[progliste] Re: mot de passe

[bbr]

salut
150 tentatives autorisées ??? !!!
Sur mes serveurs pour les accès SSH, j'empêche l'accès par root et pass, 
j'installe un jeu de clés et je ne permets que mon IP (car fixe) et pour 
mes déplacements j'utilise un VPN (qui est sur un petit vps qui 
m'appartient, personne d'autre que moi ne s'en sert).
Même chose pour les accès sensibles (interfaces de gestion des serveurs, 
style Proxmox, les accès à PhpMyAdmin, etc.), d'autre part j'utilise 
fail2ban qui fait office de videur pour toutes tentatives suspectes, 
ceux qui testent phpmyadmin se retrouvent dehors au 1er essai et pour un 
mois, idem pour le port ssh, les w00tw00t (pas bien graves mais cela 
encombre les logs), etc. Et bien sûr iptables bloque tous les ports sauf 
ceux qui sont utilisés, autre sécurité : toujours mettre à jour ses 
logiciels, les wordpress entres autres et évidemment la distribution. 
Tout ça ne garantit pas une sécurité à 100% mais cela complique la tâche 
des méchants.

Le 02/09/2015 09:34, Yannick Youalé a écrit :
Salut !

Lorsqu'on crée une interface d'identification, le tout n'est pas de
compter uniquement sur la complexité du mot de passe de l'utilisateur.
C'est une combinaison de mesures qui font un site relativement sécurisé.

Pour ce qui est notamment des attaques en brut force, il convient de
limiter le nombre de tentative de connexion pour une journée. Au dela de
150 tentatives par jour par exemple, il me semble qu'on a plus à faire à
un humain.

On peut encore corser cette protection en prohibant des tentatives de
connexion trop rapprochées. En moins de trois secondes d'interval par
exemple des tentatives d'identification sur un site deviennent louche.
Trois ou quatre fois ça va, mais plus il faut afficher un message  en
gros caractères et en rouge pour dire stop.

Bien entendu tout ça n'est pas infaillible, mais çà contribut à rendre
la tache difficile à d'éventuels hackers.





Yannick Daniel Youalé
La programmation est une religion. Aimez-la, ou quittez-la.
Mon site: www.visuweb.net



----- Original Message ----- From: "yannick" <philao...@free.fr>
To: <progliste@ml.free.fr>
Sent: Wednesday, September 02, 2015 7:43 AM
Subject: [progliste] Re: mot de passe


merci BBR &Lavachri!

Le 02/09/2015 08:13, LavaChri a écrit :
slt,
Tu as raison, un programme n'auras pas de difficulté pour trouver un
mot de passe !
Le soucis c'est le temps qu'il va mettre pour le trouver qui va
justement dépendre, non pas de sa complexité, mais de sa longueur.

En "brute force", il se dit que les ordinateurs actuel  peuvent
trouver des mot de passe de 6 caractères en des temps raisonnables.
Mais l'ingénierie sociale  permet de réduire considérablement ces
temps de recherche,.
C'est à dire que grâce à FaceBook, les blogs et autres vitrine
intime, les hacker n'ont plus besoin d'être un de tes proche pour
connaître le nom de ton chat servant de mot de passe...

Les deux tendances actuelles sont d'utiliser :
soit des phrases comme mot de passe, exemple "MonPetitChatEstRoux"
Soit d'utiliser des gestionnaire de mot de passe.

Par contre, il est clair que si ton Pc est infecté par un virus tel
que KeyLogger, cela ne sert à rien....
ou que tu te connecte sur des wifi public sans vérifier le https ou
utiliser un vpn...

Le 02/09/2015 06:14, yannick a écrit :
bjr, j'ai une petite question dont la réponse m'échappe un peu :
pourquoi faudrait t'il utilisé un mot de passe compliqué ?
je m'explique :
si c'est un programme qui cherche vos mots de passe, compliqué ou
pas, si il a la méthode, alors il  trouvera le mot de passe .
alors vis à vis de qui doit t'on se méfier ?
ben je  suppose de nos proches !
mais bon difficile de se méfier de notre  entourage ...
bien entendu je fais uniquement référence aux personnes landa , et
non pas  à un agent ultra secret  déguisé en un cactus dans une
ville elle même très secrète et plongé à 10 km sous l'océan .
ha oui, j'oublie, je parle de mot de passe utilisé par des sites /
logiicels landas.
tout cela pour avoir un avis global, un point de vue général sans
les exceptions ..

Progliste :
Pour se d�sinscrire de la liste :
mailto:progliste-requ...@ml.free.fr?subject=unsubscribe

Pour voir les archives de la liste :
http://www.mail-archive.com/progliste@ml.free.fr/

Je vous rappelle que les pi�ces jointe sont activ�s leur taille est
limit� � 2 MO
Pour acc�der aux fichiers de la liste
http://outils.archive-host.com/partage.php?id=2Qar9Hy6ftzr
Ou en utilisant la nouvelle page de partage :
http://outils-n.archive-host.com/partage-fm0m7b947vglikp9Efpso94gt
Pour y ajouter des fichiers demandez-moi le ou sur la liste ou en
priv�, je vous r�pondrez en priv�.




Progliste :
Pour se dsinscrire de la liste :
mailto:progliste-requ...@ml.free.fr?subject=unsubscribe

Pour voir les archives de la liste :
http://www.mail-archive.com/progliste@ml.free.fr/
Je vous rappelle que les pices jointe sont activs leur taille est
limit  2 MO
Pour accder aux fichiers de la liste
http://outils.archive-host.com/partage.php?id=2Qar9Hy6ftzr
Ou en utilisant la nouvelle page de partage :
http://outils-n.archive-host.com/partage-fm0m7b947vglikp9Efpso94gt
Pour y ajouter des fichiers demandez-moi le ou sur la liste ou en
priv, je vous rpondrez en priv.




Progliste :
Pour se d�sinscrire de la liste :
mailto:progliste-requ...@ml.free.fr?subject=unsubscribe

Pour voir les archives de la liste :
http://www.mail-archive.com/progliste@ml.free.fr/

Je vous rappelle que les pi�ces jointe sont activ�s leur taille est
limit� � 2 MO
Pour acc�der aux fichiers de la liste
http://outils.archive-host.com/partage.php?id=2Qar9Hy6ftzr
Ou en utilisant la nouvelle page de partage :
http://outils-n.archive-host.com/partage-fm0m7b947vglikp9Efpso94gt
Pour y ajouter des fichiers demandez-moi le ou sur la liste ou en priv�,
je vous r�pondrez en priv�.



Progliste :
Pour se d�sinscrire de la liste : 
mailto:progliste-requ...@ml.free.fr?subject=unsubscribe

Pour voir les archives de la liste :
http://www.mail-archive.com/progliste@ml.free.fr/       

Je vous rappelle que les pi�ces jointe sont activ�s leur taille est limit� � 2 MO 

Pour acc�der aux fichiers de la liste
http://outils.archive-host.com/partage.php?id=2Qar9Hy6ftzr
Ou en utilisant la nouvelle page de partage :
http://outils-n.archive-host.com/partage-fm0m7b947vglikp9Efpso94gt
Pour y ajouter des fichiers demandez-moi le ou sur la liste ou en priv�, je 
vous r�pondrez en priv�.