Nous voulons fournir ce matin une mise à jour sur les rapports des mots de passe volés. Nous pouvons confirmer que certains mots de passe compromis correspondent aux comptes LinkedIn […] Nous nous excusons sincèrement pour les désagréments que cela a causé à nos membres. Nous prenons la sécurité de nos membres au sérieux.
Quelques explications
Lors de la création de votre mot de passe sur un site, ce dernier passe ensuite dans un algorithme de Hash, dans ce cas SHA-1, afin d’être stocké de manière “chiffré”, donc “sécurisé”, dans la base de données. Or, nous savons que depuis 2005, l’algorithme utilisé par LinkedIn, SHA-1, est considéré comme non fiable. LinkedIn aurait pu éventuellement, pour renforcer la sécurité, ajouter un “salt” afin d’augmenter la difficulté lors d’une tentative de cracking des mots de passe. Quoi qu’il en soit, une enquête interne est actuellement menée.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Mais quelle connerie ce site… purée pas compliquer de foutre un salt, allez y auraient même pu faire un petit combo :
sha1(salt.md5(salt.mdp)) –> Comment ça je suis parano ?!
Des petits joueurs 😀
J’aurais même ajouté une pointe de pepper pour relever le tout.
@Chrystelle: Hors -> Or *T_T*
Et on veut qu’on mette toute nos données dans le cloud, je ne le ferais jamais juste pour ses affaires répétitions de vol de données.
Le cloud ne pourra jamais remplacer les bons disques durs personnels dans nos pc.
Le cloud ne sera jamais assez sécurisé pour que je lui fasse confiance pour mes données personnelles.
C’est bien, plus il y aura des affaires comme celle la, cela pourra refroidir les détenteurs du tout dans les nuages dont je suis purement contre.
oolongtea : non mais cherche pas, aujourd’hui c’est pas mon jour ^^’
Petite précision, l’utilisation de SHA1 permet de “hacher” et non pas de “chiffrer”, qui sont deux notions bien différentes en sécurité !
@Chrystelle: J’espère que tu m’en veux pas, j’étais en pleine crise ;p
Non non au contraire il faut me le dire, surtout aujourd’hui, je n’arrête pas 😀 Mais c’est bon, promis, je passe en mode “concentrée à 100%” 🙂
Ouai enfin même s’ils n’ont pas de salt déchiffré les 6,458 millions de mots de passe est bien trop long pour être réalisable.
@millman y’en a deja plus d’ 1 millions de cracker 🙂
@Chrystelle : tres bon article, tres pro congrats
Trop long pour être réalisable ??
Lis ça pour changer d’avis : http://stacksmashing.net/2010/11/15/cracking-in-the-cloud-amazons-new-ec2-gpu-instances/
@millman : Pas nécessairement irréalisable, avec les tables arc-en-ciel appropriées.
Hacher est un mauvais anglissisme (à la limite on peut utiliser hasher), en français on parle de condensé pour un hash.
Et concernant la récupération des mots de passe à partir de ces condensés SHA-1, ce n’est même pas nécessaire de récupérer des rainbow tables ou des outils utilisant des dictionnaires, il existe déjà de nombreux sites Web qui offrent le service clé en main (ex: http://www.stringfunction.com/sha1-decrypter.html)
Faire des rainbow tables sur du sha-1 alors qu’il existe des méthodes pour trouver des collisions ça n’a pas de sens. Pas plus que de mettre des salt.
Beaucoup de kikoo dans les commentaires de cet article :-/
“Nous prenons la sécurité de nos membres au sérieux.”
C’est pour cela qu’on utilise du SHA-1 et aucun grain de sel !
Excellent !