Skip to main content
Pourra t on un jour espérer un upgrade de vos serveurs pour améliorer nos mots de passe à plus de 8 charactères et comprenant les charactères hors alphabet?
Question de sécurité! Où est le problème?



Les pirates ont des logiciels très puissant! Un caractère hors alphabet permet d'allonger le temps du scanning (1 unité en plus par milliseconde) pour trouver ton mot de passe!
question de sécurité? on est sérieux ?

un unité par millisecodne? Gars je sais pas où tu travailles mais visiblement pas au même endroit que moi et je voudrais certainement pas y travailler.

Alors deux choses, soit la base de données est piratée et est volé auprès de proximus, soit le mot de passe a pu être deviné via botnet.

Premier scénario, vol de la base de données:

Suivant l'encryptage de la pase de données en espérant que les ingés soient pas trop cons ils auront au moins pris du sha 1 salted vu la sensibilité des infos. Dans ce cas là, à moins évidemment que ces braves pirates comme tu dis aient un ordi quantique comme celui de la coopération entre la NASA et google, ils vont mettre quelques milliards d'années à décoder la base de données sachant qu'en plus ils auront pas une farm d'ordis à disposition puisque tu dois le décoder en physique et ici faire du grid computing me parait bien bien compliqué sachant que ça suppose que sur la totalité de la farm de botnets ils auraient des lignes T1 pour pouvoir dispatcher le travail efficacement et avoir suffisamment de bande passante pour échanger les essais erreurs entre tous les sites de stockage où ils auraient hypothétiquement répartis les copies de la base de données pour répartir la charge de travail.

petit lien d'information pour le commun des mortel: https://haveibeenpwned.com/

Alors en effet dans le cas où les pirates auraient la base de données et arriveraient potentiellement à la décoder en effet la longueur et la complexité du mot de passe ne changerait à ma connaissance rien. A moins que la base de données en plus d'être encryptée globalement, chaque champ serait encrypté sur base du mot de passe du client et alors là en effet il y aurait un effet car en fonction de la complexité du mot de passe et sa longueur, le facteur aléatoire du codage d'encryptage va faire varier bcp plus la clé cryptée qui en résultera.

Petit effet pratique de cela que l'on peut constater, l'exemple du bitcoin avec les récentes études sur la concentration de données concernant des échanges en chine qui permettent du coup de commencer à décoder un peu plus la clé de cryptage.

Deuxième scénario: utilisation de botnet (dans le meilleur de cas) pour attaquer les serveurs de proximus et deviner le mot de passe d'un utilisateur en particulier

Si par malheur les ingé de proxi sont des idiots complets, ils n'auront pas protégé leur serveur concernant les attaques distribuées en mettant en place par exemple un filtre d'adresse ip, nombre d'essai à l'heure, bannissement des ip concernées sur plusieurs jours (et ça c'est encore le BABA parce qu'il existe encore bien des techniques). Donc du coup si tu allais voir intelligemment sur https://www.safeonweb.be/fr/test-mot-de-passe (ne fut-ce que là mais tu aurais pu aller voir la doc de lastpass, ou autre expert en sécurité) tu aurais vu que la maintenant en tant que tel sur une attaque distribuée ça prend exactement 15 minutes pour 8 caractères sans caractères ambigus.

Maintenant regardons, avec mes mots de passes minimum 25 caractères tout caractères confondus(la plupart des sites les autorisent de nos jours): 2×10^27 millénaires

oh mais dis donc 😛 c'est un peu différence que tes une unité en plus par millisecondes hein 😛

ET si tu commençais par arrêter de raconter de la merde et peut-être défendre ton point de vue en contextualisant un petit peu plus, parce que j'espère quand même que tu entrevoyais un troisième scénario?



Donc oui excuse moi mais ça me semble important que pour nos mots de passes mails qui peuvent renfermer des informations importantes, ça soit un tout petit peu mieux protéger que ça...

Donc si c'est pour dire de la merde, abstiens toi stplait merci
ET FYI je parlais des mail account pas d'autre chose ^^



ET juste n'enfonce pas des portes ouvertes comme ça, genre tu as l'impression d'être intelligent quand tu le dis. Quand tu affirmes quelque chose tu le prouves et tu partages ta connaissance. A moins évidemment que tu aies 15 ans d'âge mental et là c'est différent ? Mais des logiciel très puissant.... Oh my god, tu dois pas traîner souvent sur TOR toi pour dire une connerie pareil et de façon aussi vague que celle-là. Apprends déjà à utiliser KAli correctement pour cracker une clé wep et puis peut-être que ça te donnera une idée un peu plus clair sur ce qu'est le fait de pirater quelque chose pour dire la connerie monumentale qu'ils utilisent des "logiciels très puissants" ^^ à d'autres stplait
ET donc ma question reste, j'aimerais savoir si un jour on peut espérer un upgrade des server mail de proximus pour remplacer ces vieux password tout pourris à 8 caractères par quelque chose d'un peu plus complexe et long? Si quelqu'un de proximus pouvait me répondre, ça serait sympa.
Bonjour vigilian,



Nous n'avons pas d'informations en ce sens. Nous allons poser la question en interne vers le service le plus apte à répondre et reviendrons vers vous une fois la réponse connue.



Bien à vous,



Jean-Luc
Merci beaucoup

Bien à vous
Bonjour Vigilian,



J'ai reçu une réponse ce jour me disant qu'il est prévu dans le courant de l'année de passer à max 31 caractères et que des caractères spéciaux seront aussi acceptés. Je n'ai pas de date précise à vous communiquer malheureusement.



Bien à vous,



Jean-Luc
Ce n'est pas un souci, c'est déjà un grand pas que le service IT ait décidé de se mettre up-to-date.

Merci beaucoup pour votre aide.

Commenter