Mot de passe questions réponses secrètes gouvernement Mot de passe : des questions et réponses secrètes, sauf pour le gouvernement mot de passe des questions et reponses secretes sauf pour le gouvernement 12503

Ce week-end, le gouvernement a fait publier au journal officiel un décret visant à revoir les données que doivent conserver les intermédiaires techniques.

S'il supprime la récente obligation faite aux intermédiaires de stocker les mots de passe des utilisateurs, le décret oblige ceux-ci à se souvenir et communiquer les réponses aux questions secrètes sur simple réquisition.


 [Lire l'article complet sur pcinpact.com]

(Article référencé sur le site "Les mots ont un sens")

 

partagez cet article : FACEBOOK partagez cet article : TWITTER partagez cet article : DEL.ICIO.US partagez cet article : GOOGLE partagez cet article : VIADEO 

Catégories :

Vive le Sarkozistan!

Il est évident que les vrais margoulins ne renseignent pas les questions secretes d'un webmail ouvert pour des actions délictueuses et utilisent des mots de passe qu'un bruteforce de hash ne va pas révéler sans devoir y passer un temps aussi long qu'impossible à borner!

Dès lors, cette loi vise qui en réalité?

Bon, on évite au moins le souçi de devoir stocker le mdp en clair côté intermédiaires: Ces mdp étant souvent réutilisés, on imagine les conséquences sur les autres comptes. Les intermédiaires français seraient devenus une cible à forte valeur pour les pirates, grace à des politiques aussi débiles que leur parti+président.

Autre conséquence moins connue: En général, pour chiffrer les données utilisateur (profil renseigné, mais aussi parfois coordonnées bancaires...) de manière différente pour chacun (et compliquer la récupération d'une base utilisateur complète trop aisément si un pirate casse la BDD du site), le mdp en clair tapé par l'utilisateur (validé par le hash correct, seul ce dernier étant alors stocké) est utilisé pour "saler" la clef de chiffrement de ces données.

Avec un mdp à stocker en clair, cela devenait une précaution inutile et de fait impossible à fournir (faute d'avoir encore un "secret" connu du seul utilisateur légitime).

Devoir stocker les réponses aux clef secretes ressemble dans ce cadre à un pis-aller qui va continuer à représenter un risque de vols de comptes (et au final d'identité selon les comptes), sans donner à l'état ce qu'il visait: Avoir les mdp en clair, pour les tester sur ce à quoi il n'a pas accès. Partitions chiffrées, comptes dans des pays encore libres...

Tout cela pour éviter la reculade et d'avouer de fait une erreur: Chose qui semble hélas impossible à un politique et les empêche de progresser.

Y'a pas un candidat qui veut proposer une loi du genre "toute élection qui ne réunirait pas une majorité des inscrits serait invalidée avec obligation de présenter de nouvelles têtes"?

Je pense qu'on aurait qq tours à blanc histoire de forcer au renouvellement du paysage.

Mouaif mouaif.

Je lis : "le mdp en clair tapé par l'utilisateur (validé par le hash correct, seul ce dernier étant alors stocké) est utilisé pour "saler" la clef de chiffrement de ces données.", etc.

C'est faux.

On peut tout à fait utiliser un système de clé partagée (avec le prestataire de service) tout en cryptant le mot de passe. Il n'est jamais ni stocké ni transmis en clair ; mais sur requête du gouvernement le prestataire de service pourrait tout à fait le reconstruire avec sa clé. Ce qui invalide complètement le post plus haut.
De plus, un citoyen est déjà tenu de fournir son mot de passe sur réquisition, il s'expose à un motif de détention si il ne le fournit pas.
Ces posts mal renseignés sont navrants et loupent le coche alors que les seuls et véritables problèmes sont le paternalisme de nos gouvernements et leur incompétence crasse lorsqu'il s'agit de nouvelles technologies.

Une clé partagée entre qui et

Une clé partagée entre qui et qui ? Entre la police et l'hébergeur ? Donc à chaque fois qu'un utilisateur tente de se connecter, il faudra que l'hébergeur fasse appel à la police pour vérifier le mot de passe... pas mal comme idée.

C'est vous qui avez faux...

Le mdp, non stocké en clair, est le seul secret de l'utilisateur disponible à la connexion (l'autre info à la connexion est l'identifiant, mais son intérêt pour l'usage évoqué est limité!) qui puisse être utilisé pour générer une clef individuelle servant à chiffrer (et non "crypter") les données du compte sur un mode à la fois individualisé et très sûr.

S'il est stocké en clair, ceci tombe à l'eau: L'intérêt de faire ainsi devient nul. Quand on sait que certains sites (et pas des moindres: FNAC, Amazon...) vous ressortent vos coordonnées bancaires (ce qui veut dire qu'ils les stockent), ca ferait un peu peur une base chiffrée globalement!

Surtout que celui qui a eu accès au serveur a sans doute la clef qqpart dans un dump mémoire.

Si on sale avec les mdp pour générer des clef individualisées, on n'a au pire que celles des utilisateurs actuellement connectés ce qui limite bien les dégats.