piratage mots de passe boite mail ?

[FAb]

La version française exacte est "mot de passe principal", merci pour la précision alexr.
par contre je suis pas sûr que ce mot de passe protège le fichier contenant les mots de passe, mais c'est quand même bon de l'utiliser

Si si, il le fait.

En plus des conseils sus-cités, il faut aussi savoir qu'à la base le web c'est fait pour afficher des pages sans notion d'historique de navigation entre les pages. Alors quand on voit les sur-couches de la mort qui tue dans un webmail chiadé en Ajax ça fait peur. Il n'y a pas si longtemps,  un méchant pouvait forger des "éléments web" (images, liens) qu'il déposait sur les forums, mails etc... quand la victime passait dessus, le vilain avait accès aux ressources du naif, sans pb, sans erreur et quelque soit le niveau de protection du site qui héberge les ressources... tout simplement car l'internaute se rendait complice de l'attaque... qui n'était qu'une application stricte des fondements du web.
(voir CSRF sur wikipedia (FR) , Confused deputy problem (EN) )

Désormais la plupart des sites (surtout les gros) y font gaffe. Idem pour les systèmes open-source comme ce forum.

à+
FAb
edit : ortho + dernière phrase

[arhuman]

chrome? tu parles du navigateur développé par google, ceux-là même qui gardent toutes les données qu'ils ont sur toi au nom du patriot act? tu parles de sécurité... firefox par contre est effectivement une bonne alternative. 

J'essaie de proposer plusieurs alternatives...

Personnellement j'utilise exclusivement Firefox depuis 2005, mais les sources de Chromium étant dispo pour quelqun voulant vérifier que le logiciel suit l'état de l'art en matière de gestion de la sécurité et qu'il ne contient pas de backdoor peut utiliser Chrome (ou mieux le recompiler)

Ne jetons pas le bébé avec l'eau du bain...

[baramine]

personnellement je me voit mal relire le code source ce chrome pour y chercher une backdoor, alors principe de précaution oblige : je conseil firefox (et même les autres logiciels de mozilla, qui sont bien foutus et gratuits)

[restonica]

personnellement je me voit mal relire le code source ce chrome pour y chercher une backdoor, alors principe de précaution oblige : je conseil firefox (et même les autres logiciels de mozilla, qui sont bien foutus et gratuits)

Une alternative plus sure  que chrome :Midori 
http://fr.wikipedia.org/wiki/Midori_%28navigateur%29
basé lui aussi sur le moteur webkit
Ultrarapide et portable,multiplateforme (ex:# urpmi midori    suffit à l'installer sous Mandriva)

Par ailleurs rappelons que certain utilitaire de Nir Sofer permet de visualisér sans coup ferir     les mots de passe Firefox...

@+

[pierrot22]

pour les questions secrètes : c'est simple habituellement je mets une réponse qui n'a rien à voir avec la question, que même moi je me rappellerai plus ce que j'ai marqué. Parce que j'ai un algorithme pour construire mes mots de passe, qui fait que même si je suis pas allé sur le site depuis 2 ans, je peux facilement deviner mon mot de passe, et pourtant ils sont tous différents. En gros il s'agit d'une partie commune avec des chiffres et des lettres, majuscules et minuscules, plus une partie variable qui dépend du site, plus pour les mots de passe les plus sensibles, un nombre qui signifie quelque chose pour moi mais que même quelqu'un qui fouillerait mon passé dans les moindres détails ne retrouverait pas.

Il est fait de manière pour que quelqu'un qui me voit le taper ne le retienne pas : des chiffres, des lettres, des majuscules, des minuscules... Quand on me voit le taper, en général la réaction c'est "p'tain c'est quoi ton mot de passe de la mort". Pourtant il contient 8 caractères pour la version soft, 11 pour la version hard. Quand ma petite soeur a utilisé mon ordi dans la voiture je lui ai dicté 4 fois sans qu'elle le retienne (social engineering possible, j'aurais dû lui faire utiliser le compte invité), et pourtant à cette âge là on a une bonne mémoire .

J'évite les accents, j'ai utilisé pendant un moment un caractère majuscule avec accent dans mon mot de passe, le genre de truc impossible à deviner, mais c'est intapable sur un téléphone portable.


Un bon coup de malwarebytes (anti-malware gratuit) ne peut pas faire de mal pour trouver les saloperies qui trainent. Oubliez ad-aware, il détecte pas la moitié de ce que détecte malwarebytes. Juste pour la petite histoire, sur le pc d'un copain qui ne marchait quasi plus sauf en mode sans échec, malwarebytes a trouvé et éliminé 260 malwares, j'ai halluciné y'en avait partout. Puis Avast a trouvé une 20aine de virus, mais il en reste peut-être vu la fiabilité d'avast, je ferai un scan avec Clamwin la prochaine fois que j'irai chez lui pour voir. Maintenant, le pc remarche

[restonica]

Un bon coup de malwarebytes (anti-malware gratuit) ne peut pas faire de mal pour trouver les saloperies qui trainent. Oubliez ad-aware, il détecte pas la moitié de ce que détecte malwarebytes. Juste pour la petite histoire, sur le pc d'un copain qui ne marchait quasi plus sauf en mode sans échec, malwarebytes a trouvé et éliminé 260 malwares, j'ai halluciné y'en avait partout. Puis Avast a trouvé une 20aine de virus, mais il en reste peut-être vu la fiabilité d'avast, je ferai un scan avec Clamwin la prochaine fois que j'irai chez lui pour voir. Maintenant, le pc remarche

Adaware est éffectivement dépassé ,suffit de voir le nombre de contaminés qui l'ont associé à avast  gémissants sur les forums de helpers   !!
Clamwin, hélas, ( je dit hélas car la tentative de création d'un AVirus open-source est sympathique ,mais vu la quantité de cochoncetés qui sort tous les jours ,seule une grosse société spécialisée a les moyens de faire face quotidiennement au problème et parfois pas toujours cf Avast et ses retards de m.a.jour actuellement rendant inopérant  leur produit), ne detecte pas grand chose actuellement et finit régulièrement dernier de tous les différents tests sérieux avec la mention "poor", "insignifiant" " à éviter"..
Mieux vaut un bon Avira installé,voir un scan en ligne ponctuel avec une collection d'avirus (32) virus total:

http://assiste.com.free.fr/p/antivirus_gratuits_en_ligne/virustotal_antivirus_gratuits_en_ligne.html

@+

[josephcurwen]

La solution ne serait-elle pas de passer à un système moins vulnérable aux malwares de tout type?

J'ai un double boot, ubuntu pour 98% des utilisations, et un vista pour l'occasionnel (principalement pour l'utilisation des logiciel Garmin, qui ne sont pas foutus de faire des prog multi plateformes, notamment pour les MAJ  )

Par contre mon vista, pas question qu'il soit connecté au net 

[restonica]

La solution ne serait-elle pas de passer à un système moins vulnérable aux malwares de tout type?

J'ai un double boot, ubuntu pour 98% des utilisations, et un vista pour l'occasionnel (principalement pour l'utilisation des logiciel Garmin, qui ne sont pas foutus de faire des prog multi plateformes, notamment pour les MAJ  )

Par contre mon vista, pas question qu'il soit connecté au net 

C'est une évidence  ,
hélas ,la crainte de l'inconnu, le poids des habitudes, les fausses rumeurs (obsolètes) sur la difficulté supposée d'installation Linux ,voir  la méconnaissance tout simplement de 90% des pékins moyens font que beaucoup pensent que internet c'est internet explorer  que windows c'est  l'informatique etc..
rappelons que les gouvernements Français (CERTA) et Allemand recommande depuis hier de ne plus se servir d'Internet Explorer en raison de ses failles de sécu :
http://assiste.forum.free.fr/viewtopic.php?t=25563

@+

[French Kiss]

Tu as aussi la possibilite d'installer une machine virtuelle sur ton pc, ca permet de faire ecran par rapport aux donnees prinipales de ta machine et de les proteger, tu ne surf que via la machine virtuelle et si tu recoltes des cochoncetes tu bazardes la VM et tu en recrees une autre. Tu peux utiliser VPC de microsoft (la version 2007 est en freeware par exemple) ou VMware (je crois que la version basique est aussi freeware, a verifier).
Tu passes les fichiers que tu veux importer sur la machine hote a la moulinette antivirus, cette facon de faire est assez sure je pense, mais il faudrait demander l'avis d'un expert pour savoir jusqu'a quel point cette methode est sure.
Inconvenient de la methode, il peut arriver que les applis internet rament un peu plus qu'en prise direct...

[josephcurwen]

La virtualisation est une option aussi, nous l'utilisons beaucoup au boulot, et c'est extrêmement pratique mais j'y vois deux limitations: faut disposer d'une bonne machine, avec pas mal de RAM, et le risque que le système virtuel devienne au final le système principal, ce qui au final, limite l'intérêt.

Il existe une version WMWare en freeware en effet.

Pour info, je vous écrit depuis un Ubuntu virtualisé du boulot: un écran sous vista, un écran sous ubuntu  

[Tengu]

Quelques conseils :

- un mot de passe compliqué (ie avec des chiffres, minuscules, majuscules, caractères spéciaux), ex : C192Poule (très facile à retenir et bien sécurisé).
- changer le mot de passe tous les mois.
- une machine avec Linux (moins attaqué que Windo*s) ou un Mac.
- pas de fichier texte contenant ses mots de passe.
- attention aux mails de fishing (vérifier l'adresse émettrice, un organisme (gestion de mail, de jeux, etc.. ne demande jamais le mot de passe de ses utilisateurs).

[Arthurus]

Pour tester son mot de passe

http://www.passwordmeter.com/

Il y a pas mal de ces "testeurs" mais celui-ci est vraiment bien a mon avis.

[josephcurwen]

Parmi les trucx et astuces pour un bon mot de passe, comme ceux cités plus haut par pierrot22 ( ), j'utilise régulièrement une très longue phrase dont je ne conserve que les premières lettres

Exemple:" Tant Va La Cruche A L Eau Qu'A La Fin Elle Se Casse" deviendrait TVLCALEQALFESC.

Rajoutez quelques chiffres et c'est tout bon

[restonica]

Une bonne page de Tesgaz sur les mots de passe ,basé sur une étude référence de Vazkor (ancien Colonel des services Belges)

http://speedweb1.free.fr/frames2.php?page=securite7 ,


Post de Vazkor: 
http://assiste.forum.free.fr/viewtopic.php?t=3350&postdays=0&postorder=asc&start=0

[josephcurwen]

Une bonne page de Tesgaz sur les mots de passe ,basé sur une étude référence de Vazkor (ancien Colonel des services Belges)

http://speedweb1.free.fr/frames2.php?page=securite7 ,

 Très clair

[Bartlett]

J'ai entendu parler de distributions Linux qui tiennent sur une cle Usb.

Quelqu'un utilise ca ?

Au niveau de la securite peux t'on les utiliser sur des machines peu sur sans risques ? (Comme une machine virtuelle mais a l'envers).





 

[josephcurwen]

on fait un autre topic pour parler de ça?
(message à supprimer quand c'est fait)

Bonne idée 

[Pit]

C'est fait ici, on continue sur le nouveau fil

Pit

[baramine]

alors oui la solution pourrait être de mettre un dual boot avec un linux, mais c'est un peu H.S. vu le contexte : là on parle juste de sécuriser sa boite mail.

alors oui avoir un bon OS sans trop de virus et autres saloperies (  y'en a quand même, on peut même "backdoorer" un .deb pour ceux que ça intéresse ) ça aide, mais là c'est pas forcément le propos du fil...

après ça n'est que mon humble avis

sinon, t'as du nouveau? une autre intrusion depuis ton premier post? et t'as pris quoi comme mesures finalement ?

[kikou92]

Bonjour,

Voici une info intéressante :

Gmail est l'un des rares hébergeurs de boites mail (je sais pas comment on les appelle) à proposer une connexion sécurisée HTTPS, et surtout un historique des connexions et de leurs adresses IP + l'activité du compte.
Cela devient facile de voir si qqun se logge en votre absence...

A+
Alexis

ps : super le "testeur de mots de passe". Pourtant j'hésite à mettre le mien. C'est tellement facile pour un tel site de repérer l'ip qui se connecte, de stocker les mots de passe testés puis de les essayer sur des sites que cette ip va consulter régulièrement, non ? Chuis trop parano ?

[athlon]

non tu n'es pas parano

[Adonf]

ps : super le "testeur de mots de passe". Pourtant j'hésite à mettre le mien. C'est tellement facile pour un tel site de repérer l'ip qui se connecte, de stocker les mots de passe testés puis de les essayer sur des sites que cette ip va consulter régulièrement, non ? Chuis trop parano ?

Le "testeur de mots de passe" tourne complètement en local sur ton poste, tu renvois rien au site.
Cela étant leur formule est très discutable.

En pratique il faut surtout:
mot de passe suffisamment long (dizaine de caractères)
des minuscules, des majuscules, des chiffres, des symboles
pas de mots ou d'expressions toutes faites (nom propres, titres de films...)

Avec ça t'es déjà paré.
Le plus simple c'est encore de prendre une phrase aide mémoire et de garder les premières lettre et d'ajouter quelques symboles.

Exemple:
"Davidmanise.com c'est génial j'y vais trois fois par jour"

donnera:
!!DM.ccegjyv3fpJ&&

qui fait un mot de passe très balaise tout en étant facile à retenir

[kikou92]

Le plus simple c'est encore de prendre une phrase aide mémoire et de garder les premières lettre et d'ajouter quelques symboles.

Exemple:
"Davidmanise.com c'est génial j'y vais trois fois par jour"

donnera:
!!DM.ccegjyv3fpJ&&

qui fait un mot de passe très balaise tout en étant facile à retenir

c'est pas en effet ! merci 

[hug0]

pour les plus calés en la matière, ce site est parfait pour la sécurité informatique:

hxxp://hackbbs.org

P.S: pour les mots de passe, éviter les logiciels "coffres forts" qui protègent tous vos mots de passe par un seul..

Et surfez avec mozilla