Bien d'accord avec vous deux : d'accord avec Patrice pour l'aspect "on ne doit jamais faire confiance à ses utilisateurs." même (surtout ?) quand les utilisateurs en question sont des informaticiens professionnels, qui devraient être les premiers convaincus de l'importance de la sécurité. Mais je reconnais avoir une partie des torts : j'aurais dû utiliser des mots de passe complexes dès le départ, au cas où. Et je suis d'accord avec Piti pour tout le reste.
Et pardon pour le hors sujet, mais je profite de l'occasion pour attirer votre attention sur un logiciel Windows (eh oui) que vous pouvez être amenés à rencontrer, et pour vous éviter un souci qui m'est arrivé, parce que je sais que certains membres de la Guilde touchent à Windows de temps à autre, que ce soit par choix ou par nécessité.
Le logiciel en question s'appelle AxCrypt, et c'est un soft de cryptage qui s'intègre à l'Explorateur Windows (sous-menu supplémentaire dans le menu contextuel accessible par clic droit). Au moins dans sa version 1.7.3156.0, ce soft comporte un bug qui fait que les modifications apportées à un fichier (au hasard, un fichier MS Office) crypté à l'aide d'AxCrypt ne sont pas enregistrées sur le disque quand on fait "Fichier / Enregistrer" (ce serait trop simple) mais seulement quand on fait "Fichier / Fermer". Le comportement est facile à reproduire : il suffit de surveiller la date et l'heure de dernière modification du fichier .axx, respectivement quand on enregistre et quand on ferme. Et si entre la modification et la fermeture, vous avez une panne de courant, et un onduleur qui ne fait pas correctement son boulot, eh bien vous perdez toutes vos modifications, même si vous aviez pris soin d'enregistrer régulièrement !
P.S. : oui, au boulot, j'administre une poignée de serveurs Debian Jessie, mais pas seulement, et mon PC professionnel est sous Windows...
--
Marc
----- Mail original -----
De: "piti" <pablo.piti@???>
À: guilde@???
Envoyé: Lundi 27 Février 2017 13:29:46
Objet: Re: Beaucoup de fichiers de taille nulle dans /var/log : suite et fin
Bonjour,
On Mon, Feb 27, 2017 at 11:15:50AM +0100, Patrice Karatchentzeff
wrote:
> Et être cohérent. Un mot de passe individuel - bon - ne se craque
> pas donc il est totalement inutile de les faire changer
> régulièrement...
Je ne partage pas cet avis.
Un mot de passe est bon – qu'il soit complexe est un pré-requis — s'il
est aussi unique : il ne doit servir pour l'authentification que sur un
système; il ne faut pas utiliser le même pour des choses différentes.
Je vais prendre en exemple l'actualité de la semaine dernière
« cloudbleed[1] », causée par un bug qui laissait échapper un certain
nombre de données privées.
Comme on est humains, on ne peut décemment pas se souvenir de mots de
passe complexes *et* uniques pour les différents services dont on se
sert quotidiennement. Les gestionnaires de mots de passe[2] servent
justement à ça: gérer une complexité que notre mémoire ne gère pas.
Les deux choses qu'il reste à gérer sont :
* un mot de passe principal pour l'outil, qui doit être complexe, ça
devient plus ou moins le seul mot de passe dont il faut se
souvenir.
* Faire des sauvegardes régulièrement, c'est l'accès à tous les
services gérés qui dépend de ces sauvegardes.
Comme les mots de passe sont gérés par un outil, il n'y a pas de
raison qui justifie de ne pas le changer régulièrement : l'opération
est triviale, la sécurité accrue.
[1]
https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/
[2] Il en existe un certain nombre, je ne veux pas être partisan d'un
solution en particulier, chacune présente ses avantages. C'est
probablement un parti pris, mais je ne conseille pas de solution de
gestion en ligne de ces coffres de mots de passes, si on multiplie le
nombre de mots de passe, les centraliser présente une faiblesse.
* keepass, keepass2, keepassx : surement le plus abordable pour tout
un chacun. Interface graphique, génération de mot de passe,
structure arborescente et fonction de recherche. La base est sauvée
sour forme d'un fichier chiffré.
* password-store (package pass dans debian) : en cli, présente le même
genre de fonctions que les pendants graphiques. La base est sauvée
sous la forme d'une arborescence de fichiers, chiffrés en pgp.
Celle-ci est versionnée avec git. L'avantage est d'avoir
une granularité au mot de passe dans le versionnement,
l'inconvénient est d'exposer les comptes gérés.
* les solutions intégrées dans les DE (je pense à celles de gnome et kde)
Bonne journée,
--
piti
