On a trouvé des mots de passe
ฝัง
- เผยแพร่เมื่อ 25 ส.ค. 2024
- Ma marque :
Essayer Dashlane ici : www.dashlane.co...
(code promo "MICODE" pour -10%)
Le Twitter de x0rz : / x0rz
Il arrive régulièrement que des sites importants voient leur base de donnée être piratée. Même si une écrasante majorité protègent les mots de passe de leurs utilisateurs en les hachants, les pirates finissent souvent par cracker une partie de ces mots de passes, voire la quasi totalité.
Comment font-ils ? Quelles sont leurs méthodes pour arriver à des résultats aussi impressionnants ?
Et en conclusion, que peut on faire pour que nos comptes Facebook, Twitter ou Amazon ne se fassent pas pirater à la suite d'une fuite de donnée de ce type ?
► Twitter : / micode
► Instagram : / micode
Liens de parrainage pour soutenir mon travail :
➜ Ma néobanque : n26.com/r/mich...
➜ Amazon : www.amazon.fr/...
➜ Les musiques que j’utilise : www.epidemicso...
Moi je donne 4/5 coup de tête sur mon clavier et je trouve mes mdp
fvbgehkyj , bon bah voila
Bonne technique
c'est clair qu'a force de taper ta tête contre ton clavier tu vas mieux t'en rappeler...............
Méthode testée et approuvée !!!
Je veux ton clavier. Moi j'arrive pas à les retenir quand je fais ça.
et moi qui pensait que mettre motdepasse c'était hyper intelligent
Pas du tout
J'étudie pas mal la sécurité en ce moment !
Je comptais publier quelque-chose là dessus, et sincèrement je ne sais pas comment amener ça pour que ça soit intéressant.
Franchement tu gères, c'est hyper cool la manière dont toi tu as présenté ça ! 😄
simple question pourquoi ce logiciel ne vendrez pas les motdepasse comme tous les autres entreprise avec leur information ?
@@lechasseur5030 Peut être parce que c'est bien trop confidentiel et que ce serais pire qu'illégal ^^
Jsp c'était une simple question car Facebook et tout vend les informations pour pas eu mais c'est une question connecter
Conne
@@lechasseur5030 ils subissent des audit de codes, même si ils le voulaient ils ne pourraient techniquement pas, tout ça est salé etc ...
Ptdr le ventilo pour les 2 gtx ahahah
Technique du bled
Oh max_ comment vas tu mdr 😄
@@meoro5485 ptdr salut
Pour pirater / espionner un compte WhatsApp ou un téléphone mobile, contactez @ jamesjones2991 sur Instagram ou envoyez un e-mail à jamesjones2991 @ gmail.com, ou envoyez un message WhatsApp au +1 (323) 607-3180, il est très fiable de confiance, il m'a aidé à plusieurs reprises et a même facturé un bon prix pour ses services, merci beaucoup
La vidéo est en annonce TH-cam 👀
Xemles ا XemTV oe 😱😊
Tqt pas, c'est le premier au courant puisqu'il payé youtube
Coucou ArTv et coucou Slash Kun
Ok on est d'accord
Pitoyable, après il me semble que parfois youtube met en avant des vidéos par lui même
C'est bon il m'a convaincu je vais télécharger Dashlane t'es trop fort Micode
Wsh oxi😂
Oximooz ! 😍 Pourquoi je me suis désabonnée ? 🥺
Wesh tu fous quoi la😂😂🤔😅👀
nordpass c'est mieux
dashlane peut être aussi pirater bisous
Super vidéo, au cas où, tu parles de techniques pour trouver des mots de passe, tu pourrais t'intéresser à la rainbow table attack ;) Je l'ai dev en C pour un projet il y a 2 semaines, on arrive a générer (1 million de mdp+hash)*50.000 en quelques heures et pour casser les hash, seulement quelques minutes. Tu comprendras mieux quand tu te seras intéressé au sujet!
PS: J'adore tes vidéos, ça donne quelques idées et ça m'a entre autre donné l'envie de faire le master en cybersécurité que je suis actuellement :)
Mathias Hanquiniaux les rainbows tables ne fonctionnent que sur des systèmes qui ne saltent pas les hashs, donc pas les bons sites
Tiens c'est marrant moi aussi j'ai du le faire la semaine passée ! Salut copain de classe 😄
@@simonlafrance58 ça veut dire quoi "salter un mot de passe" ? Je suis pas un crack en sécurité mais si je peux ameliorer la sécurité de mon site, je veux bien !
Si tu ne sais pas ce que ça veut dire, j'espère que ton site n'est pas public! Mais en gros, un salt c'est une valeur différente pour chaque utilisateur qui est passé à l'algorithme de hachage et qui modife le hash. Ce que ça fait, c'est que si deux utilisateurs ont le même mot de passe, le hash sera quand même différent pour les deux, ce qui non seulement empêche de trouver le mot de passe des autres à partir d'un seul, ça fait que si un individu veut crack un mot de passe, il peut seulement tester un mot de passe à la fois, et pas toute la base de données, ce qui augmente la sécurité énormément!
Note: une rainbow table c'est une liste de hash qui ont déja été calculés, mais si les mots de passes sont salés, elles ne servent plus à rien.
@@simonlafrance58 d'accord merci^^
Mais comment un pirate pourrait récupérer ce qui est dans ma bdd? (A part avec un acces sur mon serveur) vu que j'ai configuré mon mongodb pour accepter que des connections en local
Mdr il m’a tuée. Force brute , brute force la base . Si vous voulez un programme : Hydra
Trials Biker T’est mignon jeune skript kiddie
Débutant
Vous êtes marrant vous, c toujours les scripts kiddies qui sont les plus efficaces apres oui c mieux de savoir coder seul pour mieux comprendre mais voilà il y a aura toujours le problème d'efficacité (hydra qui a été fait par une équipe durant une longue période et le tien fait en 30 min)
Milhane il existe plusieurs moyens d’avoir des mots de passe . Il existe pas de meilleur moyens . Car les 2 méthodes fonctionne
Trials Biker Je suis sur est certain que tu ne fait que regarder des tuto sur yt pour les recopier sur kali que tu a évidement installer sur ta machine virtuelle
2:00 CSDN= commission scolaire des naviguateurs XD
A 8'01 y a en clair le nom de la base et des dictionnaires :)
Très bon taf, bien écrit, bien présenté. Gros niveau à présent.
J'ai un système simple pour les mots de passe, il suffit de retenir une suite de caractère au pif, genre fgdtb7f puis on met une ou deux majuscule dedans (le plus simple c'est de faire un truc qui se retient bien à l'oreille) et pour qu'il soit différent sur chaque site on rajoute un dernier caractère, soit la première lettre du site, soit 1,2,3,4 etc... donc pour youtube ça pourrait donner : fgDtb7fy
Merci pour les conseils ! Super contenu comme d'habitude ! À très vite.
Personnellement, comme gestionnaire de mots de passe, j'utilise KeePass. La base de données de nos mots de passe est stockée dans un fichier sur notre machine, donc on n'a pas beaucoup de faire encore confiance à un service en ligne tiers. Parce que, d'après ce que j'ai compris de ces techniques, si on prend un temps suffisamment et qu'on possède une base suffisamment conséquente, on peut casser n'importe quel hashage, même si notre mot de passe contient 100 caractères de tous genres. Les seules vrais sécurités pour nos mots de passe, c'est d'une part que les sociétés qui les gardent les protègent au mieux, et d'autre part d'être vigilant quant à notre utilisation de nos appareils et nos actions sur le web.
La fiabilité d'un système est souvent égale à la fiabilité du nœud le moins fiable. Et ce nœud, c'est souvent l'humain.
@Louis Gr Le jour où les ordinateurs quantiques seront accessibles à n'importe qui, sans doute, mais les technologies de cryptage devront avoir bien évolué d'ici là.
@Louis Gr www.larousse.fr/dictionnaires/francais/encrypter/10909958
Et ensuite ?
@Louis Gr Admettons, ça ne répond pas au fond de l'affaire. Tu as commencé par "Déjà...", mais ensuite ?
J’utilise Dashlane depuis ta dernière vidéo. Merci micode pour tes super vidéos.
Dashlane c’est cool! Je l’utilise depuis ta vidéo précédente et je ne regrette pas... le coup de Chrome qui garde enregistrés les mdp en clair 😱... Dashlane nous avertit à chaque faille de sécurité sur un site pour qu’on puisse changer de mdp rapidement.
Thx Micode.
Je vais de ce pas payer la formation pour apprendre à créer un mot de passe
www.xkcd.com/936/
Référence première (en Anglais) pour créer un mot de passe, tu peux même les faire plus long. 100% gratuit. Un gestionnaire de mot de passe est fortement recommandé, mais pour les choses comme le mdp du gestionnaire ou mdp d'email, c'est la meilleure technique.
@@simonlafrance58 Pour moi la meilleure technique c'est une confirmation sur téléphone quand tu te connectes au gestionnaire
j'utilise déjà le bcrypt il existe de base dans php
5:39 Le best ventilo ever !!
Un mot de passe avec 10 caractères, des majuscule, des miniscule, des chiffres et des caractères spéciaux haché en sha512 c parfait
Mais attends... Imagine que dashlaine se fait pirater ? Ça veut dire que tout tes mots de passe le sont aussi non ?
Non, car Dashlane utilise un chiffrement de haute technologie
(Source : léo teckmaker : Quel est le meilleur mdp ?)
@@baptisteg4381 mais les entreprises qui se sont fait piratés aussi... c logique
@@clempc3582 bien sûr, mais normalement les mdp sont chiffrés, ce qui devrait les protéger. Et sinon tu peux tjs changer les MDP critiques
@@baptisteg4381 ouais je vois mais bon y'a quand même un risque le mieux c quand même par exemple de faire un excel avec tous ses mots de passes, bon après ça ça ne remplit pas les cases automatiquement mais on peut pas tout avoir... sinon si t'a du temps tu pourrais aller checker ma chaîne stv
@@clempc3582 si t'as un cheval de troie ou ransomware t'es dans la merde 😅
Tu n'as pas parlé d'attaques par rainbow tables, ni des vulns des fonctions de hachages...
Il n'a pas parlé de beaucoup de choses. Je pourrais te faire 15 vidéos là dessus x)
@@Ackanir C'est complétement vrai, mais pour un youtuber qui veut faire découvrir la sécu' au grand public je pense qu'il n'a pas assez creusé le sujet...
@@nasmRE j'ai pas pu m'en empêcher...
=======
Que20
il y a 2 jours (modifié)
C'est exactement ce qui se fait depuis des années en fait. :p
Les sites permettant soi-disant de "cracker" ce type de hash fonctionnent de cette manière car c'est un des problèmes majeurs des MD5, SHA1, SHA2, SHA256 etc : le hash d'une chaîne reste le même. Donc des mots de passe trop simple se feront très vite crackés. La contre-mesure majoritairement utilisée est d'ajouter automatiquement un grain de sel, c'est à dire une chaîne de caractères aléatoire et relativement longue, au mot de passe et de calculer le hash sur le mot de passe + le grain de sel (qu'on appelle salt) et non uniquement sur le mot de passe. Un avantage de cette pratique est, de un, de complexifier le mot de passe et donc de diminuer les chances de le trouver, et de deux, que si le grain de sel diffère en fonction de l'utilisateur, deux utilisateurs ayant le même mot de passe... auront un hash qui sera différent (puisque le grain de sel qui sera ajouté au mot de passe sera différent donc la chaîne finale sur laquelle sera calculé le hash ne sera pas la même). Par contre, faut pas perdre ce grain de sel sinon ça sera extrêmement embêtant, et d'autre part si on a un accès à la base de données et aux grains de sel, cette contre-mesure tombe à l'eau (puisqu'on saura ce qui est ajouté au mot de passe de la personne, il ne restera donc plus qu'à trouver le mot de passe).
Il existe des fonctions de hachages qui reprennent directement ce principe, une des plus connues est bcrypt
=======
Et puis je me suis souvenu aussi que les collisions existaient ;
=======
Que20
il y a 2 jours (modifié)
Petit ajout : il existe aussi une autre forme d'attaque : les collisions. Une chaîne, avec des fonctions comme MD5 ou la famille des SHA donnera un hash d'une certaine longueur, qui sera toujours la même. Le principe des collisions est de parvenir à générer une chaîne qui donnera le même hash car dans ce cas là, que ça soit ou non le "bon" mot de passe, au final on s'en fout, l'important étant que le hash généré soit identique à celui stocké dans la base de données et il se peut que deux chaînes donneront le même hash.
En bref la formule est la suivante :
Si hash(mot de passe de l'utilisateur (+ éventuellement un grain de sel)) = hash stocké dans la base de données
Si oui, on considère que c'est le bon mot de passe. Donc si on avait une autre chaîne donnant le même hash, cette autre chaîne serait aussi acceptée comme "bon mot de passe" même si ce n'est pas celle là que l'utilisateur aurait choisi.
=======
"Mon mot de passe il fait 200 caractères ! Imposible de le cracker"
*trouve une petite RCE et choppe un sourire en coin*
Eh oui : quand tu deviens plus grand, tu te rends compte que le mot de passe, bien souvent... tu le contournes ! =D
@@que20 T'es super déterminé pour écrire un pavé comme cela...
Tu as parfaitement raison, souvent un mot de passe, cela ne se crack pas, cela se contourne...(quand c'est possible)
Je ferai remarquer si quelqu'un me lit (autre que toi que20), que un mot de passe, est utilisé dans un système qui prend le mot de passe comme sécurité principale, et donc il sera toujours plus avantageux de non-pas cracker le mot de passe, mais de trouver une faille dans le système pour exécuter du code arbitraire (en root ou pas) pour poser un keylogger (si c'est absolument le mot de passe qui vous intéresse), cela apportera de la fiabilité et de la portabilité à votre attaque.
Merci encore de ta réponse @que20 cela me fait trés plaisir...
EDIT : Oui, je suis souvent très long mais j'aime que les réponses soient complètes. ^^
@@nasmRE J'avais juste du temps à tuer et le commentaire en gros décrivait un peu le principe des rainbow tables donc bon, j'ai pris la peine d'apporter ma touche personnelle. Mais je ne vais pas faire ça sous tous les commentaires, je te rassure (puis vu qu'il n'y a plus Didakt, me faut bien un autre youtuber à spammer ! 8| )
Eh oui, il y a pas mal de cas où on peut faire abstraction du mot de passe. (ce qui n'exclut pas de s'en choisir un bon pour autant :p )
Ma vie a changé quand j'ai commencé à utiliser un générateur de mots de passe aléatoires automatique
Mdrrr quand je pense que mon grand père a mis un mot de passe pour son ordi de 500 caractères alors qu'un firepassword prend 10 minutes a se mettre sur l'ordi ça me fait bien bien rire, sinon toujours aussi bien t'es vidéoooos !!!
Excellente vidéo (je l’ai pas lu lol excellent ça)
Pandore _ Ahah pas mal celle là
ne0tiiks merci je me marre tous les jours !
mec c'était tellement marrant ton commentaire je me suis évanouis de rire je viens de me réveiller
Oxygen c’est incroyable tu es la 12 eme personne a me dire ça, peut être que les 198 mères de familles qui m’ont appelé en disant que leur enfant était MORT DE RIRE devant mon commentaire mangent leurs morts maintenant
Quand je vois quelqu'un insulter ma mère, ça me donne envie de sortir la carte uno de changement de direction
Le problème c'est que certains site refuse les caractères spéciaux dans les mots de passe
parfois des chiffres et rien d'autre.... (un site du XXème siècle)
Les caractères spéciaux augmentent moins la complexité du mot de passe que la longueur du mot de passe .
www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/
@@Thiamato faut ça dépends comment tu les utilisés car tu peux mettre 26 caractères sauf que si tu as que des chiffres ça sert à rien
@@Thiamato mon prof de cyber secu qui font aussi des audits sécurité et bosse sur un ordi quantiqueavait montrer que rajouter des exponentielles de mots de passe possible quand même. Associés à la longueur et d'autres techniques bon courage. Pour ma part pas moins de 25 caractères aléatoires, sel, et compagnie et un mots de passe par outil. Les mec qui veut hack c'est pour pas grand chose donc à moins de s'acharner... Le jour où l'ordinateur quantique est la par contre ça risque de changer pas mal de chose côté secu. Utiliser un outil extérieur pour un truck aussi précieux, c'est le meilleur moyen d'avoir des soucis.
@@jeremie9670 Mathématiquement c'est pourtant bien le fait de rajouter un caractère qui est meilleur. Cadenas a 10 chiffre 10 code
20 chiffres 20 code
Cadenas à deux chiffres différents 100 codes
Les phrases comme issus du jeu "cadavre exquis" c'est pas mal, ça contient plusieurs mots sans liens, c'est long et c'est facile à retenir. Sinon la méthode énoncée de Micode donne un résultat équivalent. Toutefois sachant que 2 mots de passe peuvent donner un hash équivalent, ce n'est jamais 100% sûr. Donc il est prudent de changer régulièrement de mot de passe.
Je savais que la force de calcul des cartes graphiques était impressionnante mais de là à ce que cela prenne si peu de temps, je ne m'en serai jamais douté. En tout cas, merci pour cette vidéo car comme tu l'as dit, ce génial mot de passe unique avec variantes que j'utilisais, je vais très rapidement le changer sur mes comptes importants. Et grâce à toi, je vais pouvoir me renseigner sur la méthode de hachage utilisée sur le site dont j'ai rejoints l'équipe de développement. Super vidéo ! Continue comme ça
Sinon tu peux aussi creer un mot de passe de 7-8-9 caracteres (avec des caracteres speciaux et chiffres) unique, mais pour chaque site, tu rajoutes a ton mot de passe la 1ere, et derniere lettre du site, ca t'evite d'avoir le meme mot de passe pour tout, mais t'as pas besoin de tous les retenir.
Par exemple, tu choisis 'chevredu29!' comme base et du coup ton mot de passe facebook devient: 'chevredu29!fk', pour gmail 'chevredu29!gl', etc...
Apres tu peux trouver des regles plus complexe ( du genre tu convertis les lettre du site en valeur hexa, etc...), mais je pense qu'il faudrait quand meme un sacre algorithme pour arriver a retrouve ce genre de regles.
Non
@@user-dk7eq9fc8e De quoi non ?
J'ai la même technique avec une bonne base dans le genre phrase et tu prend que les première lettre c'est good
J'utilise aussi un système du même genre. Un mot de passe unique à retenir, généré aléatoirement sur un site genre google + "generateur de mot de passe", et je rajoute des lettres du site en question.
Alors oui au début tu galère à retenir gR96^a{4vA mais à force de le taper 30x par jours ça fini par rentrer :) Pour le reste du mot de passe, y a juste à lire l'url .
@@user-dk7eq9fc8e : tout dépend de ta stratégie de rédaction pour ton mdp. Si par exemple tu intercales ta chaîne de caractères avec le nom du site, ça peut donner un truc très correct. Avec « Mathieudu64 » et « Google.com » ça fait « MGaotohgileeu.dcuo6m4 », c'est très correct niveau solidité, c'est simple à retenir et ça reste différent selon les services/sites.
Excellente video je lai vue en entier
Merde elle est sortie ya 1 minute je suis pas credible
Merci pour la vidéo, elle est animée et très intéressante. Néamoins aprés la vidéo je n'ai toujours aucune idée de comment le processus de crackage applique ses méthodes sur autant de mot de passe sans mettre une éternité par mdp. Il fait toutes ses méthode sur une seul clés avant de passer a la suivante ?
La démonstration est intéressante, mais ca me frustre de pas comprendre comment il s'y prend.
Nous les pirates quand on dump des db, on décripte les hash^^
Heuuu il y a un autre moyen de rendre impossible la methode de comparaison que tu demontre, hash brute force, rainbow inefficace...tout simplement imbriquer un "salt" complexe privé. Là, le hash obtenu avec une chaine de caractères ne ressemblera plus jamais au hash obtenu avec un "salt" donc impossible de retrouver le mot de passe en clair. Tout ca en sha512.. peu importe le fait d'avoir 8 ou 80 cartes graphiques ... :))
Un mot de passe cela ne se crack pas, cela se contourne...
^^
Ouaip, y a Tom Scott qui en parle dans une de ses vidéos pour ceux qui parlent anglais : th-cam.com/video/8ZtInClXe1Q/w-d-xo.html
Sauf si tu connais le fameux grain de sel qui je penses ne doit pas être très compliqué à trouver (5 mot de passe faible dans la liste permettrait de le connaître pour ensuite mettre une règle
@@jeremie9670 faux pcq deja le grain de sel (le salt c'est mieux) peut être n'importe quoi donc une chaine md5, ou sha512 etc et en plus tu peux la placer OU tu veux dans la chaine et de la façon que tu souhaites. Bonne chance pour trouver ca 😂😂
@@ds2kx Oui comme le wpa en gros ?
Mais ça risque de surcharger le serveur parce que une box ça va t'as max 10 personnes qui se co mais pour un serveur ou des milliers de personnes se co🤔
Je suis bloquer au challenge 2 RIP
Pareil
Peu etre la fleche en bleu ?
on a trouvé le binaire, il y a une partie ascii en indice...... c'est surement ce qu'il manque :)
@@Lotherion Non le ascii c'est pour la vidéo ^^
Et il a précisé une seconde dans la lien =1s
je pense que ça a plus a voire
en fait y a un commentaire sous la vidéo
Ce que je ne comprend pas c'est comment ils arrivent à avoir des réponses instantanées avec la brute force, car tester un mdp ça met du temps, minimum 1 seconde non?
La flèche en bas a droite de ton decors me dis de cliquer sur la pub xD
Ok... Je regarde ta vidéo, j'ai la flemme, le lendemain je me fait piraté ma boite mail :O. A priori pas de bobo, mais merci pour le code promo... -_-
Qui est blocké ici pour le foreach ?
moi ahhhahah
en fait y a un commentaire sous la vidéo
moimec
Et du coup, vu qu'on peut le modifier automatiquement, finalement on est obligé d'utiliiser Dashlane à vie
Wow x0rz je ne m'y attendait pas du tout!
Ok problème. Un gestionnaire de mot de passe.. ça doit stocker tes mots de passe... Et ça doit pouvoir les retrouver pour pré-remplis les champs. En gros .. c'est quasi comme si les mots de passes étaient en dur quelque part sur le pc. La vérité c'est que si la machine est infecté par un malware très modeste qui sait où chercher et qui connait la technique de décryptage du gestionnaire, il pourra craquer tous les mots de passe. C'est encore pire quand c'est synchro et que les infos sont sur plusieurs machines. Bref c'est gênant. Aussi gênant que le gestionnaire de mot de passe des navigateurs internet .
ND ou les mdp sont stockés sur la bdd de dashlane d'où le fait de se rappeler que d'un seul mdp pour de connecter dessus
@@ericcai2942 c'est ça le problème justement, si Dashlane se fait pirater, tu fais comment?
Sinon il y a d'autres type de gestionnaire de mots de passe comme par exemple "Master Password" qui ne stockent rien, ni en local, ni dans le cloud, mais re-calcule à chaque fois le mot de passe correspondant à un compte en fonction du nom d'utilisateur, nom du site, mdp maitre, etc..
@@ericcai2942 Je suis d'accord. Je me dis que c'est le minimum. Ne pas stocker le message, aller le chercher sur la base de données, où il est chiffré avec le mot de passe général, et le déchiffrer à chaque fois .
Le problème de cette technique, c'est que le champ mettrait du temps a se remplir. Puisque à chaque fois que l'utilisateur se retrouve sur une page de co., il doit faire la démarche de récupération sur la base de donnée en ligne et déchiffrer avant de l'injecter sur le navigateur. C'est pour ça que je ne pense pas qu'il puisse fonctionner rigoureusement comme ça.
@@donwar74 en vrai faut pas utiliser dashlane, mais plutot d'autres solutions open sources ou les mots de passes ne sont pas envoyé dans le cloud ;) keepass par exemple ;) Car au final utiliser dashlane ou tout autre solution propriétaire qui stoke les mots de passe pour, ça ne fait que déplacer le problème et la confiance ( au lieu de faire confiance a pleins de sites, tu génères des mdps complexes avec dashlane et tu leur fait confiance pour le stockage de ce dernier )
Je pensais que tout espoir avait été perdu sur mon compte désactivé avant d'avoir été recommandé à *ecohackz* sur Instagram, et je l'ai récupéré, merci
Dashlane, LastPass etc vous nous sauvez la vie. Merci
Super vidéo, je tiens a préciser vers 10:10 le fait d'enregistrer le mot de passe directement dans un navigateur c'est pas três sécure quand on prête son pc a d'autres personnes,, tous le monde sais que la balise changé en affiche le mot de passe et je connais bcps de gens qui se sont fait troll quand on utilise pas le gestionnaire de mdp
On commence par Maths lundi ou on commence a 9h svp ?
Non c'est français, ya eu un changement
@@sabrebar.2669 T'es sûr car on m'a dit qu'il y avait histoire géo avec M. Dupon
Lundi c'est grève, la CPE me l'a dit.
trololol !
Mais non lundi ont a sport à 10h00 sauf que le prof n'est pas là ,du coup ont vient à 13h30
Tu as fait la prépa ? J'ai toujours pas commencé :3
Mais si ton logiciel de mot de passe est cracké t'es foutu aussi :/
6sous En faîtes tes mots de passes sont cryptés sur tous ces gestionnaires, même si la base fuite, ils n'auront que des suites de caractères aléatoire. Après, personnellement je n'aime pas les stockés en ligne comme avec DashLine car n'importe qui dans le monde, si il trouve mon mot de passe principal, peut accéder à mes mots de passes, je préfère stocké le dossier sur mon PC localement, keePass fait très bien l'affaire.
@@gaut2018 Ils sont cryptés aussi sur tous les sites où tu t'inscrits et ça n'empêche pas de pouvoir les retrouver. En réalité je pense que jle suystème de dashlane est costaud mais je préfère apprendre mes mdp et les garder en tête, c'est ce qu'il y a de plus sûr!
Frixion04 Non mais en ligne, n'importe qui dans le monde peut tenter de déchiffrer le mot de passe, alors que localement, il faut un accès à la machine. De plus, pour retrouver son mot de passe il faut être connecté. 2 raisons qu'il font que je n'utilise pas DashLine
@@gaut2018 Oui pareil je n'en ai pas l'utilité
@@gaut2018 J'suis absolument pas d'accord, un simple Malware peut récupérer le fichier si tu stocke tout en local..
Super vidéo, très intéressante
Continue comme ça
Je connaissais déjà tout dessus mais sujet bien amené
Salut micode, j'ai une question.
Est-ce que t'es toujours étudiant et tu fais quoi comme étude ?
Cordialement
Il me semble avoir vu l'info dans une vidéo mais j'arrive pas à te la retrouver :/
@@Ackanir il a dit qu'il avait fini son DUT en informatique mais je sais pas si il a voulu poursuivre sur une école d'ingénieurs ??
Moi mon mot de passe il va être dur à cracker (TYyO042gt7) :D
Rien que le fait de l'écrire ici vient de le rendre vulnérable :D (j'espère que tu viens de l'inventer pour la blague sinon je serais toi j'irais immédiatement le changer :p)
Oh zut, aurai-je montré par inadvertance mon mot de passe ?
Et bien évidemment c'est du troll puissance 10 :)
7up3005 moi c’est 45454545ZAzA3747
@julien flament 5 :)
EH moi mon mot de passe c'est juste BBFNFKFKSNSBZLZMAOJFBXBCNAKLRLGLGKBQNNQLQKKFKGBFNFKLKSNNFNALLSLFNNF'LKKJDKKKQKSJNBBBXNSLSLQLALDNBFNNNNNNXKWLLBWBDKQLLDBCBDJJ55) 8#63=3_65#8&88:8%88%8%88 00*00%:8@6€!3+?=990,, '7:/@4€3?_6=77:00.. ^] ^^$¿¿¥®¥©] |] §¶ ¶;¦|÷>] ^[¡~ ®¥®
Beaucoup de mot de passe vont devenir : Q&ELCDCBDHQ$ ! xD
Excellente vidéo ! :D Information au top !
Bienvenue sur la chaine c'est pas sorcier
Et si dashlane se fait pirater ? 🤪
Tes mots de passe sont chiffrés avec ton mot de passe maître donc s'il est assez sécurisé ils sont protégés
Et Alors ? Dashlane est juste un service de gestionnaire de mdp , Dashlane n'enregistre pas tes mdp dans leur base de donné . Dashlane enregistre tes mdp dans ton disque dur donc si c'est toi qui te fait pirater c'est la que t'est dans la merde.
@ Non. Avec Dashlane premium et pendant la période d'essai, tous les mdp sont effectivement enregistrés sur leurs serveurs Amazon, et si votre mot de passe maître est trop faible, il pourra être décrypté et ça reviendra au même que le problème au départ, voir une situation pire car Dashlane stocke aussi la CB, n° sécu, adresse, etc.
Il faut bien se dire que chiffrer quelque chose ne le rend pas invulnérable par magie, et si le mot de passe maître est 1234 ça tiendra pas 5 minutes à une attaque ciblée.
Keylogger ?
Les mots de passes sont chiffrés sur ton disque dur avant d'être envoyé au serveur. Si dashlane, lastpass, 1password ou n'importe quel service de genre se fait pirater, les pirates ne vont pas récupérer une base de mot passes en clair ni une base de hash, ils auront uniquement des mots de passes chiffrés par une méthode lourde (probablement du aes...) qu'ils ne pourront pas déchiffrer.
En revanche, oui ! Tu es toujours vulnérable aux keyloggers. Pire !! Tu es vulnérable aux malware qui vont lire le presse-papier si tu fais des ctrl+c ctrl+v. Donc il faut faire très attention aux malwares !
Hackeur mais sous Windows 7
Pentester*
Qui te dit c'est un hackeur, a aucun moment de la vidéo il dit que c'est un hackeur, et puis c'est des cliché le fait de dire si tu n'est pas sur Linux et bah t'est pas un hacker.
2018 mais logo tribal de dragon
HaK eMi j vois mal un hacker digne de ce nom sous Windows quand même ;)
ça me semble logique qu'il soit connecté à distant à une machine linux
Rien n'est impossible, ne jamais penser qu'on est sécurisé à 100% c'est là qu'on se fait avoir... :)
Une bonne vidéo comme d'habitude, merci pour le divertissement.
les pb des gestionnaires de mdp:
- c'est que si il se fait hacké la tt le monde est bz
- Si tu vas sur l'ordi d'un pote ou ds ton école tu peux pas te connecter pcq le gestionnaire a créé un mdp de 17838729371 caracteres impossibles à retenir différents pour chaque site et du coup t'es bz
- Tu dois donner tes mdp a qlqn que tu connais pas et donc on sait jamais ce qu'il peut en devenir ...
perso la tech de la phrase random c'est le truc le plus cool je trouve, et meme vous pouvez aussi taper un mdp random genre TZ5!P%11az prendre 10 min pr le retenir et voila vous êtes safe
Vive Dashlane !!! Ma vie est tellement plus fluide avec je l'utilise depuis 1 an et d'ailleurs merci a toi Micode j'ai la version pro je suis tranquille pendant 1 an maintenant ca vaut le coup !
tu as oublié l'attaque de MITM pour le coup elle ne sert pas qu'a trouver des mots de passe mais si on s'en sert pour ça on est sûr à 100% de trouver le mot de passe (il y en a plein d'autre comme avec des payload qui nous envoie tout ce qui est taper sur le clavier de la victime mais c'est plus complexe et il y a une vrai interaction avec la cible puisqu'elle doit télécharger et parfois ouvrir un fichier) sinon super vidéo comme d'habitude
J'espérais une abonnement de 1 mois ou 2 offert sur Dashlane, mais merci beaucoup quand même pour cette vidéo, très intéressante !
La meilleure méthode consiste à mettre un mot de passe aléatoire et long, le noter sur un post-it, désactiver "se souvenir de moi" pour le retaper à chaque fois. À force, il rentrera dans la mémoire et alors il suffit de brûler le post-it : vous devenez le gestionnaire de mots de passe.
L'aléatoire est bien moins facile à retenir qu'une logique propre à nous comme une longue chaîne de caractères qu'on pimpe. Sinon t'as qu'à retenir les victoires de Napoléon tu fais d'une pierre deux coups haha
Y'a un truc qui vient de me faire ticker ...
Le GH, pour Giga Hertz est ultra utilisé, c'est uniquement une unité de dimension T^-1, donc en gros c'est quelque chose sans dimension part unité de temps.
En l'occurence, le nombre de calcul par unité de temps.
Depuis que j'ai vu cette vidéo j'ai tapé n'importe quoi sur mon clavier pour chaque compte et j'ai écrit sur un papier. Je crois que cela ferra l'affaire ;)
"Que j'utilise depuis un an" le petit mansonge qui tue personnes
La dernière vidéo sponso par Dashlane a été faite y’a un an, je l’utilise depuis.
Je ne suis pas caler dans ce domaine mais j'essaie quand-même de suivre ta vidéo ;) sinon tu à l'air de bien expliquer et la vidéo est bien montée, continue comme ça :D
Certains pleurerons quand une des bases de Dashlane tombera x)
Tips : faites générer un mot de passe sur un site random qui vous le donne par mail et modifiez le un peu, et hop un mot de passe à la con que vous allez apprendrez en 5 minutes.
Toutes les dbs de chez Lagardere stockent tout en clair
Keepass de mon côté, que des mots de passe générés, longs, au moins 20 (voir plus) de caractères alphanumérique avec variation de casse, et avec ça des caractères spéciaux quand c'est autorisé sur les sites.
Dashlane, même principe, pour moi y a pas de meilleure méthode jusqu'ici, je n'ai qu'un mot de passe maître à retenir (en lui-même très long et très personnel).
+ authentification double facteur sur les sites très très importants.
J'ai des questions :
1 - les mots de passe "robuste" proposés par Apple sont-ils fiables ?
2 - la plupart des sites actuels n'acceptent pas plus de 3 tentatives, je ne vois pas comment le "passage en force" peut passer
3 - par principe j'ai 4 niveaux de sécurité pour mes mots de passe. Pour aller sur le site des "La pétanque du château" par ex, j'ai le niveau de base, pour aller sur les sites commerciaux, c'est plus important, pour AppleStore, iTuneStore & cie, c'est encore d'autres plus complexes, pour la banque, les impôts, etc… ce n'est pas moi qui choisis le format. Alors je note seulement les mots de passe du niveau de base. Les autres sont dans mes ordinateurs. Mais le "trousseau" est-il inviolable sans avoir accès à mon ordinateur ?
Pour avoir différent mdp sans te casser la tête, tu peux aussi créer ton mdp en prenant un mot ou une phrase en changeant un maximum les lettres puis rajouter au début et à la fin du Mdp la lettre initial et final du site
Exemple : J'aime le Foot et je veux un Mdp sur Facebook : FJ'&mL€F0utK -> J'&mL€F0ut = J'aime le Foot / F ... K = Facebook
Il y a aussi des combolists, c'est encore plus efficace.
Contenu très intéressant !
Ton application c’est exactement ce que fait Apple avec Safari ça génère aussi des mot de passe fort et y’a pas besoin de payer une version premium pour la compatibilité iphone/ordinateur
ça fait bizarre ! Mais le pire, c'est quand les règles seront gérées par des IA qui créeraient de nouvelles règles originales pour aller encore plus loin !
Bonjour. J'avais quelques recherches sur la sécurité des mots de passe et je suis d'accord avec presque tout ce que vous dites.
Le vrai point de désaccord concerne les gestionnaires de mots de passe, outils que je déconseille. Si on les compare à une maison, il suffit de craquer la porte d'entrée de la maison et ensuite on peut entrer dans toutes les pièces, bien tranquille à l'intérieur. Et NE JAMAIS noter aucun de ses mots de passe dans son ordinateur.
Pour ce sur quoi nous sommes en accord, j'avais calculé qu'il faut au minimum 16 caractères alphanumériques plus caractères spéciaux pour résister à une attaque en force brute. Le nombre de combinaisons est de l'ordre de 8,95 * 10^30. On est très loin des débits de craquage usuels (il faut un siècle en force brute, à moins de disposer d'un Cray.)
J'avais aussi élaboré des règles de construction de mots de passe qui en particulier, sont conçues pour rendre inefficaces les méthodes analytiques ou même des analyses aléatoires, mais évidemment je ne vais pas les donner ici.
Penser aussi à faire en sorte que le mot de passe soit difficile à taper au clavier, ainsi, même si le collègue d'à côté en a pris connaissance, il risque de ne pas pouvoir le saisir en trois essais.
J'ai aussi envisagé des mots de passe de longueur... infinie. Stupide ? Non : la plupart des fonctions mathématiques délivrent un nombre infini de nombres. Cependant, comme généralement une fonction s'écrit avec un nombre fini de caractères, il faut en trouver une pour laquelle ce nombre de caractères soit à priori... indéfini, J'ai ainsi trouvé une fonction NON polynomiale qui peut servir.
L'intérêt des fonctions non polynomiales est qu'elles ne peuvent pas s'écrire de façon algébrique. De plus, beaucoup ne sont pas réversibles. Lorsque les modifications des coefficients donnent des résultats très variés, cela va devenir une jungle pour les ajuster. (C'est aussi le cas avec les courbes elliptiques.)
Enfin, une petite chose à apprendre aux naïfs : ne pas utiliser des mots compliqués pris dans un dictionnaire, tel que le"redoutable" Sphygmotensiomètre suivi de son année de naissance.
NEKO
Pour ma part, j'utilise un mot de passe complexe de 8 caractères minimum contenant des chiffres, des lettres (Majuscules et minuscules), des symboles, des caractères spéciaux, chacun différents pour chaque site ou compte sauf pour les endroits dont je me fous complètement, j'utilise un mot de passe basique et enfantin... Ensuite, je les note sur un carnet que je range bien secrètement chez moi et sur un petit bout de papier que je porte sur moi quotidiennement au cas où j'aurais un trou de mémoire, j'y ai pensé à les noter sur les notes de mon téléphone mais seulement, si il arrive une complication du genre une casse, une perte ou un vol, j'ai vite renoncé à l'idée... Mais je reconnais être particulièrement tenté de profiter de l'offre de Dashlane ! 👌😁
Sinon, pour ceux qui ont la flemme de chercher un mot de passe, vous pouvez faire un truc, vous interrogez 15 passants et leur demander de vous sortir, un caractère au hasard, bien-sûr vous demandez précisément quel type vous voulez, en 10 minutes vous aurez votre dû 😂
Ce mot de passe que tu nous montre est bien, mais utiliser des phrase très célèbre, c'est un peu ce jetter dans la gueule du loup, surtout sans alternance de MAJUSCULE/minuscule et sans ch1ffr3. Je suis plus pour prendre des trucs sombre que personne ne connais et y rajouter plus de truc. Disons que je prend le "You have met with a terrible fate, haven't you" de MM (C'est un exemple, j'ai des mots de passe beaucoups plus obscure), et je je le modifie un peu, j'obtien: 5YhmwatF3H*y4, Le premier 5 étant le nombre de zones du jeu, You have met with a terrible Fate (une majuscule avant la virgule), 3 pour le nombre de masques principaux, Haven't, * pour séparer les deux mots seul, you, 4 le nombre de géants. Avec ça, suffit de se souvenir de l'ordre des infos. 5YhmwatF3H*y4
À propos du conseil final de prendre une phrase longue et utiliser les premières lettres de chaque mot pour construire son mot de passe. Quitte à retenir une phrase, autant utiliser la phrase entière comme mot de passe. C'est un peu plus long à taper, mais on n'a pas besoin de le taper plus d'une ou deux fois par jour.
Par contre il reste indispensable de ne pas réutiliser des mots de passe identiques ou semblables pour différents comptes.
Et surtout les comptes les plus importants à sécuriser par des mots de passe ultra-solides sont les comptes mails qui servent pour la procédure de réinitialisation du mot de passe. Si quelqu'un arrive à prendre le contrôle d'un compte mail, il peut aller sur n'importe quel site et cliquer sur le lien "j'ai oublié mon mot de passe" pour obtenir un mail avec un lien permettant de modifier votre mot de passe sans connaître celui que vous avez mis.
Tu oublies que beaucoup de site font maintenant une operation de "salage" avant de calculer le hash qui permet de complixifier le piratage. Le salage va rendre unique le hash correspondant pour un même de passe. Le pirate devra donc connaitre le "sel" pour calculer un dictionnaire de hash. Pour les dev, preférer cette méthode pour stocker des mots de passe.
Attention, cela m'empêche pas pour autant d'avoir un mot de passe unique pour chaque site et ta recommandation d'utiliser un gestionnaire de mot de passe reste totalement valide.
L'article wikipedia est très bien écrit à ce sujet pour ceux que ça interresse: fr.wikipedia.org/wiki/Salage_%28cryptographie%29
Toujours géniales tes vidéos !! Bonne continuation !
Il a dit "vous allez avoir la même avoir la même réaction que moi et vous allé changé vos mots de passe" mais gros avouer on a tous la flemme mdr.
Sympa, j’essaierai bien de retrouver mon pass à partir du hash pour le fun, j’ai 7 RTX 3060Ti 1 RTX 3080 et une 1080, curieux de savoir en combien de temps il tombe.
Un mot de passe pour accéder à tous les mots de passe. Un anneau pour les contrôler tous !
Blague à part je suis pas certains de la pertinence de ce genre de pratique. Si le mot de passe tombe, ils tombent tous.
En revanche, j'aime beaucoup le conseil que tu donnes pour créer un mot de passe.
Steam guard est quand même une belle invention
Perso jconnais quelques potes qui crackent plein de comptes (Amazon, PayPal, Fortnite...) avec des combos (ce qu'on appelle avec le language familial des crackeurs des combos) et bah enfait ce qu'ils faisaient c'est qu'ils crackaient ces comptes et ils les revendaient ultra cher genre un compte PayPal avec 500€ ils le vendent à 100€ ou plus (ça dépend du mec quoi) et bah enfait j'ai déjà essayé une fois (même des dizaines de fois) et j'ai vraiment trouvé beaucoup mais beaucoup de comptes!
Ah dommage tu parles pas du concept du salage des hash, ca réduit pas mal le risque des attaques par brute force, dico ou rainbow table.
Sinon très bonne vidéo ;)
Dashlane si leur société fait faillite, tu perds tous tes mdp randoms que t'avais chez eux et si eux se font hacker tous les mdp se balladent dans le dico d un hacker
Y a aussi la technique de la rainbow table, qui est intéressante pour casser plusieurs mots de passe rapidement :)
… sauf que tous les hashs sont salés aujourd'hui, technique obsolète du coup.
Pour le challenge n°3, IL FAUT ENLEVER LES CROCHETS et bien écrire sous forme : prénom_nom
J'imagine que pour les challenges suivants il faut aussi les retirer alors attention.
Merci Micode pour le challenge c'est vraiment quelque chose de cool mais c'est bien trop compliqué pour quelqu'un qui n'a jamais pratiqué aucun langage informatique (comme moi), ce concours est donc loin d'être à la portée de tout le monde. Mais en faire plus souvent serait intéressant (pourquoi pas en faire sur la chaîne Foreach c'est le but de votre marque), je me suis surpris à aller voir ce qu'étaient les "regex" et essayer d'apprendre pour comprendre. La possibilité du gain y encourage, c'est un aspect à garder selon moi.
bon conversion du binaire en ascii et ensuite ?
On a parlé de cette vidéo avec des potes irl, et en fait on a tous flippé, on a tous renforcé nos mdp. Boooon, ce fut le coup de stress x)
Connais deja dashlane deja abonné depuis plusieurs mois
Mémoire des mots de passe à plus de 15 caractère quand tu nous tiens 😂😂😂
keepass est opensource et gratuit +plein de plugin pour différents navigateurs et backup cloud, existe aussi pour android et iphone(nom différent)...
L'idée de la phrase à mémoriser me plait bien! Je la garde en mémoire.
Pour une alternative libre et gratuite à Dashlane y’a Bitwarden qui est en plus disponible sur navigateur et sur tous les os
Si on change nos mdp toutes les heures, ça passe
Tres tres tres bonne video