Debian Debian-France Debian-Facile Debian-fr.org Debian-fr.xyz Debian ? Communautés

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 13-01-2021 13:29:49

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 11
Noyau : Linux 5.10.0-7-amd64
(G)UI : mutter 3.38.4-1
Inscription : 15-02-2016

[wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality

Bonjour ! big_smile

Bon, la période actuelle est difficile, la puissance de calcul augmente. Est-ce que des petits malins n'en profiteraient pas pour tirer leur épingle du jeu en jouant à la "brute force" ?
« "brute force" pour les mots de passe ? » : Utiliser la puissance de calcul pour explorer tous mots de passe possibles.

Eh, bien ce va pas être possible si grâce à ce tuto vous sécurisez vos mots de passe : https://debian-facile.org/doc:securite: … -pwquality

Mais un tuto ne valant que si il est commenté, testé, merci d'avance pour vos retours et idées smile

Nos vies commencent à prendre fin le jour où nous devenons silencieux à propos des choses qui comptent. Martin Luther King

Hors ligne

#2 16-01-2021 01:14:24

Beta-Pictoris
Membre
Lieu : Angers
Distrib. : Buster
Inscription : 12-08-2015

Re : [wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality

Bonjour smile

Je ne connaissais pas cettte commande pwmake :

pwmake 128


aR9Ubz0gDOD)Am8yv4BFutSYkAS


Jusqu'à présent, je procédais comme ceci. Par exemple, pour générer 10 mots de passe de 20 caractères chacun :

cat /dev/urandom | tr -cd 'A-Za-z0-9!*%$' | fold -w20 | head -10


oi36YZu8FSfkOlvR8cGj
8pxNupED0bS$ZGK1LaPd
UKvj$vuiv%ZCS%5MgHYb
Ch3NmeR85Bh7UffKTjDa
uLkYGbT8uekXLRIm1lQf
yjOq8!*9TUvMPexC7%yu
XkwnD2ioCA4zZORNuhd7
4nBbQBwp7VTpCvPMfIFB
RgfBpjd6crS8xq3Y!DpG
UxWFEQdHDAFZlX934lh2

Hors ligne

#3 21-01-2021 17:47:34

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 11
Noyau : Linux 5.10.0-7-amd64
(G)UI : mutter 3.38.4-1
Inscription : 15-02-2016

Re : [wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality

Bonjour ! smile

Je suis heureux que tu t'intéresses à mon tuto. smile

Dois-je considérer que tu l'as testé ? Comme il s'agit d'un forum animé par des bénévoles, je ne sais pas les règles qui s'appliquent pour pouvoir apposer un nom après la mention : Testé par <…> le <…>

Je dois dire que je suis un peu ennuyé par le fait que les définitions de dcredit, ucredit, lcredit, ocredit soient différentes entre la version de man pwquality.conf et celles rédigées dans  man pam_pwquality d'où la note d'avertissement préalable. Ce qui m' a rassuré c'est que l'ANSSI ne s'en sert pas et les mets explicitement à 0 :
https://www.ssi.gouv.fr/uploads/2016/01 … r-v1.2.pdf  (page 28 du document )

Je suis un simple amateur, je me suis intéressé à cet aspect de la sécurité car les personnes qui m'avaient plus ou moins promis qu'elles feraient appel à moi pour une installation Linux soient ne mettent carrément pas de mot de passe ou soient mettent un mot de passe en bois ( modèle de leur voiture, date de naissance ! ) sur leur vieux Windows.  Et quand je leur demandais quel nouveau mot de passe elles voulaient pour leur nouvel ordi, elles ne voulaient pas de mot de passe ou d'autres me redonnaient toujours le même que celui de leur Windows en me disant : « Au moins celui-là, je vais m'en souvenir ! » yikes

Comme tu génères des mots de passe à la volée, je suppose que tu administres un parc de machines pour un ensemble d'utilisateurs. Comment fais-tu pour que les mots de passes générés ne se retrouvent pas sur un post-it à côté ou carrément sur l'ordinateur ?




Je ne connaissais pas non plus cette commande pwmake il y a peu. Comme elle accepte plus de caractères spéciaux que l'ensemble : {!*%$} les résultats ont une meilleure entropie.


J'avais compilé libpam-passwdqc il y a longtemps sur un vieux Mac, c'était énorme la longueur minimum de caractères par défaut. On peut aussi définir la durée de validité des mots de passe, on le trouve sous forme de paquet pour debian, mais pour des simples amateurs, je ne crois pas que cette solution aurait remporté l'adhésion d'un grand nombre de personnes.

aptitude show libpam-passwdqc

Paquet : libpam-passwdqc                                
Version : 1.4.0-1
État: non installé
Multiarchitecture : même
Priorité : optionnel
Section : admin
Responsable : Debian Security Tools <team+pkg-security@tracker.debian.org>
Architecture : amd64
Taille décompressée : 52,2 k
Dépend: libc6 (>= 2.4), libcrypt1 (>= 1:4.1.0), libpam0g (>= 0.99.7.1), libpasswdqc0 (>= 1.3.0), libpam-runtime (>= 1.0.1-6)
Recommande: passwdqc
Description : PAM module for password strength policy enforcement
 passwdqc is a password/passphrase strength checking and policy enforcement toolset, including a PAM module (libpam-passwdqc),
 command-line programs (pwqcheck and pwqgen), and a library (libpasswdqc0).
 
 pam_passwdqc (optionally) integrates with PAM such that it gets invoked when users change their passwords. The module is capable
 of checking password or passphrase strength, enforcing a policy, and offering randomly-generated passphrases, with all of these
 features being optional and easily (re-)configurable.
Site : https://www.openwall.com/passwdqc/
Étiquettes: devel::library, role::shared-lib, security::authentication


Nos vies commencent à prendre fin le jour où nous devenons silencieux à propos des choses qui comptent. Martin Luther King

Hors ligne

#4 21-01-2021 18:18:33

tux12
Membre
Lieu : ./
Distrib. : stable
Noyau : celui de la stable
(G)UI : KDE
Inscription : 27-02-2008

Re : [wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality

Bonjour,

Un logiciel du genre keepassX permet d'une part de sauvegarder les mots de passe (afin d'éviter les post-its) et d'autre part de générer des mots de passe de manière aléatoire avec possibilité de définir la longueur du pass et le type de caractères à employer. C'est fiable, je l'ai utilisé à titre professionnel et je continue à l'utiliser à titre personnel.
Par contre je ne saisis pas vraiment le rapport dans le premier post entre le brute-force et l'usage envisagé; en effet le BF est facilement évitable par d'autre moyens sur une invite de login d'un shell (fail2ban sur ssh ou http). Le seul usage du BF possible dans ce cas d'usage suppose que l'attaquant dispose du hash associé au password.

Pour éviter le côté "difficile de retenir un pass qui ne veut rien dire" perso j'utilise la première lettre de chaque mot d'une phrase que je ne peux pas oublier, ensemble auquel j'applique ensuite des "règles" du genre "alternance majuscule minuscule" ainsi que "substitution de lettres par des chiffres".
Il reste à trouver une phrase le plus surréaliste possible (pour être difficilement trouvable ailleurs). tongue

Si ça peut aider...

Hors ligne

#5 23-01-2021 16:23:12

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 11
Noyau : Linux 5.10.0-7-amd64
(G)UI : mutter 3.38.4-1
Inscription : 15-02-2016

Re : [wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality

Bonjour, merci de ta réponse tux12. keepassX est très bien pour les mots de passe quand on navigue sur les sites à inscription, mais cela ne concerne pas la problématique que je cherchais à résoudre : obliger des utilisateurs lambda à générer des mots de passe des sessions root et utilisateurs nettement plus complexes que ces utilisateurs souhaitaient créer au départ. Je m'aperçois que le tuto n'est assez clair sur la distinction entre les deux types de mots de passe, je rajoute la précision.

Ces utilisateurs lambda n'utilisant pas ssh, je ne voyais pas l'intérêt de la complexité de keepassX pour eux.

D'autant plus, que je sais pas pourquoi, alors que j'avais installé une machine chez moi pour un ami, sans l'extension de gestion de mot de passe Firefox LockWise, celle-ci est apparue dans le Firefox chez l'ami chez qui j'avais déplacé la machine. Ceci dès qu'il a voulu définir un nouvel identifiant et un mot de mot de passe sur un nouveau site.

https://www.mozilla.org/fr/firefox/lockwise/

Dernière modification par --gilles-- (23-01-2021 17:01:58)


Nos vies commencent à prendre fin le jour où nous devenons silencieux à propos des choses qui comptent. Martin Luther King

Hors ligne

#6 23-01-2021 17:53:09

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : [wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality

Pour générer des passes faciles, il y a la commande apg :
https://debian-facile.org/doc:systeme:apg

... character0015.gif

"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#7 23-01-2021 23:18:20

nam1962
Banni(e)
Distrib. : Manjaro, Debian, Xebian, Yunohost
Noyau : Ca dépend
(G)UI : Xfce
Inscription : 02-08-2017

Re : [wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality

J'aime bien ce topic.

Est ce que c'est ce style de méthode qui est utilisé pour <lien supprimé par la modération> ?

Dernière modification par vv222 (01-06-2021 15:49:07)


Almanet doLys de l'open source : mon tuto pour optimiser / finaliser une install
Manjaro Xfce - Debian Xfce - Yunohost - Xebian Et vous ?
61 convertis  IRL (n'ont pas eu le choix...).

Hors ligne

#8 24-01-2021 01:19:06

tux12
Membre
Lieu : ./
Distrib. : stable
Noyau : celui de la stable
(G)UI : KDE
Inscription : 27-02-2008

Re : [wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality

Ok, je comprends mieux le besoin. Difficile en effet d'utiliser un logiciel graphique pour ouvrir une session sur un ordi à moins de disposer d'un deuxième ordi sous la main. Et ma proposition précédente de phrase connue devient difficilement pratiquable si on doit changer de pass périodiquement.
Par contre il y a peut-être des solutions à chercher du côté des téléphones portables, que se soit une appli trousseau de clef ou toute autre méthode plus personelle.
Dans tous les cas il restera à convaincre l'utilisateur de l'utilité de la démarche... Je te souhaite bon courage smile

Hors ligne

#9 24-01-2021 08:30:20

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : [wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality

tux12 a écrit :

Difficile en effet d'utiliser un logiciel graphique pour ouvrir une session sur un ordi à moins de disposer d'un deuxième ordi sous la main


Dans la mesure où l'on peut ensuite modifier les passwd, on peut mettre un paswd tranquille à l'installation puis le modifier singulièrement une fois celle-ci terminée.

cool


"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#10 26-01-2021 16:25:33

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 11
Noyau : Linux 5.10.0-7-amd64
(G)UI : mutter 3.38.4-1
Inscription : 15-02-2016

Re : [wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality

smolski a écrit :

Pour générer des passes faciles, il y a la commande apg :
https://debian-facile.org/doc:systeme:apg



Dans la description du paquet apg, il est indiqué que le développement d'apg a été arrêté en 2003 et que le site des développeurs n'est plus en ligne. Le mainteneur debian d'apg arrêtera la maintenance de ce paquet apg dès que sera disponible un paquet maintenu qui aura les mêmes fonctions.

aptitude show apg a écrit :

apg has not seen upstream attention since 2003, upstream is not answering e-mail, and the upstream web page does not look like it is in
good working order. The Debian maintainer plans to discontinue apg maintenance as soon as an actually maintained software with a
compariable feature set becomes available.
Site : http://www.adel.nursat.kz/apg/



Smolski, il faudrait avertir les usagers du wiki de cette alerte.






smolski a écrit :

Dans la mesure où l'on peut ensuite modifier les passwd, on peut mettre un paswd tranquille à l'installation puis le modifier singulièrement une fois celle-ci terminée.



Vu que j'ai installé et que peut-être je réinstallerai pour des personnes qui il y a peu de temps n'avaient pas de mot de passe dans leur Windows et justement se sont fait pénétrer leur système et escroquer, mais quand même elles sont dures à la compréhension, yikes elles veulent toujours des mots de passe bidons, trop simples ! Alors, je leur force la main et je mets un mot de passe hyper complexe et puis épuisées elles me disent :
« Gilles, ton mot de passe est trop dur ! Tu peux pas le changer ? » et elles me reproposent des marques de voiture  ou leur anniversaire ! yikes

Alors je leur dis : « Tu te souviens pas que tu t'es fait escroquer l'année dernière ? »

« Ah, oui, c'est vrai, merde ! »

alors elles me font d'autres propositions de mot de passe, et si c'est trop simple, pwscore refuse leurs propositions. Et je dis : « L'ordinateur refuse, c'est trop simple comme mot de passe, tu vois Linux, c'est sécurisé ! » big_smile

Et finalement nous arrivons à un mot de passe suffisamment sécurisé, mais qu'elles ont choisi.

Dernière modification par --gilles-- (26-01-2021 16:27:48)


Nos vies commencent à prendre fin le jour où nous devenons silencieux à propos des choses qui comptent. Martin Luther King

Hors ligne

#11 28-03-2021 16:12:05

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 11
Noyau : Linux 5.10.0-7-amd64
(G)UI : mutter 3.38.4-1
Inscription : 15-02-2016

Re : [wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality

Suite à l'article de Pierric MARISSAL dans L'Humanité - Dimanche n° 749 semaine du 18 au 24 mars : « Extorsion et intrusion. Les entreprises et les travailleurs en première ligne »  consacré à la sécurité informatique des télé-travailleurs avec leur équipement personnel informatique, je rajoute une configuration renforcée avec la vérification du mot de passe en le comparant aux mots de passe courants contenus dans un dictionnaire de mot de passe ainsi que trois caractères différents obligatoires entre l'ancien et le nouveau mot de passe :



https://debian-facile.org/doc:securite: … ssi-a-root

Nos vies commencent à prendre fin le jour où nous devenons silencieux à propos des choses qui comptent. Martin Luther King

Hors ligne

Pied de page des forums