Commentaires sur : Cracker le mot de passe principal de Firefox

Par : Write up challenge forensic organisé par R00tbsd

Write up challenge forensic organisé par R00tbsd — Sat, 27 Nov 2010 13:42:11 +0000

[...] Cassons donc ce mot de passe principal! Une recherche sur google nous permet de tomber la dessus: http://www.korben.info/cracker-le-mot-de-passe-principal-de-firefox.html Et c’est shp qui va s’occuper de cracker cela. Dans un prompt, => firemaster.exe -b [...]

Par : martine guilbert

martine guilbert — Wed, 31 Mar 2010 05:29:54 +0000

je ne sais plus lire mes messa

Par : martine guilbert

martine guilbert — Wed, 31 Mar 2010 05:28:44 +0000

je ne sais plus rien regarder sur mes mail et aucun jeu

Par : sebsauvage

sebsauvage — Fri, 11 Sep 2009 08:04:08 +0000

Tiens justement, j’ai mis au propre l’astuce:
http://sebsauvage.net/rhaa/index.php?2009/09/11/08/34/55-choisir-de-bons-mots-de-passe

Par : sebsauvage

sebsauvage — Wed, 09 Sep 2009 19:44:24 +0000

« Ou peut être doit-on attendre que tu veuilles bien nous partager cette solution si alléchante ? »

Si c’est demandé gentiment

Voici le truc: Dérivez votre mot de passe du nom de domaine du site, et ajoutez un invariant. Je donne un exemple:

== D’abord, l’invariant ==

Choisissons d’abord un bon invariant: une phrase.
« Ma Grand Mère Mange Les Pissenlits Par La Racine. »

Assez bizarre pour être facilement mémorisable. Prenez la première lettre de chaque mot, ajoutez chiffres et symboles: Voilà un bon mot de passe.

mgmmlpplr568**

C’est long et ne sera pas attaquable par RainbowTables, mais grâce à votre phrase bizarre, facile à retrouver.

== Ensuite, utilisez le nom de domaine du site ==

Ensuite, ajoutez un bout du nom de domaine (ce que vous voulez, quelques lettres)
Par exemple: korben.info — kni

Ajoutez cela à votre invariant:
Le mot de passe pour korben.info: knimgmmlpplr568**
Le même système pour Commentçamarche.net : cenmgmmlpplr568**
etc.

Et voilà: Vous avez un mot de passe particulièrement long et difficile à deviner, résistant aux RainbowTables (utile si un site se fait pirater sa base de données MD5), et différent pour chaque site.

Et vous n’avez pas besoin de mémoriser le mot de passe de chaque site: Vous êtes capables de le retrouver.

Libre à vous d’inventer un algo plus ou moins complexe pour mélanger le nom de domaine à votre mot de passe. L’important… c’est de se souvenir de votre algo

Par : Eo

Eo — Wed, 09 Sep 2009 15:08:18 +0000

@ sebsauvage

« il y a juste des astuces [...] Mais bien sûr tant qu’on ne les connaît pas… »

J’aimerai connaître la suite de cette pensée, que ce passe-t-il tant qu’on a pas la connaissance ? On doit vivre avec cette idée qu’on a raté quelque chose comme une majorité des utilisateurs du net aujourd’hui ?

Ou peut être doit-on attendre que tu veuilles bien nous partager cette solution si alléchante ?

Après faut aussi ce demander si les gens restent des noobs parce qu’ils le sont destinés ou si c’est simplement un manque d’information…
On se demandera également si la connaissance est meilleure pour être étalée devant les autres, ou alors partagée avec les autres

Par : Billyboylindien

Billyboylindien — Tue, 08 Sep 2009 21:08:39 +0000

Avant c’était plus simple…
http://www.billyboylindien.com/tutos/mdp-principal-firefox.html

Ca ne marche plus ?

Par : Moe

Moe — Tue, 08 Sep 2009 12:40:08 +0000

Il y a une faute de frappe dans l’article : « qui permet de bruteforer »

Par : Blog de Guillaume YGUEL | Comment cracker le mot de passe de firefox | WorldOfGeek

Tue, 08 Sep 2009 09:25:26 +0000

[...] : korben.info et securityxploded.com Tagged with: crack • de • firefox • mot • passe • [...]

Par : grandpublik

grandpublik — Tue, 08 Sep 2009 08:31:25 +0000

tout a fait d’accord avec Degolbio, y faut pas faire confiance aux systemes pour les trucs inportants (on s’en passe trés bien) et pour le reste rien a carrer. un bon pseudo genre « pseudo » avec un mot de passe facile à retenir,genre « motdepasse » et le tour est joué car dans une maison ou regne la confiance et ou tout est a dispo les voleurs s’enmerde et vont aillieur

Par : sebsauvage

sebsauvage — Tue, 08 Sep 2009 06:49:57 +0000

« Oui enfin, arrêtez de rêvez. Je ne sais pas combien de password vous avez à retenir, mais utiliser pour chaque compte/site un password du type lidu0689,çAB3éèù, ça ne me semble pas une méthode raisonnable à conseiller à tout le monde. C’est utopique d’y croire. »

Ce n’est pas une utopie. J’ai un mot de passe différent pour CHAQUE site sur lequel j’ai un compte. Il y a juste des astuces mnémoniques à connaître.
Mais bien sûr tant qu’on ne les connaît pas…

« à partir du moment ou t’utilises un master password lui aussi costaud »

Tu peux ajouter: « et si l’implémentation de Mozilla est sans faiblesse ».
Ce qui est un gros paris.
(Les logiciels sans bug, ça reste assez rare…

Par : Foudge

Foudge — Mon, 07 Sep 2009 23:25:06 +0000

Oui enfin, arrêtez de rêvez. Je ne sais pas combien de password vous avez à retenir, mais utiliser pour chaque compte/site un password du type lidu0689,çAB3éèù, ça ne me semble pas une méthode raisonnable à conseiller à tout le monde. C’est utopique d’y croire.
Et marquer ses password sur un post-it (collé sur l’écran), c’est pas non plus à conseiller surtout en entreprise.
Dans la ralité, lorsqu’on impose aux user de se souvenir de tous leur password, in tombe généralement sur 2 cas :
1) ceux qui vont utiliser un bon password, mais le même partout (il suffit d’arriver en chopper un, sur le logiciel/site le plus facile à casser, et tu les as tous, un bonheur)
2) n’utiliser que des password court et simple à retenir (ai-je besoin de dire que la sécurité est proche de zéro)

Au final, imposer aux user d’utiliser des password différents et impossible à retenir, mais que Firefox retiendra, ce n’est pas une si mauvaise idée… à partir du moment ou t’utilises un master password lui aussi costaud. Et 1 seul bon password à retenir, c’est quelque chose de raisonnable qu’on peut imposer aux utilisateurs. Le reste me parait utopique et dans la pratique on obtient de mauvais résultats.

Par : Degobiol

Degobiol — Mon, 07 Sep 2009 19:01:02 +0000

en même temps, faut pas être bien malin pour stocker des données sensible sur des circuits imprimés (je parle pour un particulier). Que ce soit données bancaires, plan d’attaque de banque ou encore taille de son zguègue, tout ce que vous pourriez piquer chez moi, c’est mes photos de vacances (dont j’ai plusieurs copies sur différents supports), pour le reste, rien ne transite par un PC (à par les m@ils qui sont rarements importants).
Payment en ligne ? pas confiance (voir les sites d’échange de n° carte)
Banque en ligne ? ça fout du monde au chômage sans pour autant baisser les frais bancaires, au mieux ça augmente les dividendes des actionnaires.
Pour le reste ? ben si vous voulez utiliser mon identifiant facebook je m’en tape, pareil pour mon compte QUAKELIVE (que je recommande aux gamers en passant: http://www.quakelive.com valable tous OS)
Même si physiquement quelqu’un acède à ma (vieille) bécane, rien à piquer (même pas la bête).
LE problème est plus comportemental, NE PAS faire confiance à la mémoire informatique !!
Pas sécurisée, pas durable, ne fonctionne pas sans électricité que nous croyons comme acquise. TSS TSS bande de jeunes va.

Par : MikeZ

MikeZ — Mon, 07 Sep 2009 17:58:54 +0000

@sebsauvage

tien c’est marrant, moi je traque les neuneux qui postent des machins comme ca sur des sites **** et les 3/4 du temps on peut remonter à leur ftp/compte mail puisque le mot de passe est en clair….

Kaarsher Rulez

Par : 3psyl0n

3psyl0n — Mon, 07 Sep 2009 17:18:41 +0000

@sebsauvage

Idem et entierement daccord,

En même temps les noob (95% des users du web actuel) ils n’ont même pas conscience du stockage de leur mots de pass.

Même en revenant sur le site loggué automatiquement, soit ils pensent que c’est normal (en gros ils ont même oublié qu’ils ont un pass), soit ils pensent que le mot de passe revient par le saint esprit, et donc du coup qu’il n’y pas de risque.

> Tiré de mes propres constats

De toute facon, ce n’est pas pret de changer, quand tu vois que même avec un permis de conduire 3 pédales et un volant, la plus part ne savant pas conduire, alors un ordinateur avec toutes ses complexitudes a intégré c’est pas pour demains …

Par : qwerty800

qwerty800 — Mon, 07 Sep 2009 17:02:05 +0000

C’est le genre de truc qui intéresserait Skype!

Au cas ou vous sauriez pas, c’est prouvé que, sous linux, skype scanne tout ce qui se trouve dans votre dossier perso de firefox pour les envoyer à sa maison mère.
Ça inclut mot de passes, favoris, noms d’utilisateurs, comptes en banque…

Si vous voulez vérifier, vous avez qu’à installer skype et à lancer ceci:
strace skype|grep firefox

Lien: http://blog.philpep.org/post/2008/12/20/Skype-%3A-un-logiciel-qui-vous-veut-du-bien

Note à Korben: ZOMG!!! Korben qui nous parle d’un logiciel Windows-Only??
Où s’en va le monde?

Par : Trust

Trust — Mon, 07 Sep 2009 15:47:52 +0000

ou sinon y a ça => http://www.thinkgeek.com/gadgets/security/91a2/images/2067/

Par : Trust

Trust — Mon, 07 Sep 2009 15:46:34 +0000

+1cynoque

La bonne vieille méthode qui à fait ses preuves : 1 papier / i stylo et puis c’est tout

Par : UtOpiK

UtOpiK — Mon, 07 Sep 2009 15:44:10 +0000

Ouais, enfin bruteforce faut s’accrocher quand même..

Par : cynoque

cynoque — Mon, 07 Sep 2009 14:10:52 +0000

encore faut-il se servir de cette fonction -du reste intéressante- mais trop peu sécurisée effectivement. On préfèrera taper à la main ses mots de passes quitte à se prendre un peu plus le chou. Enfin c’est ce que je conseille et que je fais. (d’ailleurs des fois on choisit des mots de passes bien carabinés et on a besoin d’un support papier dans les premiers temps ! genre lidu0689,çAB3éèù si c’est pas du mot de passe vicieux ça :p)

en gros : tout les gadgets de fainéant ne sont pas forcément bons à prendre…
en tout cas merci korben pour cette astuce.

Par : sebsauvage

sebsauvage — Mon, 07 Sep 2009 13:42:55 +0000

@vicnent:
C’est vrai. Sauf que rares sont les utilisateurs à choisir de bons de mots de passe de 9 caractères avec majuscules, chiffres, lettres et symboles.

Donc dans la vaste majorité des cas, une belle RainbowTable viendra à bout de 70% des mots de passe en quelques minutes (si vous avez déjà essayé 0pthcrack, vous savez de quoi je parle.)

Je maintiens que laisser un logiciel mémoriser vos mots de passe, c’est une erreur.

PS: Je parle d’expérience: On a vu sur CCM un guignol distribuer un trojan qui pique la base de mots de passe de Firefox (sites web et FTP), FileZilla, TeamSpeak et Steam. Tout ça dans un même package.
Je suis moi-même allé sur le site FTP où le programme envoyait ses données volées: Il y avait des *centaines* d’utilisateurs qui s’étaient faits avoir.
http://www.commentcamarche.net/forum/affich-5833000-alerte-securite-debrideur-free-fr?entiere#0

NON, NON et NON ! Ne laissez pas des logiciels mémoriser vos mots de passe. Faudra pas venir pleurer le jour où ça pètera.

Par : vicnent

vicnent — Mon, 07 Sep 2009 13:18:42 +0000

à 120 000 tests par secondes, pour un mot de passe « bien choisi » de 9 caractères dans un alphabet de 70 lettres (min, maj, chiffres, etc), il y a 70^9 possibilités.

Si tu lances ton crack le 1 janvier 2010, tu auras ta réponse dans le pire des cas le … tard. En fait, il y en a pour 10663 ans de calculs. Soit un peu plus que 5x fois la distance qui nous sépare de Jésus Christ.

Bref, vaut mieux attendre l’ordinateur quantique.

Par : MikeZ

MikeZ — Mon, 07 Sep 2009 11:29:18 +0000

@Laurent
Parano oui et non… Le seul risque réel que ses informations sortent si elles sont enregistrées dans les logiciels c’est

* Trojan et pas de parefeu / parefeu pourrit (Windows?)
* Accès physique à la machine, mais la de toute façon on peut rien faire

Ensuite, les nouveaux « voleurs de MDP » décodent très facilement les mdp Firefox..Si ya pas le master password bien entendu !

La solution pour conserver ses MDP dans firefox ET lutter contre les voleurs de MDP? LES VERSION PORTABLES qui stockent leur config dans le sous-dossier

Et vous seriez surpris du nombre de gens piégés par des trojans par ce qu’il enregistrent tout dans leur logiciel (et du nombre de posteurs de trojan qui sont trop bêtes et laissent des infos en CLAIR dans leur merdouille

Par : Moubai

Moubai — Mon, 07 Sep 2009 10:32:05 +0000

mouais ou plutot utiliser l’extension xmarks qui synchronise password et ou favoris (c’est selon le choix)

de manière cryptée avec un code pin supplémentaire du password.

ainsi pas de problème si oubli du pass xD

Par : Laurent

Laurent — Mon, 07 Sep 2009 08:48:31 +0000

@sebsauvage : je ne stocke pas mon mot de passe PayPal, mais les mdp de mes forums préférés, bof. Faut arrêter la parano, aussi !

Par : Armetiz

Armetiz — Mon, 07 Sep 2009 08:39:45 +0000

Cela reste du bon vieux brute force…

Par : sebsauvage

sebsauvage — Mon, 07 Sep 2009 08:37:41 +0000

Il y a encore des gens qui laissent des *LOGICIELS* mémoriser leurs mots de passe ? Sérieusement ?

Les gens n’apprendront jamais, c’est incroyable.

Par : Rod

Rod — Mon, 07 Sep 2009 08:29:13 +0000

Perso j’utilise le master password au boulot, parce que j’ai tous mes mots de passe stockés et je voudrais pas que n’importe qui utilise mont firefox au taf.

Normalement mon mot de passe doit pas être facile à bruteforcer. Je vais essayer quand même !
Merci Korben pour cette info qui fait pas plaisir

Par : lemulot

lemulot — Mon, 07 Sep 2009 08:23:52 +0000

@PoP: un peu a la ramasse ?

Par : PoP

PoP — Mon, 07 Sep 2009 08:19:06 +0000

Heureusement qu’on peut sécuriser tout ça avec du javascript… :-p