33 private links
Une critique plutôt sensée des passkeys.
Via SebSauvage.
En ce qui me concerne, j'utilise Keepass ;)
Un article d'utilité publique. Si si.
Une sorte de mur de la honte qui épingle les sites pris en flagrant délit d'envoyer le mot de passe de l'utilisateur lorsque ce dernier l'a oublié. Autrement dit, les sites qui stockent les mots de passe en clair. C'est très mal. Et il y en a beaucoup.
Ouuuhhhh j'aurais aimé connaître cette page avant : tous les mots de passe enregistrés liés à votre compte Google !
Si vous avez une fois fait la bêtise de mémoriser un mot de passe dans Chrome, par exemple, il sera lié à votre compte et synchronisé sur les serveurs de Google. Cette page permet de les voir (site, identifiant, mot de passe - oui, en clair !) et - surtout - les supprimer ! Vous pouvez également désactiver la synchronisation depuis là.
Si le sujet t'intéresse, j'avais publié quelques liens en rapport avec le stockage des mots de passe : http://links.kevinvuilleumier.net/?QNJt1g ou encore http://links.kevinvuilleumier.net/?sur1Hw
Ah et ce lien que je te recommande absolument de lire : https://crackstation.net/hashing-security.htm
En résumé, de nos jours, il faudrait plutôt passer à bcrypt, qui utilise Blowfish et qui possède une difficulté variable qu'il est possible de changer n'importe quand !
A lire avec celui-ci : http://yorickpeterse.com/articles/use-bcrypt-fool/
Il semblerait que la seule façon sécurisée et pérenne de stocker des mots de passe en base de données soit d'utiliser la fonction bcrypt (très lente - c'est le but - et utilise l'algorithme de chiffrement éprouvé Blowfish).
Oubliez ce que vous avez appris avec les sels, les fonctions de hashage et les itérations : elles ne font plus suffisamment le poids à l'heure actuelle face à la puissance des machines et des GPU (sans compter les fermes de calcul spécialement dédiées à cet effet).
Lisez les articles, ils sont bien faits ;)
Une fois de plus, on ne s'improvise pas expert en sécurité...
Donc "Google1234" est un mot de passe trop simple et peut être sanctionné ? #troll
Un service (disponible sous licence GNU/GPL) pour tester la force de vos mots de passe ! Le plus, c'est qu'il ne calcule pas bêtement le "temps" de crack en fonctionne des caractères présents dans le mot de passe (comme d'autres sites), mais donne leur donne des valeurs pondérées ;)