IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les mots de passe Windows NTLM à 8 caractères peuvent être piratés
En moins de 2,5 heures, selon des chercheurs

Le , par Stan Adkens

679PARTAGES

12  1 
Le mot de passe, la fameuse suite de caractères que chacun de vous utilise quelque part sur Internet ou sur son ordinateur personnel ou encore sur son ordinateur de travail pour sécuriser l’accès à un compte, en particulier celui qui utilise 8 caractères, n’est plus sûr comme on le croit. Qu’il soit composé d’un mélange de chiffres, de caractères spéciaux, de lettres majuscules ou minuscules, des chercheurs affirment qu’il peut être craqué en moins de 2,5 heures.

De nombreux sites Web et services conseillent d'utiliser un mot de passe d'au moins huit caractères avec un mélange de majuscules et de minuscules, chiffres et caractères spéciaux. C'est la norme pour les mots de passe depuis des années. Malheureusement, ce type de mot de passe soit disant « complexe » peut être piraté en quelques heures.

Les chercheurs viennent d’y parvenir en utilisant HashCat, un outil de récupération de mot de passe open source, et ont pu montrer qu’il est possible de cracker un mot de passe Windows NTLM de huit caractères en moins de 2,5 heures, aussi peu de temps qu’on ne pouvait imaginer.


La force d’un mot de passe est un facteur de la sécurité informatique qui prend de plus en plus de l’importance ces derniers temps où le nombre de comptes par personne explose. Mais malheureument, les utilisateurs n’y prêtent pas assez attention. Certains utilisent un même mot de passe pour tous leurs comptes. Une étude menée au Royaume-Uni en 2013 a démontré que 55 % des utilisateurs se servaient d’un même mot de passe, la plupart du temps « faible », pour se connecter à de multiples sites Internet.

Au cours de la même année, Robert Siciliano de McAfee, a trouvé que ce chiffre établi par des chercheurs au Royaume-Uni doit être revu à la hausse. Selon lui, au moins 74 % des utilisateurs se serviraient du même mot de passe pour avoir accès à tous leurs services en ligne. Et le pire, c’est que ces mots de passe sont facilement cassables en utilisant une « attaque par dictionnaire ». Un classement des mots de passe les plus utilisés publié en janvier 2017, selon keeper, mettait en première place le mot de passe « 123456 », en seconde place « 123456789 » et en troisième place « azerty ».

Le temps de piratage d’un mot de passe a considérablement diminué. En 2011, Steven Myer, chercheur en sécurité, a démontré qu'un mot de passe de huit caractères (53 bits) pouvait être forcé en 44 jours, ou en 14 secondes si vous utilisez un GPU et des tables arc-en-ciel - des tables pré-calculées pour inverser des fonctions de hachage. Et le développeur Jeff Atwood a affirmé en 2015 que la longueur moyenne des mots de passe était d'environ huit caractères, et rien n'indique que les choses aient beaucoup changé depuis lors.

L'un des chercheurs en cybersécurité à l'origine de la découverte a posté sur Twitter le 14 février, les détails de la mise au point de leur système personnalisé de craquage de mots de passe. Ils ont utilisé une version bêta de HashCat 6.0.0, couplée à huit GPU Nvidia GTX 2080Ti dans une attaque hors ligne. Avec ce système construit à la main, les chercheurs ont pu dépasser le seuil de vitesse de piratage du NTLM qui était de 100 GH/s (gigahashes par seconde).

« Les benchmarks actuels de craquage de mot de passe montrent que le mot de passe minimum de huit caractères, aussi complexe soit-il, peut être craqué en moins de 2,5 heures » en utilisant ce matériel, explique un hacker qui se fait appeler Tinker sur Twitter dans une conversation directe avec un site Web. « Le mot de passe à huit caractères est mort. », a-t-il dit dans un post sur Twitter.


NTLM est un ancien protocole d'authentification Windows qui a depuis été remplacé. Cependant, Tinker affirme qu'il est toujours utilisé pour stocker les mots de passe Windows localement ou dans le fichier NTDS.dit dans Active Directory Domain Controllers.

Lorsque Troy Hunt, chercheur en sécurité, a examiné la longueur minimale des mots de passe sur divers sites Web l'an dernier, il a constaté que si Google, Microsoft et Yahoo ont fixé la barre à huit caractères, Facebook, LinkedIn et Twitter n'en exigeaient que six. Selon Tinker, le mot de passe de huit caractères a été utilisé comme référence parce que c'est ce que de nombreuses organisations recommandent comme longueur minimale de mot de passe et que de nombreuses politiques informatiques d'entreprise reflètent cette orientation.

« Parce que nous avons poussé l'idée d'utiliser la complexité (lettres majuscules, minuscules, chiffres et symboles), il est difficile pour les utilisateurs de se rappeler les mots de passe individuels, » a déclaré Tinker. « Cela amène, entre autres, les utilisateurs à choisir la longueur minimale autorisée, afin de pouvoir se souvenir de leur mot de passe complexe. En tant que tel, un grand pourcentage d'utilisateurs choisissent les exigences minimales de huit caractères. »

Selon Tinker, un meilleur mot de passe serait constitué de cinq mots aléatoires (environ quatre ou cinq caractères chacun) enchaînés ensemble pour devenir un mot de passe de 20 caractères. Tinker recommande que le mieux est d'utiliser un gestionnaire de mots de passe fiable et de choisir la longueur maximale autorisée pour le mot de passe avec une authentification à deux facteurs activée.


Par ailleurs, en mai 2013, à l’occasion de la « journée du mot de passe » de McAfee, Robert Siciliano a incité à utiliser des « passephrase » faciles à retenir, plutôt que des mots de passe compliqués et difficiles à retenir. En effet, selon lui, le secret d’un mot de passe fort ne réside pas dans sa complexité, mais dans sa longueur. Pour lui, une phrase comme « Je suis 1 élève de Terminale S » constituerait un excellent mot de passe.

Source : India Times

Et vous ?

Que pensez-vous de ce nouveau temps établi pour craquer un mot de 8 caractères ?
Utilisez-vous le nombre minimum de caractères recommandé pour vos mots de passe ou des passephrase ?
Selon vous, pourquoi les gens n’aiment pas utiliser les longs mots de passe ?

Lire aussi

« Pirater des mots de passe est aujourd'hui à la portée de tous », un amateur explique comment faire et donne cinq débuts de parades
Comment procédez-vous pour créer un mot de passe fort et facile à retenir ? McAfee propose des conseils pour sa « journée du mot de passe »
Classement des mots de passe les plus utilisés : 123456 en tête suivi de 123456789 et qwerty, quels sont selon vous les pires mots de passe à bannir ?
Les pires mots de passe 2018 : « 123456 » trône en tête du classement pour la cinquième année consécutive, et est suivi par « password » comme en 2017
Le changement fréquent de mot de passe pourrait rendre les systèmes moins sécurisés, contrairement à ce que l'on croit, révèlent des études

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de pascaldm
Membre actif https://www.developpez.com
Le 01/03/2019 à 16:05
Citation Envoyé par Neckara Voir le message

Ensuite, la longueur du mot de passe ne sert à rien.
Le principal critère de robustesse d'un mot de passe est sa taille (son entropie). A condition qu'il ne s'agisse pas d'un mot d'un dictionnaire. La complexité (ou pseudo complexité) est secondaire, surtout lorsqu'il s'agit d'un mot de passe dont la politique de sécurité est connue. L'utilisateur à la fâcheuse habitude de suivre cette politique à la lettre. Ainsi, si l'administrateur exige un mot de passe de 10 caractères avec comme exigence au moins 1 Majuscule, 1 minuscule, 1 caractère spécial et 1 nombre, les études statistiques sur le format du mot de passe annonce que +80% des utilisateurs utiliseront la forme M{m,7}SN ou M=Majuscule, m=minuscule, S=Special N=nombre.

L'utilisateur constitue son mot de passe dans l'ordre des consignes données. Un cluster de GPU, un bon dictionnaire et une règle de mutation suivant ce format casseront sans difficulté de nombreux mots de passe conformes à ce modèle. C'est une réalité de chaque mission incluant un cassage de mots de passe. Aujourd'hui, se munir d'un cluster de 3 à 8 GPU grand public (1080 TI ou 20120 Ti) est à la portée de beaucoup de monde... Les RIG pour la crypto-monnaies sont passées par là.

La principale robustesse est la longueur du mot de passe (toujours dépasser la taille minimale). Ensuite, ne jamais suivre le format de l'énoncé. La suite de mots évoquée dans l'article est à proscrire malgré que cela aboutisse à de longs mots de passe. En effet, si l'attaquant a connaissance de cette pratique, de récentes études ont démontré que l'attaque consiste en une combinaison de 4/5 mots. L'alphabet de symboles n'est plus le caractère mais le mot. Bien que l'espace de mots soit bien supérieur à celui des caractère (95 symboles pour les contrées à base d'alphabet latin/grec), le nombre de symboles du mot de passe est très limité. C'est contre-intuitif, mais la longueur est ici de 4 ou 5 symboles seulement. Une succession de mots doit utiliser d'autres caractères pour ajouter de la complexité ou bien choisir une suite de mots bien plus longue...
3  0 
Avatar de Steinvikel
Membre expert https://www.developpez.com
Le 17/02/2019 à 12:07
Si Facebook et consort permettent un mdp de 6 caractères, c'est parce qu'ils bloquent les nouvelles tentative pendant un certain délais après un seuil de mdp erronés, contrairement au crackage de mdp d'une archive zip... ce qui augmente considérablement le temps de force brute ou par dictionnaire pour cracker un mdp FB par rapport à un soft ou un fichier local.
Ensuite, les abus de mot de passes sont majoritairement (de ce que j'ai pu lire) en provenance de fuite tierce --> accès à son carnet de mot de passe, de son fichier qui les regroupe, espionné la saisie sur le clavier, déduit par des données socio-comportementales + recoupement, abus de confiance, commérage... et plutôt que de les cracker par force brute, c'est le serveur qui contient la base des mdp qui est cracké, puis revendu, exposé, etc.
2  0 
Avatar de pascaldm
Membre actif https://www.developpez.com
Le 01/03/2019 à 18:16
Citation Envoyé par Neckara Voir le message

aaaaaaaaaaaaaaaaaa est un mot de passe assez long, mais avec une entropie très faible.
Cela aboutie à un joli sophisme

Un mot de passe généré par un être humain sera toujours porteur de nombreux biais cognitifs. C'est justement ce qui permet de les casser. La plus grande difficulté pratique rencontrée dans les campagnes de cassage de mots de passe est, et reste, la longueur de celui-ci. Sauf exception elle est inconnue. L'attaquant fait des suppositions et profite d'un biais cognitif très fréquent de l'utilisateur, qui réduit son mot de passe à la taille minimale par dilettantisme dans la majorité des cas.

Considérant l'exemple donné d'une suite de 18 "a", en y associant une complexité d'un alphabet commun de 95 symboles, cela donne un espace de valeurs théoriques de 9518. Il s'agit du problème de l'entropie du point de vue du casseur (imprédictibilité du mot de passe). Pour l'attaquant, il s'agit de réduire cette entropie en profitant des informations sur le système et des connaissances sur les biais cognitifs humains. La connaissance de l'attaquant est parfois plutôt réduite. Ici le postulat pourrait être la connaissance de la longueur du mot de passe et de l'alphabet). Ce que cherche l'attaquant c'est de connaître l'instanciation du mot de passe (ex: aaaaaaaaaaaaaaaaaa). Même si son entropie peut être qualifiée de faible, elle est noyée dans l'espace des possibilités, qui possède une forte entropie

Pour rappel, la robustesse d'un mot de passe est facteur de sa longueur, de sa complexité (il s'agit de l'espace de symboles) et de son caractère aléatoire.
  • La complexité est imposé par le système.
  • La longueur est partiellement imposée (longueur minimale, parfois aussi maximale). L'utilisateur décide arbitrairement de la longueur.
  • Le caractère aléatoire est très subjectif (sauf à utiliser un RNG). De surcoît, ce domaine est plutôt méconnu et les utilisateurs font beaucoup d'erreurs sur ce point, ce qui profite à l'attaquant. Pour bien utiliser cette propriété, mon avis est qu'il faut disposer d'une expérience pratique du cassage des mots de passe ce qui est inconcevable pour l'utilisateur commun.

En pratique, le caractère aléatoire produit par un être humain ne l'est pas. La complexité peut être à l'état de l'art, mais elle est en générale connue de l'attaquant. Le paramètre sur lequel l'utilisateur peut jouer est la longueur. Or, la longueur peut poser des situations insolubles pour l'attaquant, même avec une faible complexité lorsque la longueur est importante.

Malgré les avancées du calcul massivement parallèle (GPGPU, Grid computig, cluster FPGA, processeurs massivement multi-coeurs Xeon Phi, ...), en pratique, la longueur du mot de passe reste la principale inconnue ou bien le principal obstacle lorsqu'elle est connue. Un mot de passe de 10/12 caractères pour une complexité moyenne à haute est quasiment irrécouvrable (avec des moyens non étatiques). En prenant en compte des biais, il est de temps en temps possible de casser certains mots de passe d'une telle robustesse.

Bien sûr, il n'y a pas que les règles de mutation de mots de passe candidats depuis un dictionnaire. Il existe aussi des méthodes d'attaque statistique comme les chaînes de markov (je n'ai jamais eu de résultat probant avec ces méthodes) ou bien les tables Rainbow très efficaces lorsque la longueur est connue et fixe et que les tables peuvent être calculées (forcément en calcul distribué). A titre d'illustration, j'ai mis en oeuvre en 2012 le cassage du chiffrement A5/1 du GSM avec l'outils kraken, de la radio logicielle et les tables arc-en-ciel calculés en grid computing à l'initiative de Karsten Nohl. Il s'agissait de recouvrer la clef de session de 64-bits (longueur fixe et connue) en quelques secondes.

En 25 ans de métiers en Cybersécurité, mon expérience pratique sur le cassage de mots de passe bute toujours sur la longueur de ce dernier... C'est la principale variable d'ajustement pour protéger les mots de passe et une course sans fin... En Cybersécurité, les attaques pratiques prennent toujours le pas sur la théorie, d'autant plus qu'il n'y a quasiment jamais d'analyse formelle réalisée et que les concepteurs s'attendent toujours à un usage normal de leur système....
2  0 
Avatar de Etre_Libre
Membre éprouvé https://www.developpez.com
Le 17/02/2019 à 8:25
Pour Windows NTLM (obsolète) il faut donc un accès local à la machine, non ?
1  0 
Avatar de Neckara
Inactif https://www.developpez.com
Le 17/02/2019 à 10:39
Citation Envoyé par Stan Adkens Voir le message
« Le mot de passe à huit caractères est mort. », a-t-il dit dans un post sur Twitter.
Heu… il a juste quelques années de retard.

Cela fait un bout de temps que les recommandations sont passées à 10, voire 12, caractères.
Justement parce qu'on arrivait facilement à casser des mots de passes à 8 caractères (on donne généralement ~1h pour le casser).

Ensuite, la longueur du mot de passe ne sert à rien.
Ce qu'il faut, c'est qu'il soit le plus imprédictible possible, i.e. qu'en sachant comment il a été construit, avec les biais potentiels à sa construction, il faille tester un nombre trop important de possibilités afin de pouvoir le retrouver dans un temps "raisonnable".

Un mot de passe complexe n'est pas vraiment un problème, le problème, c'est surtout de ne pas réutiliser ses mots de passes et de les retenir sans les écrire sur un post-it.
Pour cela, un gestionnaire de mot de passe est des plus approprié, et permet de générer des mots de passes sans aucune limitation, e.g. 32 voire 64 caractères totalement aléatoires. Il ne suffit alors plus que d'apprendre un seul mot de passe maître, qui peut se permettre d'être compliqué. On peut aussi le coupler avec un outil matériel, e.g. une Yubikey (mieux vaut en avoir une de secours au cas où).
2  1 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 17/02/2019 à 12:49
Citation Envoyé par Etre_Libre Voir le message
Pour Windows NTLM (obsolète) il faut donc un accès local à la machine, non ?
La plupart du temps oui. L'article cite le cas où l'on a récupéré le NTDS.dit du contrôleur de domaine. Néanmoins, obsolète ne veut pas dire plus utilisé, on trouve toujours des systèmes plus ou moins anciens ou l'authentification NTLM n'a pas été désactivé. A ce moment là il y a divers moyens de se faire envoyer un hash NTLM.

Citation Envoyé par Neckara Voir le message
Heu… il a juste quelques années de retard.

Cela fait un bout de temps que les recommandations sont passées à 10, voire 12, caractères.
Justement parce qu'on arrivait facilement à casser des mots de passes à 8 caractères (on donne généralement ~1h pour le casser).
Non, il démontre pour la première fois qu'il est aussi facile de casser un hash NTLM d'un password de 8 caractères. Les recommandations sont émises pour anticiper une situation qui risque fortement d'arriver. C'est comme par exemple l'obsolescence de MD5, elle a été décrété bien avant qu'on arrive concrètement à faire des collisions à la demande. Tu omet de plus de considérer le type de hash utilisé. On ne peut pas parler de mot de passe à 8 caractères en générale; il faut prendre en compte l'algorithme de hashage utilisé, certains nécessitant plus de puissance de calcul que d'autres et donc résistant mieux au bruteforce.

Citation Envoyé par Neckara Voir le message

Ensuite, la longueur du mot de passe ne sert à rien.

Un mot de passe complexe n'est pas vraiment un problème
As tu lu l'article?

Par ailleurs, en mai 2013, à l’occasion de la « journée du mot de passe » de McAfee, Robert Siciliano a incité à utiliser des « passephrase » faciles à retenir, plutôt que des mots de passe compliqués et difficiles à retenir. En effet, selon lui, le secret d’un mot de passe fort ne réside pas dans sa complexité, mais dans sa longueur.
L'article dit bien que l'optimal est un mot de passe très long, avec des composantes simple à retenir (avec l'exemple d'une suite de mots aléatoire). Lis les recommandations plutôt que d'en inventer au doigt mouillé.

le problème c'est surtout de ne pas réutiliser ses mots de passes et de les retenir sans les écrire sur un post-it.
Ne pas réutiliser les mots de passe effectivement, les écrire quelques part ça dépend. Autant dans le cadre professionnel il est totalement prohibé de noter des mots de passes, autant dans l'usage personnel c'est presque recommandable. En effet il est préférable d'établir des mots de passes forts et différents pour chaque site et de les noter pour ne pas les oublier, plutôt que de mettre le même mot de passe faible partout de peur de l'oublier. Je préconise un carnet qui reste chez soi tant que possible bien sur.

L'usage d'un gestionnaire de mots de passe est bien plus efficace mais cela reste une solution techniques difficile à mettre en place pour tous les usagers.

Citation Envoyé par Steinvikel Voir le message
Si Facebook et consort permettent un mdp de 6 caractères, c'est parce qu'ils bloquent les nouvelles tentative pendant un certain délais après un seuil de mdp erronés, contrairement au crackage de mdp d'une archive zip...
Citation Envoyé par Etre_Libre Voir le message
Merci ça confirme ce que je pensais : les crackages en ligne par brute force sont forcément rares, car si c'est bien paramétré ça bloque automatiquement avec x tentatives... ça limite déjà fortement cette pratique.
Le brute force en ligne a encore de beau jours.

Pensez par exemple au bruteforce horizontal qui est souvent oublié, c'est à dire le fait de tester le même mot de passe (par exemple "123456" sur tous les comptes. C'est assez efficace encore aujourd'hui. Si effectivement Facebook permet un mot de passe de 6 caractères cela reste une très mauvaise pratique. Il est aussi possible d'utiliser un botnet pour faire du bruteforce en outrepassant les protection du type temps d'attente entre deux essaies ou pas plus de x tentative depuis une même machine.

Un exemple récent, quelqu’un démontré qu'il était possible d'outrepasser les mesures anti bruteforce des cartes VISA sur le code à trois chiffres. Il a été démontré qu'en passant par un site marchand différent entre chaque essaie, aucune mesure anti bruteforce n'était déclanchée, et ainsi le chercheur arrivait à retrouver le code à trois chiffre de n'importe quel carte VISA. Cf: https://www.bleepingcomputer.com/new...brute-forcing/

Citation Envoyé par Steinvikel Voir le message
Ensuite, les abus de mot de passes sont majoritairement (de ce que j'ai pu lire) en provenance de fuite tierce --> accès à son carnet de mot de passe, de son fichier qui les regroupe, espionné la saisie sur le clavier, déduit par des données socio-comportementales + recoupement, abus de confiance, commérage... et plutôt que de les cracker par force brute, c'est le serveur qui contient la base des mdp qui est cracké, puis revendu, exposé, etc.
Ce n'est pas ma vision des choses. La majorité des fuites sont dus à des bases de donnée volée contenant des mots de passes en claires ou des bases de donnée contenant des mots de passes chiffrés qui ont été cassés localement. Tu as raison sur la déduction par des données socio-comportementales, il est possible d'anticiper soit un lexique de mot utilisé (du type des marques de voitures pour un forum d'automobile), ou un format de mot de passe (mot de quelques lettres + une date). De plus chaque base de donnée récupérée permet d'enrichir les dictionnaires pour la prochaine...
3  2 
Avatar de Etre_Libre
Membre éprouvé https://www.developpez.com
Le 17/02/2019 à 12:18
Citation Envoyé par Steinvikel Voir le message
Si Facebook et consort permettent un mdp de 6 caractères, c'est parce qu'ils bloquent les nouvelles tentative pendant un certain délais après un seuil de mdp erronés, contrairement au crackage de mdp d'une archive zip... ce qui augmente considérablement le temps de force brute ou par dictionnaire pour cracker un mdp FB par rapport à un soft ou un fichier local.
Ensuite, les abus de mot de passes sont majoritairement (de ce que j'ai pu lire) en provenance de fuite tierce --> accès à son carnet de mot de passe, de son fichier qui les regroupe, espionné la saisie sur le clavier, déduit par des données socio-comportementales + recoupement, abus de confiance, commérage... et plutôt que de les cracker par force brute, c'est le serveur qui contient la base des mdp qui est cracké, puis revendu, exposé, etc.
Merci ça confirme ce que je pensais : les crackages en ligne par brute force sont forcément rares, car si c'est bien paramétré ça bloque automatiquement avec x tentatives... ça limite déjà fortement cette pratique.
0  0 
Avatar de Itachiaurion
Membre confirmé https://www.developpez.com
Le 17/02/2019 à 13:18
Citation Envoyé par benjani13 Voir le message


L'usage d'un gestionnaire de mots de passe est bien plus efficace mais cela reste une solution techniques difficile à mettre en place pour tous les usagers.

Je suis d'accord avec la majorité de ce que tu as dit sauf cela. Un gestionnaire de mot de passe n'est pas une solution technique difficile a utiliser ou mettre en place du moments que l'on maitrise la langue d'usage du logiciel ou que l'on sache se servir correctement d'un ordinateur. Effectivement ma grand mère trouverais sans doute cela fort compliqué, mais c'est parce qu'elle ne sais pas se servir de son ordinateur de bases sans une liste d'instruction. Le problème venant surtout de prendre l'habitude de l'utiliser systématiquement pour ses nouveaux mot de passes, et surtout de remplacer ses anciens mot de passes par des nouveaux généré pseudo-aléatoirement par le dit gestionnaire. Il permet en plus d'intégrer des rappelles si l'on veut les changer tous les X jours pour renforcer la sécurité des identifiants. Un gestionnaire de mot de passe est surtout fastidieux a utiliser les premières fois quand l'on a pas encore migré ses identifiants dessus, cela devient comme tout une habitude avec le temps.
1  1 
Avatar de Steinvikel
Membre expert https://www.developpez.com
Le 18/02/2019 à 11:01
...d'autres sites, de type associatif, les stockent en chiffré, mais les transmettent en clair --> *censuré* http://*******.forumactif.com/login

Un seul mot de passe pour tout c'est trop centraliser... mais regroupé par thème ça devient très vite judicieux.
Je conseil le gestionnaire de mots de passe à travers le navigateur internet pour les non-informaticiens mal-aisant... quand le PC clasme, je copie le profile Firefox et la nouvelle machine retrouve toutes ces infos de login.
Pour les autres logiciels, c'est plus compliqué. Et il faut savoir que les gestionnaires de mots de passe sont resté jusque tout récemment, non chiffré ou peu (mal) chiffré, je suis aujourd'hui encore suspicieux sur les licences non libres.
0  0 
Avatar de darklinux
Membre extrêmement actif https://www.developpez.com
Le 18/02/2019 à 14:14
C 'est un gros soucis , je savais que le NTLM était percé , mais pas à ce point et puis avec e la puissance relativement " bon marché " c 'est très inquiétant
0  0