3. 10 bad practices de Password
1
2
3
4
5
6
7
8
9
10
password123*
sqli
P@ssw0rd
login=mdp
donald2004
par email
dans un wiki
txt dans /var
par sms
post-it sur l’écran
5. Selon une étude ...
En moyenne, 37
procédures “mot de
passe oubliés” par
boite mail
En moyenne, 24
mots de passe en
clair par boite mail
En 2020, jusqu’à
184 mots de passe
par français
7. Les techniques de hackeurs
sont DE PLUS EN PLUS
évoluées !
WARNI
NG!
Apprenezàconnaîtrevotre
ennemi
8. “80% of security incidents are due to poor
password management policies.”
~ Trustwave
9. En 2012, il fallait moins de 6 heures avec un de ces
serveurs pour cracker un mot de passe de 8 caractères
10. Force brute en 2017
6 caractères dont 1
symbole
10 caractères dont 1
symbole
Nombre de combinaisons > 7 Billions (10¹²) 173 trilliards (10²¹)
Temps de crack
[Online]
2 siècles 54 millions de siècles
Temps de crack
[Offline - High Powered Desktop]
1 minute 54 années
Temps de crack
[Offline - High Performance
0,07 secondes 3 semaines
11. Mots de passe en équipe
Partager les mots
de passe
Contrôler les accès Gérer les cycles de
vie
15. Libre
Distribué sous license Affero GPL v3.0. Solution Cloud ou On-premise
Standards de sécurité ouverts
Fournit un code testé et auditable avec un modèle de sécurité basé sur OpenPGP
Extensible
Peut-être intégré avec des outils tierces (emails; navigateurs, ...) en utilisant l’API
Construit pour les équipes
D’abord désigné sur les fonctionnalités de partage collaboratif
Ses valeurs
16. Focus sur la Sécurité
Open PGP Authentification
renforcée
Composants
audités
Etude de Dashlane de Juillet 2015 effectuée sur 23 000 utilisateurs du service Dashlane scan, outil d’audit de boite mail
Français sont mauvais : réuse de 9 services pour le même mot de passe en moyenne
Nous utilisons des mots de passe courts et simples :
Nos mots de passe sont influencés par nos doigts et notre clavier
Nous laissons des indices partout
Nous nous pensons intelligents
Nous utilisons fréquemment les réseaux Wi-Fi publics
Nous ne suprimons jamais nos vieux emails
Icon Death star : clubpenguin.wikia.com
Techniques :
Récupération de dictionnaire de hash
Leet rajoute que 10 combinaisons sur chaque lettre (et encore il y a des recouvrements) et en règle générale on ne leet que 5,6 caractères
Les puissances de calcul augmentent notamment grâce aux GPU
En utilisant une carte graphique GeForce GTS250, il est possible de dépasser le milliard de combinaisons testées à la seconde pour des hashes de type MySQL
Les statistiques / ML permettent d’ajouter des restrictions et règles :
Position sur le clavier / Clavier en fonction de la langue (95 combinaisons sur un clavier US, 124 sur un clavier français)
Contrainte du mobile aujourd’hui : moins de caractère pour une utilisation plus simple en mobilité
De 4 à 5 secondes pour taper un mot de passe de 10 caractères sur un clavier standard d'ordinateur, il faudrait entre 7 et 30 secondes pour faire la même chose depuis un smartphone tactile.
Souvent Majuscule en début, chiffre à la fin, ou une lettre sur 2, ou ...
Utilisation de protocole sans Fail2Ban : SMTP
Trustwave Société qui offre du conseil en stratégie sécurité numérique
Radeon-city - Cluster de GPU
Online with webapp hitting a target with 1 000 hit/sec
Offline using high-powered servers or desktops (one 100 000 000 000 guesses/second - 100 Milliards hits/second):
Offline using massively parallel multiprocessing clusters or grid (1 Billion - 1 000 Milliards guesses per second)
Toujours d’après les études de Dashlane, 78% des gens reconnaissent avoir déjà partagé un mot de passe avec un collègue
Keepass :
Online possible avec complément avec dropbox avec chiffrement de l’archive
Open source en GPL v2
Portable
Plugins : Agent Putty SSH, Liaison firefox, quality column
Problème de la gestion de groupe : pas de restriction possibles sur une partie du vault
Lastpass :
Online only
Gratuit uniquement pour particuliers
Protection par Mot de passe maitre
Hack en Juin 2015 et 2 courant 2016 dont un a fait l’objet d’une récompense
Dashlane
Online & Offline
Héritage numérique
Délégation en cas d’urgence
RFC 4880
Gnu Privacy Guard dans l’installation
Infrastructure Public Key Servers : http://pgp.mit.edu/
Audit openpgp.js par la team Cure53
Indiquer les futures fonctionnalités surtout celles qui manquent