FUUUUUUUUUUU UUUUUUUUUU UUUUUUUUUUU UUUUUUUUUUUUU - Page 168

Les attaque de type brute force sont généralement assez rare surtout en ligne. Ils tests surtout les listes de mots de passes les plus courants, et le problème c'est que trop de ces mots de passes sont utilisé, et ce n'est que quelque milliers de mots de passe a tester, un relais de 5-10s n'est pas un moyen suffisant pour protéger un compte.

La seule vrai solution contre ce genre de choses est, et va etre malheureusement passkey qui a ses avantages, mais aussi ses problèmes.

Ceci dit il semble qu'il y aurais moyen de faire marcher PassKey avec des QR code temporaires, donc pour le cas ou tu utilise une machine qui n'est pas ta machine normale, mais tu as ton telephone avec tes clefs a porté de main.

Ouais j'ai entendu que MS supportait les yubikey (je crois).

Je me demande s'il y a moyen de supprimer le MDP comme méthode d'authentification tout court en fait. Si tu n'as pas une passkey sans doute pas, mais ça me fait chier d'acheter une clé physique aussi, surtout qu'après pour se loguer sur le tel ça doit être la galère...

PassKey n'est pas une solution hardware, enfin pas tel quel:

https://www.passkeys.io/who-supports-passkeys

Je reviens sur ce que je viens de dire. PassKey supporte les clefs physiques:

Brunni (./5012) :
Je me demande s'il y a moyen de supprimer le MDP comme méthode d'authentification tout court en fait. Si tu n'as pas une passkey sans doute pas, mais ça me fait chier d'acheter une clé physique aussi, surtout qu'après pour se loguer sur le tel ça doit être la galère...

Tu peux utiliser l'application Authenticator de Microsoft sur ton téléphone à la place du mot de passe.

Zeph (./5010) :
Après il suffit d'un petit délai de 5~10 secondes entre chaque tentative passée la 3ième pour rendre le bruteforce quasiment impossible sans t'impacter. Bloquer le compte plus longtemps n'ajoute pas grand-chose à la sécurité et te pénalise toi, c'est stupide je trouve, comme beaucoup de "mesures de sécurité" que plein de services semblent ajouter un peu au pif.

Ça ne marche pas forcément quand l'attaquant possède un vieux mot de passe, dont le nouveau est dérivé, ce qui n'est pas si rare (avec toutes les bases de mots de passe qui ont été diffusées).

Mais évidemment, ta méthode permet d'éliminer un bon 95% des attaques à vue de nez, voire plus. C'est déjà pas si mal

RHJPP (./5014) :

Brunni (./5012) :
Je me demande s'il y a moyen de supprimer le MDP comme méthode d'authentification tout court en fait. Si tu n'as pas une passkey sans doute pas, mais ça me fait chier d'acheter une clé physique aussi, surtout qu'après pour se loguer sur le tel ça doit être la galère...

Tu peux utiliser l'application Authenticator de Microsoft sur ton téléphone à la place du mot de passe.

mais le mot de passe reste utilisable, non ?
le problème n'est pas que l'attaquant risque de trouver le mot de passe (Brunni a un second facteur), mais que l'attaquant bloque le compte avec ses tentatives (qui peuvent toujours avoir lieu, avec l'Authenticator ou 2FA), il me semble.

Oui, parce que pour le coup c'est plus vraiment deux facteurs sans mot de passe (et un code d'appli à deux facteurs c'est que 6 chiffres -- mais je ne sais pas si l'appli d'authentification Microsoft fait autre chose derrière les fagots, j'utilise une appli générique).

Il me semble qu'il ne s'agit pas d'un code temporaire qui est généré par l'application, mais d'un mécanisme d'approbation des connexions. Les paramètres du mode de connexion des comptes Microsoft proposent de supprimer le mot de passe.

Les 2FA a code sont du TOTP:



Ca n'est pas du tout un protocole, et supprimer le mot de passe si ce n'est pas du passkey je n'y fait pas confiance.

Justement, ce que RHJPP dit c'est que l'appli de Microsoft setait différente et pas du TOTP.

Oui, en effet, c'est autre chose (ce ne sont pas les seuls à faire ça, d'ailleurs).

D’où mon second paragraphe et je n’ai jamais utilisé cette app sans mot de passe.

flanker (./4981) :
De mon côté, c’est avec les AirPods Pro que j’ai un problème de grésillement malheureusement, je me suis réveillé trop tard car ils font partie de la première série pour laquelle il y avait un échange (problème matériel) jusqu’à la fin du mois dernier.

Je vais être mesquin mais autant que je sache, ça fait environ 30 ans que prendre la première série de quoi que ce soit chez Apple est un mauvais calcul non?

En théorie oui, en pratique ils t'enferment dans leur écosystème et parfois ils sont très en retard sur certains trucs, donc quand sort enfin un produit qui fait ce que fait la concurrence (mais bien intégré avec l'écosystème), on est content. Pas le temps d'attendre la seconde génération.

The_CUrE (./5023) :

flanker (./4981) :
De mon côté, c’est avec les AirPods Pro que j’ai un problème de grésillement malheureusement, je me suis réveillé trop tard car ils font partie de la première série pour laquelle il y avait un échange (problème matériel) jusqu’à la fin du mois dernier.

Je vais être mesquin mais autant que je sache, ça fait environ 30 ans que prendre la première série de quoi que ce soit chez Apple est un mauvais calcul non?

Mais j'en ai bien profité pendant un certain temps (et ce n'est pas fini, faut simplement que je trouve le temps d'aller au SAV). C'était ça ou rien pendant 2 ans, donc je ne regrette pas mon choix ^^

J'ai d'ailleurs été toujours impressionné par à quel point l'Apple Watch est une mauvaise montre. Entre toutes les occasions où elle ne veut juste pas me montrer l'heure (par exemple quand il y a une notification de "bouger" ou "se lever" j'ai rien contre, mais pourquoi tu n'affiches pas l'heure en haut à droite comme quand une appli est ouverte ? Non, d'abord il faut lever le poignet pour que la notif vienne en plein écran et là l'heure s'affiche), et là le fait qu'il n'est pas possible de ... changer l'heure (ou le fuseau horaire) sans iphone. Bon heureusement elle supporte le NTP donc la connecter à un wifi du pays où tu es lui fait changer l'heure, mais bon.

On n'a clairement pas le même usage de la montre ^^ Je suis très content de la mienne (une Series 7, avec l'écran allumé en permanence), mais je ne la mets que le soir pour le sport et durant le week-end, rarement loin de mon iPhone ^^

Tu n'utilises pas ta montre pour lire l'heure en journée ? (C'est mon utilisation principale, perso)

J’ai une montre mécanique en journée

C'est vrai que c'est nettement plus difficile à pirater

“Hold my beer”

redangel (./5028) :
Tu n'utilises pas ta montre pour lire l'heure en journée ? (C'est mon utilisation principale, perso)

Justement, l'affichage always on était une "révolution" (hum, je riais deja un peu à l'époque, parce qu'on parle d'une montre qui tenait péniblement la journée sur une charge), mais le fait que les notifications en attente prennent la place de l'heure (sur l'affichage inactif), je n'arrive même pas à imaginer quel abruti a pu avoir cette idée. Comme quoi que l'intégration c'est surtout quand ça les arrange pour vendre en bundle...

Zerosquare (./5030) :
C'est vrai que c'est nettement plus difficile à pirater

C'est sûr ^^
Et je trouve plutôt sain de ne pas être trop connecté pendant la journée

Pas besoin d'une montre mécanique. Moi je ne suis pas connecté non plus car mon Apple Watch est totalement inutile (c'est juste un peu chiant quand j'ai besoin de l'heure, mais je me débrouille en tapant sur l'écran ou en faisant des grands gestes comme si j'étais possédé, pour qu'il détecte)

flanker (./5033) :
je trouve plutôt sain de ne pas être trop connecté pendant la journée

Je suis assez d'accord
Et quid de "pendant la soirée" ? "Pendant la nuit" ?
Même si j'étais parti sur exactement l'inverse en recevant ma garmin: je n'activais le bluetooth QUE pendant le boulot (ça permet d'avoir une notif message/appel au bras plutôt qu'au phone). Finalement j'ai arrêté... ma montre a son bluetooth toujours désactivé (sauf quand la batterie est vide et qu'elle est pas à l'heure au rallumage...). J'ai donc une montre "connectable" et ça me va très bien.

Râââââh, comme d'habitude que je code pour Linux, je

Au cas où : si vous utilisez des fonctions POSIX un peu récentes (clock_nanosleep() dans mon cas), que GCC braille parce qu'il ne trouve pas les définitions alors que les #include et #define sont bien là, vérifiez si vous avez -std=c99 (ou c11, ou c17...) dans la liste des options de compilation. Ça définit automatiquement __STRICT_ANSI__, et certains headers zappent certaines définitions dans ce cas. (M'a pris du temps à trouver, cette connerie.)

Solution : utiliser -std=gnu99 à la place.

Ce n'est pas normal. Ce n'est pas une extension GNU, et forer gnu99 veux dire pas de C11 ou C17.

Quel versin de GCC, Libc et kenrel?

J'ai dit gnu99 comme exemple, ça fonctionne aussi avec gnu11 et gnu17. Ou même sans -std du tout, du moment que ton programme n'a pas besoin de C99/11/17 apparemment gnu17 est l'option par défaut. Par contre, avec c99, c11 ou c17, ça marche pas.

Sinon c'est Raspberry Pi OS Buster (oui ça date un peu), avec les versions préinstallées de GCC et de la libc :

pi@raspberry:~/Desktop $ uname -a
Linux raspberry 4.19.0-13-686 #1 SMP Debian 4.19.160-2 (2020-11-28) i686 GNU/Linux
pi@raspberry:~/Desktop $ gcc --version
gcc (Debian 8.3.0-6) 8.3.0
pi@raspberry:~/Desktop $ ldd --version
ldd (Debian GLIBC 2.28-10) 2.28

Alor oui GCC 8 est ancien, mais le coupable est probablement glibc, 2.28 est assez vieux aussi. mais c'est un probleme de GCC ici en fait, et c'est débile; POSIX n'est pas une extension GNU, il faiufrait un "-posix" par exemple


Par conte c'est un (vrai) contexte RT? Sinon je ne suis pas sur que nanosleep et dérivé soit vraiment utilisable, suivant le archi le context switch qu'un sleep rent peut aller jusqu'a la microseconde...

C'est largement surdimensionné pour ce que je veux faire (un délai de quelques dizaines/centaines de millisecondes), mais y'a pas de fonction qui prenne un argument en millisecondes, et usleep() est obsolète.

D'autre part, clock_nanosleep() avec CLOCK_MONOTONIC est censée ne pas être perturbée même si on change la date/l'heure pendant le délai, et permettre de reprendre l'attente si elle est interrompue par un signal. Ce n'est pas garanti par les autres fonctions.