Antichesse (o ^ω^ o)
Je lis cet n-ième article qui annonce la mort des mots de passe et fait l'éloge des passkeys, c'est-à-dire des périphériques qui contiennent le secret qui va bien pour s'authentifier.
Problème, il faut verrouiller le périphérique en cas de perte ou de vol pour que seul son propriétaire puisse l'utiliser et que dit le site alors :
Il peut s'agir d'un déverrouillage biométrique (reconnaissance faciale, empreinte digitale), d'un code PIN, d'un schéma…
Et les deux dernières solutions sont ni plus ni moins que des mots de passe... L'autre étant un moyen irrévocable en cas de vol #FacePalm.
J'adore aussi le fait que l'article prétende que les keepass sont des outils faillibles par nature tout en sous-entendant que les passkeys ne le seraient pas eux parce que juste la magie des passkeys #FacePalmBis
J'espère qu'il s'agit d'une publicité déguisée en article.
Redisons-le, la façon la plus sûr de se connecter à quelque chose est :
Le mot de passe ultra-complexe stocké dans un keepass lui-même dans un endroit sécurisé + une double authentification via un autre périphérique en xOTP + que des logiciels libres et algos publics utilisés dans tout le process.
Et évidemment, les deux moyens étant révocables en cas de vol/perte c'est parfait, le reste c'est de l'arnaque selon moi.
J'avais vu l'info l'an passé et comme depuis l'arrivée de ma petite dernière je ne contribuais à plus rien je ne m'étais pas mise à jour. En substance, le push via mot de passe ne fonctionne plus sur github.com. Il faut générer un token et s'en servir à la place.
Le lien décrit la manipulation à suivre.
« Il n'y a pas de manifestation physique d'un mot de passe, contrairement à un échantillon d'écriture manuscrite, une prise de sang ou une voix exemplaire. Comme un mot de passe est nécessairement mémorisé, on ne peut pas révéler un mot de passe sans révéler le contenu de son esprit. En effet, un mot de passe pour un ordinateur est, de par sa nature, intentionnellement personnalisé et si unique qu'il permet d'atteindre l'objectif pour lequel il a été conçu, à savoir préserver la confidentialité des informations qu'il contient et les protéger de la divulgation ». « Par conséquent, nous estimons que le fait d'obliger l'appelant à révéler un mot de passe à un ordinateur est un témoignage de nature testimoniale ».
Les USA avancent dans le bon sens sur ce point : la protection du droit de ne pas témoigner contre soi-même.
Certes c'est horrible que toute l'histoire protège un pédophile mais il faut bien comprendre que tolérer une simple et bénigne exception serait le début de l'obligation à témoigner contre soi-même. C'est comme la peine de mort si vous préférez, même s'il y a un risque infime de tuer un innocent, c'est purement et simplement trop grave pour la garder. Là c'est pareil, même s'il y a une chance infime qu'une dictature renverse le principe de la charge de la preuve, c'est trop grave pour tenter quoi que ce soit.
P.S : aux trois juges qui ont voté pour la divulgation du mot de passe, je vous haie sans même vous connaître.
Globalement pour faciliter le SSO, l'authentification à deux facteurs et se prémunir contre certaines attaques.
Via Eorn.
Pour @Animal
We found that in all password managers we examined, trivial secrets extraction was possible from a locked password manager, including the master password in some cases, exposing up to 60 million users that use the password managers in this study to secrets retrieval from an assumed secure locked state. Password Manager, Encryption, Windows Memory Model, Memory Forensics, Key Derivation Function (KDF), Malware, Reverse Engineering, Master Password, Key Logger, Process Memory, Control Flow Analysis, SGX.
Bon apparemment, l'état des gestionnaires de mots de passe n'est pas brillant, même Keepass 😖😥😭.
WebAuthn promet de remplacer le bon vieux mot de passe par le capteur d'empreinte de votre ...
ALERTE BULLSHIT !!!
WebAuthn tente de vendre de l'identification pour de l'authentification. Pour rappel, l'identification c'est qui vous êtes, vos empreintes, votre visage, votre rétine, votre ADN. Rien de ceci n'est révocable. Si on vous le vol, vous ne pouvez pas en changer puisque c'est votre identité, ça coule dans vos veines.
L'authentification, c'est la preuve que celui qui se pointe avec votre ADN ou vos empreintes (choses que vous laisser traîner un peu partout, comme vos cheveux parterre ou vos doigts sur une table), soit bien la personne qui a créé un compte à partir de cette identité à l'origine.
Par essence, l'authentification doit être révocable. Si celle-ci vous est volée, vous devez pouvoir en changer facilement. Essayez de changer d'ADN ou vos empreintes digitales pour voir... En 2500 ans, le seul truc qui répond à ces critères, c'est le mot de passe.
Quid du fait que WebAuthn vous obligera, à cause de son fonctionnement intrinsèque, à communiquer vos données biométriques à un tiers ?
Point Godwin : je vous laisse deviner quel état totalitaire aurait adoré disposer de ce genre d'information pour faire avancer sa "solution finale".
# N.B : le $6$ dans le sel signifie utiliser l'algorithme SHA-512. $5$ c'est SHA-256 par exemple
# Et le sel doit finir par Salt$
python -c 'import crypt; print crypt.crypt("MON_MOT_DE_PASS", "$6$MON_SELSalt$")'Une info complémentaire, si tous tes répos Git sont accessibles avec le même mot de passe, tu peux taper ceci à la place :
git config --global credential.helper storeCopyright : Il s'agit de la trouvaille de Lapinferoce
Pour comprendre
Quand votre Maven doit se connecter un à Nexus vous devez modifier son fichier settings.xml en lui ajoutant les infos qui vont bien. Plus précisément celles-ci :
<server>
<id>my-wunder-nexus</id>
<username>my-login</username>
<password>my-password</password>
</server>Quel est le problème ?
Il est triple :
1) Vous êtes une feignasse qui a la flemme de chiffrer ses mots de passe.
2) Le XML de Maven interdit le caractère '&' qu'il interprète comme le & de HTML (c'est-à-dire celui pour faire des é, è etc)
3) Ce n'est pas vous qui avez choisi ce mot de passe, il s'agit d'un compte de service et donc, il est très difficilement modifiable.
C'est quoi donc la solution ?
Prenons le mot de passe fictif : TastyPie&43. On remarque clairement l’esperluette qui ne passera pas... Sauf si l'on écrit ceci :
<server>
<id>my-wunder-nexus</id>
<username>my-login</username>
<password><![CDATA[TastyPie&43]]></password>
</server>Vous avez compris ? En réalité, le fichier settings.xml de Maven est interprété comme un fichier HTML, en conséquence il est possible d'y injecter des data brutes contenant n'importe quoi.
#BeauGoss Lapinferoce
Un article sur Keepass et les gestionnaires de mot de passe. Pour toi Animal, le hasard fait bien les choses.
Faut voir
Les bonnes pratiques pour calculer des hash de mot de passes.
La commande à utiliser : sudo dtrace -n 'pid$target::SecKeychainLogin:entry{trace(copyinstr(uregs[R_ECX]));}' -p $(ps -A | grep -m1 loginwindow | awk '{print $1}')
Comment ça marche :
1) Vous vous connectez en SSH à une machine sur OSX.
2) Vous exécutez la commande.
3) Vous attendez patiemment qu'une personne se connecte.
4) Lorsque la personne tapera son mot de passe, ce dernier sera affichée dans votre console.
Pas mal nan ? (Faut que je teste sur ma Debian)
Très très bien, vraiment très très bien.