casser des systèmes de communication soit-disant sécurisés mais configurés avec les pieds (SSL en particulier).

Aurais-tu des conseils avisés a ce sujet?

L'ingénierie sociale, c'est pas si compliqué : personne ne doit te demander ton compte/password pour "faire des tests" (ou tout autre raison).
Même pas le "support informatique" en interne (pour les gens qui en ont un dans leur boite).
Ni par téléphone, ni par mail, ni via un formulaire, etc.

Et c'est bien sûr pareil pour toutes les données personnelles diverses et variées.

C'est une extension "dans la vraie vie" de ce qu'on connait sous le terme "phishing" : le mail bidon qui envoie vers un formulaire bidon pour récupérer les infos personnelles.
Quand on reçoit un mail avec un lien, on vérifie qui l'a envoyé (pas ce qui apparait comme prénom/nom d'expéditeur, l'adresse email d'envoi - en général il suffit de poser sa souris sur le champ).
Et on vérifie quel est le vrai lien vers lequel on est envoyé (là encore, pas ce qui apparait dans la barre d'état, le vrai lien).
Si l'URL du lien n'est pas en rapport avec le mail, c'est qu'il y a un souci.

On fout la pression aux fournisseurs/clients/etc pour travailler en https (et bien configuré, sinon ça sert à rien, au contraire), même si les données échangées ne paraissent pas sensibles.
Ca ne coûte presque rien un certificat (et même rien du tout avec un peu de devops et une solution comme LetsEncrypt).
Ce forum par exemple pourrait/devrait être en https...

Et bien entendu, on ne saisit pas d'informations personnelles (user/pass ou numéro de CB ou autre) sur un ordinateur inconnu (hall d'hôtel, etc).
C'est là dessus qu'on trouve le plus de keylogger qui récupèrent tout ce qui est saisit au clavier.

Enfin, on évite les wifi "publics" si on n'a pas un VPN "sûr" (et là, c'est pas la joie non plus : qu'est-ce qui garantit que le fournisseur de VPN n'écoute pas tout ce qui passe dans ses tuyaux ?) posé par dessus.
http://www.zdnet.fr/actualites/avast-pi ... 833154.htm

Klug a écrit :L'ingénierie sociale, c'est pas si compliqué : personne ne doit te demander ton compte/password pour "faire des tests" (ou tout autre raison).
Même pas le "support informatique" en interne (pour les gens qui en ont un dans leur boite).
Ni par téléphone, ni par mail, ni via un formulaire, etc.

me souviens d'un type qui m'a tenu la jambe pendant une heure au téléphone (j'avais le temps et il était amusant), m'appelant de la part de microsoft parce que mon ordinateur leur envoyait plein de messages comme quoi il était tout plein de virus, le pauvre.

Du coup, microsoft avait mis en route ses moyens de recherches pour trouver mon numéro de téléphone et me sauver.

j'ai passé une heure demander au type de me prouver qu'il travaillait bien pour microsoft, le gars m'a fait aller dans des endroits improbables dans mon pc pour me faire obtenir un code débile (probablement le même dans tous les ordis), et après mon insistance à vouloir une VRAIE preuve, a fini par me conseiller "go screw your wife" (parce qu'évidemment, le type parlait anglais - avec un accent indien - microsoft n'ayant pas les moyens de me faire appeler par microsoft suisse) avant de me raccrocher au nez

j'ai eu l'impression d'aider l'humanité, combien de pigeons aurait-il pu arnaquer pendant l'heure qu'il a perdu avec moi

Klug a écrit :Et bien entendu, on ne saisit pas d'informations personnelles (user/pass ou numéro de CB ou autre) sur un ordinateur inconnu (hall d'hôtel, etc).
C'est là dessus qu'on trouve le plus de keylogger qui récupèrent tout ce qui est saisit au clavier.

par bonheur, je n'utilise pas ce genre de trucs...
en revanche, j'ai toujours sur moi une clé usb avec des documents possiblement importants (papiers, polices d'assurance, etc.) dans des fichiers truecrypt, et true crypt windows, mac et linux sur la même clé, au cas où

donc problème si je dois avoir accès à ces données... faudrait changer mes mots de passe droit derrière...

Klug a écrit :Enfin, on évite les wifi "publics" si on n'a pas un VPN "sûr" (et là, c'est pas la joie non plus : qu'est-ce qui garantit que le fournisseur de VPN n'écoute pas tout ce qui passe dans ses tuyaux ?) posé par dessus.http://www.zdnet.fr/actualites/avast-pi ... 833154.htm

et t'as une idée, pour un vpn fiable?
hma?
vypr?
autre?

Cosaque a écrit :par bonheur, je n'utilise pas ce genre de trucs...

On n'a pas toujours le choix 8-/
Genre les hôtels sans wifi à la campagne et sans 3G non plus...
Cela dit, ces ordinateurs là sont en général mal configurés (BIOS non bloqué) et on peut les booter sur une clef USB (justement) avec un Tails (ou autre) dessus..

Cosaque a écrit :et t'as une idée, pour un vpn fiable?
hma?
vypr?
autre?

AMHA, pas besoin d'aller chercher à l'étranger : son propre serveur/VPS chez un hébergeur comme OVH ou Online, pour ce besoin, ça va bien.
Moi je triche, j'ai un EdgeRouter Lite dans ma baie qui sert de terminateur VPN pour la maison et les devices en promenade...

Klug a écrit :...
Ce forum par exemple pourrait/devrait être en https...

k:

Cosaque a écrit :


et t'as une idée, pour un vpn fiable?
hma?
vypr?
autre?

les vpn je m y suis interessé un moment juste pour mon info perso il y avait lui qui avait retenu mon attention https://vpnfacile.net

pas cher a l année et en francais

je ne sais pas se que sa vaut klug pourra surement t en dire plus dessus

je peux dire une connerie ?


google steet c'est pas google trail