Debian-facile
Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.
Vous n'êtes pas identifié(e).
- Contributions : Récentes | Sans réponse
#1 13-01-2021 12:29:49
- --gilles--
- Membre
- Lieu : Orléans - La Source
- Distrib. : debian 11
- Noyau : Linux 5.10.0-1-amd64
- (G)UI : mutter 3.38.2-1
- Inscription : 15-02-2016
[wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality
Bonjour ! 
Bon, la période actuelle est difficile, la puissance de calcul augmente. Est-ce que des petits malins n'en profiteraient pas pour tirer leur épingle du jeu en jouant à la "brute force" ?
« "brute force" pour les mots de passe ? » : Utiliser la puissance de calcul pour explorer tous mots de passe possibles.
Eh, bien ce va pas être possible si grâce à ce tuto vous sécurisez vos mots de passe : https://debian-facile.org/doc:securite: … -pwquality
Mais un tuto ne valant que si il est commenté, testé, merci d'avance pour vos retours et idées
Bon, la période actuelle est difficile, la puissance de calcul augmente. Est-ce que des petits malins n'en profiteraient pas pour tirer leur épingle du jeu en jouant à la "brute force" ?
« "brute force" pour les mots de passe ? » : Utiliser la puissance de calcul pour explorer tous mots de passe possibles.
Eh, bien ce va pas être possible si grâce à ce tuto vous sécurisez vos mots de passe : https://debian-facile.org/doc:securite: … -pwquality
Mais un tuto ne valant que si il est commenté, testé, merci d'avance pour vos retours et idées
Nos vies commencent à prendre fin le jour où nous devenons silencieux à propos des choses qui comptent. Martin Luther King
Hors ligne
#2 16-01-2021 00:14:24
- Beta-Pictoris
- Membre
- Lieu : Angers
- Distrib. : Buster
- Inscription : 11-08-2015
Re : [wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality
Bonjour
Je ne connaissais pas cettte commande pwmake :
Je ne connaissais pas cettte commande pwmake :
pwmake 128
aR9Ubz0gDOD)Am8yv4BFutSYkAS
Jusqu'à présent, je procédais comme ceci. Par exemple, pour générer 10 mots de passe de 20 caractères chacun :
cat /dev/urandom | tr -cd 'A-Za-z0-9!*%$' | fold -w20 | head -10
oi36YZu8FSfkOlvR8cGj
8pxNupED0bS$ZGK1LaPd
UKvj$vuiv%ZCS%5MgHYb
Ch3NmeR85Bh7UffKTjDa
uLkYGbT8uekXLRIm1lQf
yjOq8!*9TUvMPexC7%yu
XkwnD2ioCA4zZORNuhd7
4nBbQBwp7VTpCvPMfIFB
RgfBpjd6crS8xq3Y!DpG
UxWFEQdHDAFZlX934lh2
8pxNupED0bS$ZGK1LaPd
UKvj$vuiv%ZCS%5MgHYb
Ch3NmeR85Bh7UffKTjDa
uLkYGbT8uekXLRIm1lQf
yjOq8!*9TUvMPexC7%yu
XkwnD2ioCA4zZORNuhd7
4nBbQBwp7VTpCvPMfIFB
RgfBpjd6crS8xq3Y!DpG
UxWFEQdHDAFZlX934lh2
Hors ligne
#3 21-01-2021 16:47:34
- --gilles--
- Membre
- Lieu : Orléans - La Source
- Distrib. : debian 11
- Noyau : Linux 5.10.0-1-amd64
- (G)UI : mutter 3.38.2-1
- Inscription : 15-02-2016
Re : [wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality
Bonjour !
Je suis heureux que tu t'intéresses à mon tuto.
Dois-je considérer que tu l'as testé ? Comme il s'agit d'un forum animé par des bénévoles, je ne sais pas les règles qui s'appliquent pour pouvoir apposer un nom après la mention : Testé par <…> le <…>
Je dois dire que je suis un peu ennuyé par le fait que les définitions de dcredit, ucredit, lcredit, ocredit soient différentes entre la version de man pwquality.conf et celles rédigées dans man pam_pwquality d'où la note d'avertissement préalable. Ce qui m' a rassuré c'est que l'ANSSI ne s'en sert pas et les mets explicitement à 0 :
https://www.ssi.gouv.fr/uploads/2016/01 … r-v1.2.pdf (page 28 du document )
Je suis un simple amateur, je me suis intéressé à cet aspect de la sécurité car les personnes qui m'avaient plus ou moins promis qu'elles feraient appel à moi pour une installation Linux soient ne mettent carrément pas de mot de passe ou soient mettent un mot de passe en bois ( modèle de leur voiture, date de naissance ! ) sur leur vieux Windows. Et quand je leur demandais quel nouveau mot de passe elles voulaient pour leur nouvel ordi, elles ne voulaient pas de mot de passe ou d'autres me redonnaient toujours le même que celui de leur Windows en me disant : « Au moins celui-là, je vais m'en souvenir ! »
Comme tu génères des mots de passe à la volée, je suppose que tu administres un parc de machines pour un ensemble d'utilisateurs. Comment fais-tu pour que les mots de passes générés ne se retrouvent pas sur un post-it à côté ou carrément sur l'ordinateur ?
Je ne connaissais pas non plus cette commande pwmake il y a peu. Comme elle accepte plus de caractères spéciaux que l'ensemble : {!*%$} les résultats ont une meilleure entropie.
J'avais compilé libpam-passwdqc il y a longtemps sur un vieux Mac, c'était énorme la longueur minimum de caractères par défaut. On peut aussi définir la durée de validité des mots de passe, on le trouve sous forme de paquet pour debian, mais pour des simples amateurs, je ne crois pas que cette solution aurait remporté l'adhésion d'un grand nombre de personnes.
Je suis heureux que tu t'intéresses à mon tuto.
Dois-je considérer que tu l'as testé ? Comme il s'agit d'un forum animé par des bénévoles, je ne sais pas les règles qui s'appliquent pour pouvoir apposer un nom après la mention : Testé par <…> le <…>
Je dois dire que je suis un peu ennuyé par le fait que les définitions de dcredit, ucredit, lcredit, ocredit soient différentes entre la version de man pwquality.conf et celles rédigées dans man pam_pwquality d'où la note d'avertissement préalable. Ce qui m' a rassuré c'est que l'ANSSI ne s'en sert pas et les mets explicitement à 0 :
https://www.ssi.gouv.fr/uploads/2016/01 … r-v1.2.pdf (page 28 du document )
Je suis un simple amateur, je me suis intéressé à cet aspect de la sécurité car les personnes qui m'avaient plus ou moins promis qu'elles feraient appel à moi pour une installation Linux soient ne mettent carrément pas de mot de passe ou soient mettent un mot de passe en bois ( modèle de leur voiture, date de naissance ! ) sur leur vieux Windows. Et quand je leur demandais quel nouveau mot de passe elles voulaient pour leur nouvel ordi, elles ne voulaient pas de mot de passe ou d'autres me redonnaient toujours le même que celui de leur Windows en me disant : « Au moins celui-là, je vais m'en souvenir ! »
Comme tu génères des mots de passe à la volée, je suppose que tu administres un parc de machines pour un ensemble d'utilisateurs. Comment fais-tu pour que les mots de passes générés ne se retrouvent pas sur un post-it à côté ou carrément sur l'ordinateur ?
Je ne connaissais pas non plus cette commande pwmake il y a peu. Comme elle accepte plus de caractères spéciaux que l'ensemble : {!*%$} les résultats ont une meilleure entropie.
J'avais compilé libpam-passwdqc il y a longtemps sur un vieux Mac, c'était énorme la longueur minimum de caractères par défaut. On peut aussi définir la durée de validité des mots de passe, on le trouve sous forme de paquet pour debian, mais pour des simples amateurs, je ne crois pas que cette solution aurait remporté l'adhésion d'un grand nombre de personnes.
aptitude show libpam-passwdqc
Paquet : libpam-passwdqc
Version : 1.4.0-1
État: non installé
Multiarchitecture : même
Priorité : optionnel
Section : admin
Responsable : Debian Security Tools <team+pkg-security@tracker.debian.org>
Architecture : amd64
Taille décompressée : 52,2 k
Dépend: libc6 (>= 2.4), libcrypt1 (>= 1:4.1.0), libpam0g (>= 0.99.7.1), libpasswdqc0 (>= 1.3.0), libpam-runtime (>= 1.0.1-6)
Recommande: passwdqc
Description : PAM module for password strength policy enforcement
passwdqc is a password/passphrase strength checking and policy enforcement toolset, including a PAM module (libpam-passwdqc),
command-line programs (pwqcheck and pwqgen), and a library (libpasswdqc0).
pam_passwdqc (optionally) integrates with PAM such that it gets invoked when users change their passwords. The module is capable
of checking password or passphrase strength, enforcing a policy, and offering randomly-generated passphrases, with all of these
features being optional and easily (re-)configurable.
Site : https://www.openwall.com/passwdqc/
Étiquettes: devel::library, role::shared-lib, security::authentication
Version : 1.4.0-1
État: non installé
Multiarchitecture : même
Priorité : optionnel
Section : admin
Responsable : Debian Security Tools <team+pkg-security@tracker.debian.org>
Architecture : amd64
Taille décompressée : 52,2 k
Dépend: libc6 (>= 2.4), libcrypt1 (>= 1:4.1.0), libpam0g (>= 0.99.7.1), libpasswdqc0 (>= 1.3.0), libpam-runtime (>= 1.0.1-6)
Recommande: passwdqc
Description : PAM module for password strength policy enforcement
passwdqc is a password/passphrase strength checking and policy enforcement toolset, including a PAM module (libpam-passwdqc),
command-line programs (pwqcheck and pwqgen), and a library (libpasswdqc0).
pam_passwdqc (optionally) integrates with PAM such that it gets invoked when users change their passwords. The module is capable
of checking password or passphrase strength, enforcing a policy, and offering randomly-generated passphrases, with all of these
features being optional and easily (re-)configurable.
Site : https://www.openwall.com/passwdqc/
Étiquettes: devel::library, role::shared-lib, security::authentication
Nos vies commencent à prendre fin le jour où nous devenons silencieux à propos des choses qui comptent. Martin Luther King
Hors ligne
#4 21-01-2021 17:18:33
- tux12
- Membre
- Lieu : ./
- Distrib. : stable
- Noyau : celui de la stable
- (G)UI : KDE
- Inscription : 27-02-2008
Re : [wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality
Bonjour,
Un logiciel du genre keepassX permet d'une part de sauvegarder les mots de passe (afin d'éviter les post-its) et d'autre part de générer des mots de passe de manière aléatoire avec possibilité de définir la longueur du pass et le type de caractères à employer. C'est fiable, je l'ai utilisé à titre professionnel et je continue à l'utiliser à titre personnel.
Par contre je ne saisis pas vraiment le rapport dans le premier post entre le brute-force et l'usage envisagé; en effet le BF est facilement évitable par d'autre moyens sur une invite de login d'un shell (fail2ban sur ssh ou http). Le seul usage du BF possible dans ce cas d'usage suppose que l'attaquant dispose du hash associé au password.
Pour éviter le côté "difficile de retenir un pass qui ne veut rien dire" perso j'utilise la première lettre de chaque mot d'une phrase que je ne peux pas oublier, ensemble auquel j'applique ensuite des "règles" du genre "alternance majuscule minuscule" ainsi que "substitution de lettres par des chiffres".
Il reste à trouver une phrase le plus surréaliste possible (pour être difficilement trouvable ailleurs).
Si ça peut aider...
Un logiciel du genre keepassX permet d'une part de sauvegarder les mots de passe (afin d'éviter les post-its) et d'autre part de générer des mots de passe de manière aléatoire avec possibilité de définir la longueur du pass et le type de caractères à employer. C'est fiable, je l'ai utilisé à titre professionnel et je continue à l'utiliser à titre personnel.
Par contre je ne saisis pas vraiment le rapport dans le premier post entre le brute-force et l'usage envisagé; en effet le BF est facilement évitable par d'autre moyens sur une invite de login d'un shell (fail2ban sur ssh ou http). Le seul usage du BF possible dans ce cas d'usage suppose que l'attaquant dispose du hash associé au password.
Pour éviter le côté "difficile de retenir un pass qui ne veut rien dire" perso j'utilise la première lettre de chaque mot d'une phrase que je ne peux pas oublier, ensemble auquel j'applique ensuite des "règles" du genre "alternance majuscule minuscule" ainsi que "substitution de lettres par des chiffres".
Il reste à trouver une phrase le plus surréaliste possible (pour être difficilement trouvable ailleurs).
Si ça peut aider...
Hors ligne