Journal Freenode attaqué

• # CB ?

  Posté par cougar (site web personnel) le 25 juin 2006 à 18:03. Évalué à 3.

  

  T'as un mot de passe pour ta carte bleue toi ?

  • [^] # Re: CB ?

    Posté par alexissoft le 25 juin 2006 à 18:15. Évalué à 2.

    

    Enfin, que le mot de passe du pseudo soit pas le même que le code de la carte bleue, enfin on comprend c'est l'essentiel !

  • [^] # Re: CB ?

    Posté par kolter (site web personnel, Mastodon) le 25 juin 2006 à 18:15. Évalué à 1.

    

    paypal ou banque en ligne ?IDENTIFY
    
    M.

    • [^] # Re: CB ?

      Posté par kolter (site web personnel, Mastodon) le 25 juin 2006 à 18:17. Évalué à 0.

      

      s/IDENTIFY// (@#!% saleté de touchpad)
      
      M.

• # Niveau de sécurité de password

  Posté par Raphaël G. (site web personnel) le 26 juin 2006 à 00:13. Évalué à 5.

  

  D'où la nécessité d'avoir plusieurs niveau de mot de passe...
  
  1 - pour les services peu critiques (IRC/Jabber/etc)
  2 - pour les données perso (mail, etc) + connexion https systématique
  3 - pour les accès root/compte avec sudo
  4 - pour les portefeuilles de mot de passe kwallet
  5 - pour débloquer votre clef privée gpg
  
  Bref, avec ce genre de séparation des risques, quand un seul est hacké on peux rapidement prendre les devants
  (invalidation clef gpg/changement mot de passe/examun des logs de connexion/etc)

  • [^] # Re: Niveau de sécurité de password

    Posté par Nicolas Schoonbroodt le 26 juin 2006 à 00:30. Évalué à 8.

    

    Le mieux, c'est quand même d'avoir un mot de passe différent et aléatoir pour tous. Et pour les retenir, il suffit de les noter sur un bout de papier, scotché sous le clavier. Ou alors, vous prenez le nom de votre chien. Au pied, A3é*fdE"2 !

    • [^] # Re: Niveau de sécurité de password

      Posté par BAud (site web personnel) le 26 juin 2006 à 03:23. Évalué à 3.

      

      pas très pratique ton mot de passe sur un clavier QWERTY /o\
      dommage pour consulter ses mails à l'étranger...

      • [^] # Re: Niveau de sécurité de password

        Posté par Raphaël G. (site web personnel) le 26 juin 2006 à 10:45. Évalué à 2.

        

        loadkeys fr
        xmodmap ...
        
        Et tu tape a l'aveugle...
        (bon tu évite aussi les caractères accentués ou d'utiliser le numlock...)

        • [^] # Re: Niveau de sécurité de password

          Posté par |-| le 26 juin 2006 à 13:06. Évalué à 6.

          

          T'as un shell avant le login... t'es sur Ubuntu ou quoi ?

          • [^] # Re: Niveau de sécurité de password

            Posté par inico (site web personnel) le 27 juin 2006 à 14:34. Évalué à 2.

            

            Mauvaise langue.
            Ubuntu force a s'identifier même en single boot.

          • [^] # Re: Niveau de sécurité de password

            Posté par Raphaël G. (site web personnel) le 27 juin 2006 à 17:34. Évalué à 2.

            

            Effectivement j'ai "oublié" ce détail...
            
            Mais bon 90% du temps tu tombera sur du qwerty, on alors tu te connecte a distance (dans ce cas là tu as déjà la possibilité de changer le code de caractère).
            
            Et soyons sérieux si tu a un compte local, a un moment ou un autre tu l'a tapé (sous le keycode du clavier), donc tu peux t'arranger avec l'admin pour te mettre sous ton keycode préféré le clavier...
            
            Bref, dans tous les cas tu as un moyen de te limiter les ennuis...
            (après tout c'est le boulot de l'admin de pas te pourrir la vie...)

          • [^] # Re: Niveau de sécurité de password

            Posté par Jean-Philippe Garcia Ballester (site web personnel) le 27 juin 2006 à 18:05. Évalué à 3.

            

            T'as un shell avant le login... t'es sur Ubuntu ou quoi ?
            
            C'est sur le Hurd qu'il y a un shell avant le login. Et c'est bien pratique.
            (d'ailleurs, on peut y accéder en ssh ?)

            • [^] # Re: Niveau de sécurité de password

              Posté par Okki (site web personnel, Mastodon) le 28 juin 2006 à 02:47. Évalué à 0.

              

              Que je sache, sous Linux on peut très bien passer init=/bin/sh en paramètre de lilo ou grub et obtenir un shell.

• # Merde

  Posté par farib le 26 juin 2006 à 04:46. Évalué à 7.

  

  Putain mais merde, faut le surveiller pinpin !

• # precision

  Posté par ~ lilliput (site web personnel) le 26 juin 2006 à 09:30. Évalué à 3.

  

  http://www.ignition-project.com/freenode-attack-press-confer(...)
  
  pas plus de 25 mots de passe auraient été compromis cf update ici: http://tgmandry.blogspot.com/2006/06/worlds-largest-foss-irc(...)
  
  mais faut changer ces mots de passes tous les 4-6mois ..

  http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

• # mots de passe ?

  Posté par jms le 28 juin 2006 à 15:57. Évalué à 0.

  

  Et pourquoi les mots de passe étaient-ils stockés en clair ?
  Est-ce vraiment difficile de ne stocker que le hash md5 (à la shadow) ?
  
  Voir carrément de stocker le sha1 du md5 du mot de passe. Pour remonter à l'origine, il faut vraiment que l'intéréssé soit aussi fort qu'une brute !

  • [^] # Re: mots de passe ?

    Posté par Khâpin (site web personnel) le 29 juin 2006 à 01:47. Évalué à 3.

    

    Si tu lis les liens donnés par liliput, tu verras que les mots de passes sont effectivement stockés sous forme de hash MD5.
    D'après ce que j'ai compris, les craintes sont
    -que l'attaquant ait pu rapatrier le fichier contenant les hashs, il aurait ainsi tout son temps pour faire de la force brute (comme tu le suggères), mais il semblerait qu'il n'ait pas transféré ces hashs.
    -que l'attaquant ait remplacé le serveur nickserv pendant quelques minutes, et donc qu'il ait pu intercepter les mots de passes des gens qui essayaient de se reconnecter (moins de 25 personnes seraient concernées).

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.