Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 13-01-2021 12:29:49

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 11
Noyau : Linux 5.10.0-1-amd64
(G)UI : mutter 3.38.2-1
Inscription : 15-02-2016

[wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality

Bonjour ! big_smile

Bon, la période actuelle est difficile, la puissance de calcul augmente. Est-ce que des petits malins n'en profiteraient pas pour tirer leur épingle du jeu en jouant à la "brute force" ?
« "brute force" pour les mots de passe ? » : Utiliser la puissance de calcul pour explorer tous mots de passe possibles.

Eh, bien ce va pas être possible si grâce à ce tuto vous sécurisez vos mots de passe : https://debian-facile.org/doc:securite: … -pwquality

Mais un tuto ne valant que si il est commenté, testé, merci d'avance pour vos retours et idées smile

Nos vies commencent à prendre fin le jour où nous devenons silencieux à propos des choses qui comptent. Martin Luther King

Hors ligne

#2 16-01-2021 00:14:24

Beta-Pictoris
Membre
Lieu : Angers
Distrib. : Buster
Inscription : 11-08-2015

Re : [wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality

Bonjour smile

Je ne connaissais pas cettte commande pwmake :

pwmake 128


aR9Ubz0gDOD)Am8yv4BFutSYkAS


Jusqu'à présent, je procédais comme ceci. Par exemple, pour générer 10 mots de passe de 20 caractères chacun :

cat /dev/urandom | tr -cd 'A-Za-z0-9!*%$' | fold -w20 | head -10


oi36YZu8FSfkOlvR8cGj
8pxNupED0bS$ZGK1LaPd
UKvj$vuiv%ZCS%5MgHYb
Ch3NmeR85Bh7UffKTjDa
uLkYGbT8uekXLRIm1lQf
yjOq8!*9TUvMPexC7%yu
XkwnD2ioCA4zZORNuhd7
4nBbQBwp7VTpCvPMfIFB
RgfBpjd6crS8xq3Y!DpG
UxWFEQdHDAFZlX934lh2

Hors ligne

#3 21-01-2021 16:47:34

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 11
Noyau : Linux 5.10.0-1-amd64
(G)UI : mutter 3.38.2-1
Inscription : 15-02-2016

Re : [wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality

Bonjour ! smile

Je suis heureux que tu t'intéresses à mon tuto. smile

Dois-je considérer que tu l'as testé ? Comme il s'agit d'un forum animé par des bénévoles, je ne sais pas les règles qui s'appliquent pour pouvoir apposer un nom après la mention : Testé par <…> le <…>

Je dois dire que je suis un peu ennuyé par le fait que les définitions de dcredit, ucredit, lcredit, ocredit soient différentes entre la version de man pwquality.conf et celles rédigées dans  man pam_pwquality d'où la note d'avertissement préalable. Ce qui m' a rassuré c'est que l'ANSSI ne s'en sert pas et les mets explicitement à 0 :
https://www.ssi.gouv.fr/uploads/2016/01 … r-v1.2.pdf  (page 28 du document )

Je suis un simple amateur, je me suis intéressé à cet aspect de la sécurité car les personnes qui m'avaient plus ou moins promis qu'elles feraient appel à moi pour une installation Linux soient ne mettent carrément pas de mot de passe ou soient mettent un mot de passe en bois ( modèle de leur voiture, date de naissance ! ) sur leur vieux Windows.  Et quand je leur demandais quel nouveau mot de passe elles voulaient pour leur nouvel ordi, elles ne voulaient pas de mot de passe ou d'autres me redonnaient toujours le même que celui de leur Windows en me disant : « Au moins celui-là, je vais m'en souvenir ! » yikes

Comme tu génères des mots de passe à la volée, je suppose que tu administres un parc de machines pour un ensemble d'utilisateurs. Comment fais-tu pour que les mots de passes générés ne se retrouvent pas sur un post-it à côté ou carrément sur l'ordinateur ?




Je ne connaissais pas non plus cette commande pwmake il y a peu. Comme elle accepte plus de caractères spéciaux que l'ensemble : {!*%$} les résultats ont une meilleure entropie.


J'avais compilé libpam-passwdqc il y a longtemps sur un vieux Mac, c'était énorme la longueur minimum de caractères par défaut. On peut aussi définir la durée de validité des mots de passe, on le trouve sous forme de paquet pour debian, mais pour des simples amateurs, je ne crois pas que cette solution aurait remporté l'adhésion d'un grand nombre de personnes.

aptitude show libpam-passwdqc

Paquet : libpam-passwdqc                                
Version : 1.4.0-1
État: non installé
Multiarchitecture : même
Priorité : optionnel
Section : admin
Responsable : Debian Security Tools <team+pkg-security@tracker.debian.org>
Architecture : amd64
Taille décompressée : 52,2 k
Dépend: libc6 (>= 2.4), libcrypt1 (>= 1:4.1.0), libpam0g (>= 0.99.7.1), libpasswdqc0 (>= 1.3.0), libpam-runtime (>= 1.0.1-6)
Recommande: passwdqc
Description : PAM module for password strength policy enforcement
 passwdqc is a password/passphrase strength checking and policy enforcement toolset, including a PAM module (libpam-passwdqc),
 command-line programs (pwqcheck and pwqgen), and a library (libpasswdqc0).
 
 pam_passwdqc (optionally) integrates with PAM such that it gets invoked when users change their passwords. The module is capable
 of checking password or passphrase strength, enforcing a policy, and offering randomly-generated passphrases, with all of these
 features being optional and easily (re-)configurable.
Site : https://www.openwall.com/passwdqc/
Étiquettes: devel::library, role::shared-lib, security::authentication


Nos vies commencent à prendre fin le jour où nous devenons silencieux à propos des choses qui comptent. Martin Luther King

Hors ligne

#4 21-01-2021 17:18:33

tux12
Membre
Lieu : ./
Distrib. : stable
Noyau : celui de la stable
(G)UI : KDE
Inscription : 27-02-2008

Re : [wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality

Bonjour,

Un logiciel du genre keepassX permet d'une part de sauvegarder les mots de passe (afin d'éviter les post-its) et d'autre part de générer des mots de passe de manière aléatoire avec possibilité de définir la longueur du pass et le type de caractères à employer. C'est fiable, je l'ai utilisé à titre professionnel et je continue à l'utiliser à titre personnel.
Par contre je ne saisis pas vraiment le rapport dans le premier post entre le brute-force et l'usage envisagé; en effet le BF est facilement évitable par d'autre moyens sur une invite de login d'un shell (fail2ban sur ssh ou http). Le seul usage du BF possible dans ce cas d'usage suppose que l'attaquant dispose du hash associé au password.

Pour éviter le côté "difficile de retenir un pass qui ne veut rien dire" perso j'utilise la première lettre de chaque mot d'une phrase que je ne peux pas oublier, ensemble auquel j'applique ensuite des "règles" du genre "alternance majuscule minuscule" ainsi que "substitution de lettres par des chiffres".
Il reste à trouver une phrase le plus surréaliste possible (pour être difficilement trouvable ailleurs). tongue

Si ça peut aider...

Hors ligne

Pied de page des forums