Bonjour Alian,
Changer ses mots de passe de temps en temps est un bonne idée de toutes façons.
Ma question est de savoir comment tu sais que des cybercriminels ont accédés à tes mots de passe ? En la matière les tentatives d'hameçonnage pour faire peur sont assez communes.
Je sais que utilises une boîte à clé via keepass(x/xc) et c'est la meilleure solution à mon avis.
L'intérêt de ce genre de solution est de n'avoir à se souvenir que d'un seul mot de passe fort et tous les autres de les générer depuis l'outil de boîte à clé, ainsi chaque site a un mot de passe fort et différent.
Ainsi si un site est opéré par un administrateur système très indelicat, il n'expose qu'un seul mot de passe, celui pour ce site et non celui de tous vos comptes...
Il ne faut évidemment pas perde le fichier de boite à clé, il est conseillé d'en stoquer une copie sur un support sûr. Quant il est protégé par un mot de passe fort le ficher est pratiquement inviolable.
En pratique il est nécessaire de retenir plusieurs mot de passes, un pour le login sur la machine et un pour la boîte à clé, c'est le mode le plus sûr. La boîte à clé peut aussi être stoquée sur des services du cloud, mais dans ce cas il faut aussi un mot de passe que l'on puisse retenir pour accéder au service.
Une copie du fichier boîte à clé étant vérouillé par le mot de passe peut être confié à un proche, ainsi en cas de perte c'est lui qui vous dépannera sans avoir révélé quoi que ce soit des mots de passes ou des sites utilisés.
En utilisant une solution indépendante de boîte à clé que la mémorisation de Firefox ont s'autorise à stoquer d'autres identifiants que ceux des sites web et on prend de la distance vi à vi du navigateur. Cela permet aussi d'ajouter des commentaires pour chaque entrée, d'en conserver un historique, de pouvoir les synchorinser avec d'autres boîtes à clés provenant d'autres périphériques ( plusieurs PC, tablettes, téléphone... ).
D'un autre côte cela demande un peu plus de manipulation, quelques clics supplémentaires et des Ctrl+TAB pour passer du navigateur au logiciel de boite à clé et des Ctrl+V pour les copier dans les champs sont nécessaires.
Une bonne sécurité est comme une bonne hygienne, cela demande quelques efforts.
Si on se limite à l'enregistrement dans firefox, alors à minima il faut activer le mot de passe maître sur firefox.
Philippe
On 21/11/2020 12:55, Alain Antibes wrote:
Bonjour Sylvio,
Un grand merci pour tes précieuses informations que je vais m'empresser de mettre en pratique.
C'est une véritable Bible, avec chaque paragraphe à mettre en application.
Je te souhaite une agréable journée.
Alain
Le sam. 21 nov. 2020 à 12:47, sylvio <sylviodesjardins@free.fr mailto:sylviodesjardins@free.fr> a écrit :
Le 21/11/2020 à 09:52, Alain Antibes a écrit :Bonjour à toutes et tous, Des hakers parviennent à accéder à mes mots de passe mémorisés. Quelle solution ? * Ne plus mémoriser ? Mais alors quelle contrainte ! * Une solution à me proposer ? Bon WE à toutes et tous. -- Alain _______________________________________________ Linux06 mailing list Linux06@lists.linux-azur.org <mailto:Linux06@lists.linux-azur.org> https://lists.linux-azur.org/mailman/listinfo/linux06 Attention, les archives sont publiquesBonjour Alain, Peut-être qu'ils ont réussi à craquer le mot de passe utilisateur de ton PC. 1. Commence par le modifier en choisissant quelque-chose de plus complexe et qui ne corresponde pas à des éléments de ta vie privée. Avec les réseaux sociaux, c'est trop facile d'anticiper ce que tu peux choisir pour établir un dictionnaire de probabilités. Sans parler du risque de proximité. 2. Si ton compte root est actif (accessible avec un simple 'su -', fais de même pour ce mot de passe également, il doit évidemment être différent du mot de passe utilisateur et très complexe. 3. Change tous tes autres mots de passe (mails, banque, boutiques en ligne, etc...). 4. Sécurise bien l'aide mémoire que tu utilise pour ne pas les oublier. ==> Lis ceci : https://www.police-nationale.interieur.gouv.fr/Actualites/Dossiers/Cybercrime/Comment-choisir-ses-mots-de-passe 5. Aussi, est-ce que ta box internet est en mode routeur (filtrage de ports actifs), c'est très important qu'elle bloque par défaut les demandes entrantes. Le mot de passe du compte permettant de la régler doit lui aussi être modifié d'urgence. 6. De plus, n'hésite pas à installer le module Ublock Origin sur Firefox (et éventuellement noscript, contraignant mais redoutable pour bloquer les javascripts car il permet d'autorise les accès depuis les différentes URLs liées à une page web au compte goutte : rien que pour la page gouv.fr <http://gouv.fr> ci-dessus il y en a 5 qui envoient des requêtes). 7. Quand tu reçoit un joli mail officiel (Amazon ,Crédit agricole, Paypal, ou autre...) au delà de tout soupçon et avec un information importante suivie d'un lien, vérifie toujours cette URL une fois dans Firefox avant de faire quoi que ce soit, ou mieux ne clique pas dessus, va sur le compte correspondant en saisissant l'URL toi même dans ton navigateur, ça évite l'hameçonnage. La majorité des captures d'identifiants et de mots de passe se fait comme ça. 8. Enfin, active le pare-feu de ton PC (souvent via gufw-gtk sous le nom 'Pare-feu' dans ton menu) et n'autorise que les ports entrants dont tu as besoin si toit même tu as des usages nécessitant que tu accède à ton PC depuis l'extérieur (par exemple via ssh ou VNC). Je vais loin, mais dans ce cas, il est préférable d'utiliser un port différent de celui par défaut. Ça évite à un hacker d'accéder facilement au service qui est derrière. Je m'explique par l'exemple : lors d'une attaque, si on trouve le port 80 ouvert, on essaie d'abord d'accéder à l'IP (i.e. http://230.158.089.008:80) via un navigateur pour voir si une interface propose un accès. Si c'est le 5500, on essaie via un client VNC, etc... 9. Pour finir, tu peux tracer toutes les connexions entrantes et sortantes de ton PC avec wireshark (sur les dépôts de toutes las grandes distris GNU/Linux) pour tracer de nouvelles tentatives, certes ça te fera pousser la barbe, mais c'est puissant. Niveaux d'importance : Indispensable : de 1 à 7 Important : 8 Facultatif : 9 Voilà, avec ça, tu as des outils de lutte. Gnument Vôtre, --- Sylvio DESJARDINS _______________________________________________ Linux06 mailing list Linux06@lists.linux-azur.org <mailto:Linux06@lists.linux-azur.org> https://lists.linux-azur.org/mailman/listinfo/linux06 Attention, les archives sont publiques
Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06 Attention, les archives sont publiques