Debian-facile

phil45190

Membre

Distrib. : debian testing

Noyau : 5.16.0.6-amd64

(G)UI : xfce

Inscription : 16-02-2017

resolu securité courriel HIBP

Bonjour à toutes et tous
espérant que ma question ne soit pas hors sujet
La revue Que Choisir propose des conseils pour sécuriser son usage numérique de consommation.
En particulier vérifier sur le site Have I Been Pawned (traduction est-ce que j'ai été piraté ?) si l'adresse de courriel est pawned (compromise).
Si la réponse est oui, il nous est proposé une réponse technique, malheureusement en anglais. Donc incompréhensible pour moi.
D'ou mon appel à cette liste.
HIBP parle de breach (brèche ?)
De mot de passe qu'il faut changer.
Mes questions :
Si quelqu'un connait ce site et sait comprendre les notions exposées peut-il nous faire une synthèse
Thunderbird avec OS linux (voir même Debian) est-il en cause ou pas ?
Le changement de mot de passe de messagerie est-il une protection suffisante ou faut-il envisager de changer de nom de messagerie ?
Mes adresses gmail et orange ne sont pas compromises, mais 2 des 3 chez Free le sont. Y-a-t-il un problème de sécurité particulier chez cet opérateur ?
Merci de vos éclairages si mes questions sont pertinentes sur cette liste

Dernière modification par phil45190 (26-05-2021 16:07:50)

Anonyme

Invité

Re : resolu securité courriel HIBP

Bonjour,
d'après le site de test, 3 étapes pour être en "sécurité" :

- Step 1 Protect yourself using 1Password to generate and save strong passwords for each website.
- Step 2 Enable 2 factor authentication and store the codes inside your 1Password account.
- Step 3 Subscribe to notifications for any other breaches. Then just change that unique password.

   
En traduction rapide ça donne :         
1- Utiliser la solution payante 1Password (3 ou 5$/mois)
2- Utiliser la double authentification et stocker les codes chez 1Password
3- Souscrire aux notifications de 1Password et ne changer que le mdp principal

Donc forcément la réponse est très commerciale. C'est du genre "pay and forget".
C'est certainement efficace tant qu'on fait confiance à la société et qu'on a envie de payer autant pour si peu.
Le point 3 me semble très risqué car ça veut dire que 1Password change seul les mdp de messagerie, sites de vente ou forums.

Réponse au test pour mon adresse "poubelle" :

Dropbox: In mid-2012, Dropbox suffered a data breach which exposed the stored credentials of tens of millions of their customers. In August 2016, they forced password resets for customers they believed may be at risk. A large volume of data totalling over 68 million records was subsequently traded online and included email addresses and salted hashes of passwords (half of them SHA1, half of them bcrypt).

Compromised data: Email addresses, Passwords

Soit en gros :
Dropbox a eu une faille en 2012, forcé le changement du mdp en 2016. Une grande quantité de données a été visible. Données compromises adresses email et mdp.

Nota : pas d'alerte sur la compromission de la messagerie mais sur un site (dropbox) qui utilisait en utilisait l'identifiant.