[Whinette]

Fort heureusement, il s'agit d'un vieux compte inactif avec rien d'important dessus, mais dont le password était faible.
J'ai bien entendu fait une batterie de test depuis pour voir si ça pouvait provenir d'une compromission de mon poste, mais c'est négatif. Le password faible me fait pencher vers l'attaque bruteforce / rainbow table.

Fait rigolo, on ne m'a rien niqué, juste envoyé 4 spam avec. :<

C'était un simple message informatif. Ne vous contentez pas d'un pwd faible (6 caractères ~ 36 bits) si votre mail / compte vous est un minimum important.

[Discworld]

Il m'est arrivé à peu près la même chose, du coup j'ai changé mon mdp, avec mon code pour mon site bancaire, on sait jamais.

[Attel Malagate]

Citation :

Publié par Discworld

Il m'est arrivé à peu près la même chose, du coup j'ai changé mon mdp, avec mon code pour mon site bancaire, on sait jamais.

D'ailleurs, j'ai halluciné quand j'ai dû faire mon mot de passe pour checker mon compte bancaire par internet : le mot de passe on pouvait mettre que des chiffres, et pas de lettres, en plus il fallait pas qu'il soit trop long. De la part d'un site bancaire je m'attendais à mieux.

A ce propos, j'ai un lien intéressant sur le français qui a piraté tweeter, y'a un interview où il explique sa méthode :
http://www.zataz.com/news/19125/Renc...e-Twitter.html
En résumé, à la base il a piraté un compte email d'un employé de facebook en répondant à la question secrète. En faisant beaucoup de recherche sur la personne, il a pu répondre à la question.
En général, vaut mieux éviter de remplir la question secrète.
L'autre connerie qu'à fait l'employé de tweeter c'est que d'une adresse à l'autre, ses mot de passe variés très peu.

Pour vérifier la solidité d'un mot de passe, utiliser ça : http://www.passwordmeter.com/

[Chihiro IRL]

Citation :

Publié par Attel Malagate

Pour vérifier la solidité d'un mot de passe, utiliser ça : http://www.passwordmeter.com/

Oui, m'enfin ça peut induire en erreur quand même.
&é"'(-è_ est vachement évident comme mot de passe mais il est classé dans le "very strong" à 100%.

[Attel Malagate]

Citation :

Publié par Tsuki-kun

Oui, m'enfin ça peut induire en erreur quand même.
&é"'(-è_ est vachement évident comme mot de passe mais il est classé dans le "very strong" à 100%.

C'est un problème en effet.
Je crois que c'est dû au fait que ce soit un site américain, ils devraient mettre une option pour les claviers dvorak et azerty. De tel façon que les lettres qui se suivent sur les claviers non qwerty soient pris en compte.
De plus pour eux é è à ç sont des lettres exotiques pas présentes directement sur leur clavier, ça fait augmenter artificiellement la sécurité d'un mot de passe francophone.

Mais disons qu'avec ce site on comprend les principes d'un mot de passe sûr :
Alterner majuscules, minuscules, chiffres, signe de ponctuation,etc...

Le problème c'est de s'en souvenir. Et vu la multitude de mot de passe qu'on a aujourd'hui...

[Whinette]

J'utilise keepass pour les générer et les garder en lieu sur. Le problème est de se souvenir du pwd pour accéder à la DB, et de ne pas perdre la DB / le fichier clé associé à la DB.

Testez ce logiciel si vous avez un peu de temps, c'est difficile de revenir en arrière après. =)

Concernant les questions secretes, j'avais l'habitude de les forger de moi même en mettant des réponses totalement aléatoires (du genre : zaetigapbràé_"('hé"z3Ydfgaob). Le souci c'est si on perds l'accès au compte en question, c'est assez la merdouille parfois.

[Soroia]

On doit avoir le même hackeur... Ça me saoule plus parce que c'est mon adresse principale.

[Protux]

Je me sens moins seul x)

[Hadrian]

p@m@L les gars

[Eno]

Ceux qui ont un debian-like y'a un utile sympa pour général des nombres alétoires avec le /dev/random :
( il faut juste installer apg )

Citation :

mail:~# apg -a 1
P/h_)Mi`G
+j6%G<mO@W
1{Z3dTuv#!
{?b-V_W:
he@iT'jaA
y#W/'pZ*2X

Y'a pleins d'options, vous pouvez spécifier un mdp prononçable ect ...

Citation :

mail:~# apg -a 0
trorryeo
sninEibDad
SnikFarmAs
Rearcyepyu
oohacsOw
EmlatvajAn

[K-Lagan]

Vous me faites peur, je me suis connecté et moi j'ai eu ça

Faut que je fasse un test, parce que je me connecte souvent a partir de mon Gphone, c'est peut être pour ça.

[K-Lagan]

Bon j'ai ma réponse, pour une raison que j'ignore, quand je me connecte de chez moi, ça m'indique ip indisponible, alors que par mobile, ça apparaît sans soucis

[adorya]

Il me semble avoir lu que le meilleur compromis et de coder une phrase que l'on se souviendrait personnellement avec quelques variations à intervalles réguliers, vu que les mots de passe trop compliqués serait betement noté dans un fichier texte/stick sur le pc.

[Sorine]

Citation :

Publié par Attel Malagate

C'est un problème en effet.
Je crois que c'est dû au fait que ce soit un site américain, ils devraient mettre une option pour les claviers dvorak et azerty. De tel façon que les lettres qui se suivent sur les claviers non qwerty soient pris en compte.
De plus pour eux é è à ç sont des lettres exotiques pas présentes directement sur leur clavier, ça fait augmenter artificiellement la sécurité d'un mot de passe francophone.

En même temps c'est la même chose du point du vue du hackeur, il est probablement en clavier qwerty et utilise des methodes/logiciels qui suivent la même logique, donc en fin de compte ce site est plutôt dans le vrai.

Perso j'aime bien le générateur de mdp de daoc, on mémorise le mdp en allant jouer et après on a un mdp 8 caractères sécurisé

[gravensky]

J'ai eu le même soucis, un connexion depuis la chine qui a utilisé mon compte pour envoyer un mail de pub à chacun de mes contacts...

J'ai changé de mot de passe pour un plus solide mais gros coup de frayeur quand même.

[Lyderia]

Un password en leetspeak est très difficilement trouvable. Du genre :

Citation :

P4SSW0RD30UF

Tous mes comptes, que ce soit JoL, Steam, etc sont en leetspeak, c'est facile à retenir et impossible à déchiffrer.

[Dravel]

Merci pour ce sujet en tous cas.
Utilisant énormément gmail (et gdoc dans une moindre mesure) pour gérer tous mes contacts qu'ils soient privés ou universitaires, ce serait catastrophique pour moi de me faire hacker. Ne serait-ce qu'un bête spam envoyé à des profs serait pour le moins embêtant, d'autant plus que mon adresse universitaire est "reliée" à mon compte gmail.
Ca fait peur, vous êtes quand même 5 sur ce post à avoir eu le soucis, c'est énorme.

Du coup je suis devenu parano et j'ai adopté un mot de passe à 12 caractères, comprenant des chiffres, des lettres avec majuscules/minuscules et un "!", ce qui me donne 100% de résistance sur le site donné plus haut, pour au final un mdp facile à retenir pour moi mais dont je suis le seul à comprendre la logique

Mes mots de passe ressemblent à 4(ç'ifdh87/*$£=)°]ÀDF('€ÃzboÄ{☺#
"Ultra high security" qu'ils me mettent.
Sinon, je me suis fait hacker plusieurs fois, mais c'est quelqu'un qui est venu directement sur mon pc pour prendre les mdp.

[Dravel]

Mais dans ce cas tu es obligé de faire du copié-collé, non ?
Ou alors tu arrives vraiment à te souvenir d'un code pareil ?

[Gorion]

Il y a a des gestionnaires de mot de passe. Personnellement, j'utilise Kwallet.

Citation :

Publié par Dravel

Mais dans ce cas tu es obligé de faire du copié-collé, non ?
Ou alors tu arrives vraiment à te souvenir d'un code pareil ?

En fait, j'utilise une méthode de cheminement
Par exemple, le code suivant :
QwZsDcRfGbYhJ,IkL:Pm%
Essaye de regarder l'emplacement des caractères dans l'ordre, tu verras que c'est facile à retenir.

[Attel Malagate]

Le problème avec ta méthode, c'est qu'elle utilise une forme de mémoire gestuelle.
Si tu l'utilises pas pendant un moment, y'a le risque de carrément oublier les gestes à effectuer. Et le mot de passe en lui même, tu l'auras oublié.

Citation :

Publié par Sorine

En même temps c'est la même chose du point du vue du hackeur, il est probablement en clavier qwerty et utilise des methodes/logiciels qui suivent la même logique, donc en fin de compte ce site est plutôt dans le vrai.

C'est vrai.
Je connais pas les méthodes qu'utilisent les hackeurs, par contre ils sont tenace, inventif et malin. Y'en a bien un qui auras mis au point un soft de craquage de mdp en prenant en compte la spécificité des claviers de la cible.

[Slumdog]

C'est marrant mais à vous lire j'ai l'impression que c'est quelque chose d'assez généralisé ces derniers jours.
J'ai moi-même constaté une utilisation frauduleuse d'un très ancien compte Yahoo hier (pour du spam chinois également). Le mot de passe n'était vraiment pas fiable (6 chiffres, difficile de faire pire, à ma décharge je dirais que c'est le premier compte mail que j'avais créé il y a au moins une douzaine d'années) mais c'est la première fois que je constate un problème.
PC totalement clean donc probablement une attaque brute force/par dictionnaire.

[Whinette]

Ce que je trouve dingue c'est que les webmail ne se mettent pas en sécurité après disons 10 ou 15 essais infructueux.*

*je parle par expérience, la dernière fois que j'ai utilisé gmail en dehors de mes clients, j'ai du faire une 50ène de tentative avant de retrouver le pwd associé à la boite en question. Juste des captcha de plus en plus relou ...

[Xubfin]

La section "Dernière activité sur le compte" est accessible si gmail ne nous a pas signalé d'activité suspecte ? Parce que je ne la vois pas dans les paramètres.