Dropbox hacké et pass leakés

Discussion dans 'Web, design' créé par Sebulba, 27 Août 2016.

  1. Offline
    Sebulba Dieu
    Equipe GamerZ.be
    Désolé pour le titre racoleur mais c'est pour faire court,

    Beaucoup ont sans doute comme moi reçu un mail ce matin, dans ce nouveau genre "sécurité préventive" qui essaye de vous endormir chaque fois qu'une dotcom qui pèse des millions se fait platement hacker et piquer ses infos.

    Dans un chapitre bien endormissant et après avoir scrollé deux écrans on vous avouera à mi-mots que oui, des passwords (des millions ?) volés en 2012 sont dans la nature maaaais que tout va bien madame la marquise.
    Et surtout ; vous serez obligé par précaution bien sûr (what else ?) de changer de pass si vous ne voulez pas que toutes vos données "cloud" stockée sur dropbox soit accédées

    https://www.dropbox.com/help/9257?oref=e

    A bon entendeur : stockez vos trucs critiques chez vous, et stockez une copie cryptée dans le cloud.
    Sebulba, 27 Août 2016
    #1
    Thibz aime ça.
  2. Online
    cladstrif4 Shoryuken
    Y a til un meilleur moyen de crypter avant de stocker sur le cloud?
    cladstrif4, 27 Août 2016
    #2
  3. Offline
    EmO_TiiOn Chadolf
    Je n'ai pas reçu le mail
    EmO_TiiOn, 27 Août 2016
    #3
  4. Offline
    Kaly j nik tous
    Rien reçu non plus, mais ca m'étonne pas.

    Tiens en parlant de stockage cloud, vous connaissez autre chose que Drive/Dropbox mais en mieux sécurisé?

    "Chez soi" évidemment, mais pas le temps pour le moment de me lancer là dedans (et les sous non plus). :D
    Kaly, 27 Août 2016
    #4
  5. Offline
    Sebulba Dieu
    Equipe GamerZ.be
    Imageh1.png
    Sebulba, 27 Août 2016
    #5
  6. Offline
    Papanowel Kiwi
    Reçu également l'email mais bon vu le mp que j'avais, ça ne me surprend pas... Aucune information sensible de mon côté (pour le peu que je l'ai utilisé...).
    Papanowel, 27 Août 2016
    #6
  7. Offline
    Sebulba Dieu
    Equipe GamerZ.be
    Moi j'ai le dual-auth avec code 6 digits type secur-ID (raison pour laquelle j'ai pas besoin de changer mon pass d'ailleurs), mais bon déjà que j'ai un usage très tiède du cloud quand je suis obligé obligé, ce genre d'aventure ne m'encourage pas.

    En gros leurs pass se promènent depuis 4 ans dans dieu sait quel underground, et là ils se réveillent quoi.
    Sebulba, 27 Août 2016
    #7
    Old7 et Papanowel aiment ça.
  8. Offline
    EmO_TiiOn Chadolf
    J'avoue, pourquoi ils mettent autant de temps avant de rendre ça public ?

    Quand on voit ce qu'il s'est passé avec iCloud ça aurait du leur servir de leçon
    EmO_TiiOn, 27 Août 2016
    #8
  9. Offline
    Sebulba Dieu
    Equipe GamerZ.be
    Ben ya deux possibilités, aucune n'est réjouissante
    - ils s'en sont pas rendu compte. Mais ils disent le contraire dans leur mail ! Donc ils auraient sous estimé la fuite à l'époque et viennent seulement de voir un "listing" qui circule.
    - ils le savent mais se sont arrangés avec le mec qui a piqué les pass (c'est ce que je pense) hélas 4 ans après ca a leaké "publiquement" alors qu'ils avaient a l'époque réussi à remettre le couvercle sur la casserole.
    Sebulba, 27 Août 2016
    #9
  10. Offline
    EmO_TiiOn Chadolf
    Mouais.. En tout cas c'est bien lourd parce que j'ai fais la connerie d'utiliser un mdp universel, la flemme de changer des dizaines de mdp..
    EmO_TiiOn, 27 Août 2016
    #10
  11. Offline
    Sebulba Dieu
    Equipe GamerZ.be
    https://1password.com/ !

    Progressivement ; tu mets d'abord ton pass merdique partout bref tu ne changes rien à tes habitudes, puis pass-par-pass tu remets un de ceux générés par 1pass... Et on y arrive en quelques mois.

    Moi a part 2 ou 3 endroits qui ont une raison d'avoir un pass "weak" c'est des pass atroces de 1pass ( ex : hjxQ0t4TitMzDD ) donc si l'un ou l'autre service se fait hacker tu es quand même plus zen.

    Le vrai "plus" c'est d'avoir accès a tes pass "strong" sur une appli, sur chrome, safari, firefox, en appli windows, etc... Et de repérer "visuellement" les "pas strong" qui te restent.
    Sebulba, 27 Août 2016
    #11
  12. Offline
    SpY_ Trolololololololo
    elle tient la route au fait l'application windows 10 maintenant au fait? Au moment de tester, je l'ai trouvé particulièrement pourrie leur app du windows store. Du coups, je suis passé sur Dashlane
    SpY_, 27 Août 2016
    #12
  13. Offline
    Sebulba Dieu
    Equipe GamerZ.be
    Chez moi ;

    Image11poas.png

    La taille de la barre verte donne la "puissance" du password.

    C'est ce que je préfère dans l'app (qui a un petit coté vintage parfois pénible) c'est l'indication "visuelle" de là ou tu utilises encore des pass moisis, et si tu passes régulièrement voir cette liste, ben tu peux décider si ca peut rester ainsi on si ca doit etre renforcé... Et progressivement tu améliores ta sécurité.
    Sebulba, 27 Août 2016
    #13
  14. Offline
    EmO_TiiOn Chadolf
    J'utilise 1password depuis des années c'est bien pratique :) J'ai quelques sites avec des mdp différents mais une majorité ont les même

    Et 1password sous W10 n'est plus en Beta maintenant, perso aucun soucis (En Beta ça synchronisait pas toujours)
    EmO_TiiOn, 27 Août 2016
    #14
  15. Offline
    SpY_ Trolololololololo
    c'est la version sans abonnement ça, non?
    SpY_, 27 Août 2016
    #15
  16. Offline
    SpY_ Trolololololololo
    ah oui je me souviens. C'est parce que l'app windows 10 beta (obligé de l'utiliser si tu avais 1password family) n'était pas compatible avec les extensions browser

    Je vais y jeter un oeil. Dashlane c'est bien, mais j'avais un meilleur feeling avec 1password...

    edit : ben apparemment le support des extensions sur 1password 6 windows n'est pas pour tout de suite : https://discussions.agilebits.com/categories/windows-beta

    Le pire dans tout ça, c'est que si t'as pris un abonnement, tu sais même pas l'utiliser sur 1 password4
    SpY_, 27 Août 2016
    #16
  17. Offline
    Sebulba Dieu
    Equipe GamerZ.be
    Oui car je stocke mes MDP chez moi sur mon NAS ( synch via le lan/wifi ).

    Je suis un tout petit peu parano-du-cloud :)
    Sebulba, 27 Août 2016
    #17
  18. Offline
    EmO_TiiOn Chadolf
    Par contre ça rend parano si un jour c'est 1password qui est hacké, ce serait le comble.. J'imagine que ça doit être proche de l'impossible mais qui sait.. ce serait la pire des choses quand même :D
    EmO_TiiOn, 27 Août 2016
    #18
  19. Offline
    Sebulba Dieu
    Equipe GamerZ.be

    Disons que tes fichiers de MDP sont cryptés AES, donc en gros la NSA peut probablement les lire (ca me dérange pas si la NSA va sur gamerz en mon nom) mais pour le reste le fichier avec tous mes MDP je peux te l'envoyer et tu ne sauras rien en faire.

    Attention de pas utiliser un master pass qui soit "brute forcable" sinon évidemment, ca tue toute la crypto derriere.
    Sebulba, 27 Août 2016
    #19
  20. Offline
    EmO_TiiOn Chadolf
    Ouais les trucs genre NSA, gouvernement je m'en contrefous c'est de toute façon inévitable

    Mais pour appliquer du brute-force là dessus il faut être motivé quand même, surtout sur des millions d'utilisateurs
    EmO_TiiOn, 27 Août 2016
    #20