Geckozone

Et à partir du moment où tu es sous surveillance et qu'il y a un keylogger sur ta machine (ou que tu as un clavier sans fil…), ton mot de passe principal est connu aussi

pirlouy a écrit :Attention, moi je parle de technique: est-ce que oui ou non, il est possible de retrouver les mots de passe de Firefox sans connaître le mot de passe général ?

Tu veux parler du « mot de passe principal » que l'on défini dans les préférences > "onglet" sécurité ? Ce dont je parlais au-dessus, c'est pour les 95-99% d'utilisateur qui ne l'ont pas défini. À ce moment, récupérer les mots de passe est un jeu d'enfant.

Avec un mot de passe principal c'est différent, les mots de passes étant chiffrés avec une clé inconnue. Il n'est pas exclu qu'on puisse la récupérer avec Cofee, elle est forcément stockée en mémoire quelque part, et vu tout ce que font des logiciels comme Keepass pour éviter cela (nombreuses passes, simulation de frappe, non utilisation du presse-papier), Firefox n'est clairement pas aussi fort ! Franchement, je serais étonné qu'on ne puisse pas la récupérer, mais ça ne doit pas être évident.

Et puis il reste toujours des solutions comme FireMaster pour casser la clé. Totalement inefficace avec un bon mot de passe

Benoit a écrit :Et à partir du moment où tu es sous surveillance et qu'il y a un keylogger sur ta machine (ou que tu as un clavier sans fil…), ton mot de passe principal est connu aussi

et même avec un bon vieux clavier filaire sans keylogger branché dessus...

@+
--
Pierre

calimo a écrit :

pirlouy a écrit :...
Avec un mot de passe principal c'est différent, les mots de passes étant chiffrés avec une clé inconnue. Il n'est pas exclu qu'on puisse la récupérer avec Cofee, elle est forcément stockée en mémoire quelque part,

Apparement non si j'en crois l'explication (assez courte hélas) de ton site:

Firemaster a écrit :Once you have lost master password, there is no way to recover it as it is not stored at all. Whenever user enters the master password, Firefox uses it to decrypt the encrypted data associated with the known string. If the decrypted data matches this known string then the entered password is correct.

Source: http://securityxploded.com/firemaster.php

caméléon a écrit :

calimo a écrit :Avec un mot de passe principal c'est différent, les mots de passes étant chiffrés avec une clé inconnue. Il n'est pas exclu qu'on puisse la récupérer avec Cofee, elle est forcément stockée en mémoire quelque part,

Apparement non si j'en crois l'explication (assez courte hélas) de ton site:

Firemaster a écrit :Once you have lost master password, there is no way to recover it as it is not stored at all. Whenever user enters the master password, Firefox uses it to decrypt the encrypted data associated with the known string. If the decrypted data matches this known string then the entered password is correct.

Source: http://securityxploded.com/firemaster.php

En fait pour le « it is not stored at all » signifie qu'il n'est pas stocké sur le disque dur. Mais il doit certainement passer en mémoire à un moment donné ! FireMaster sert lorsque, plus tard, tu as oublié ton mot de passe, et qu'à ce moment il n'est effectivement plus en mémoire.

Si des logiciels peuvent retrouver le master password de Firefox, alors c'est bidon comme sécurité. :/

Keepass, si tu ne connais pas le master password, t'es foutu... et tant mieux !

D'après ce que j'ai vu FireMaster n'utilise aucune faille, seulement des techniques bourrins comme les attaques par dictionnaire et brute force. Difficile de s'en prémunir et Keepass est sans aucun doute sujet au même soucis.

La meilleur protection ici est de choisir un mot de passe principal très compliqué.

Thomas a écrit :D'après ce que j'ai vu FireMaster n'utilise aucune faille, seulement des techniques bourrins comme les attaques par dictionnaire et brute force. Difficile de s'en prémunir

Exact

Thomas a écrit :et Keepass est sans aucun doute sujet au même soucis.

Disons qu'ils s'en prémunissent partiellement en répétant le chiffrement de nombreuses fois (par exemple 2.7 millions chez moi) : les attaques « bourrin » prennent alors beaucoup plus de temps, en proportion directe !

Thomas a écrit :La meilleur protection ici est de choisir un mot de passe principal très compliqué.

Non : un mot de passe très long rendra la tâche beaucoup plus difficile à celui qui veut le casser, même s'il est « relativement simple » ! (bien sûr il ne faut pas tomber dans l'extrémité inverse de le rendre trop simple et vulnérable à un attaque par dictionnaire, mais il existe des générateurs de mots de passe faciles à retenir et solides)

calimo a écrit :...mais il existe des générateurs de mots de passe faciles à retenir et solides)

Ah bon? On peut savoir lesquels?
Pour ma part, je choisis un mot du dico qui m'est cher, et je remplace quelques une de ces lettres par des majuscules. On peut aussi s'amuser à remplacer des lettres par des chiffres (o=0, d=2,...). Je serais interessé pour connaitre tout autre techinque bien sur

Salut,

Il y a une excellente page sur Les mots de passe sur le site de Tesgaz http://speedweb1.free.fr/frames2.php?page=securite7
Personnellement j'utilise la dernière méthode citée -- "La méthode qu'utilise Vazkor ... " -- puisque j'en suis l'auteur
Jamais je n'ai dû chercher longtemps pour retrouver un mot de passe que je n'avais pas noté. Je n'ai que quelques "graines" à retenir pour pouvoir recomposer mes mots de passe principaux (MDP Admin, Utilisateur de Windows, MDP principal de FF).

@+

http://sebsauvage.net/rhaa/index.php?20 ... s-de-passe

Ohlala, Vazkor, tu fais partie de ce forum d'assistés. Condoléances.
Comment ça "j'ai la dent dure" ?

Benoit a écrit :http://strongpasswordgenerator.com/

Pas mal en effet.
Je pensais aux mots de passes phonétiques, du type http://tools.arantius.com/password . C'est un peu moins fort, mais facilement compensé par un ou deux caractères de plus.

Enfin pour ma part, en fait, je n'en retiens qu'un seul :

Salut,

pirlouy a écrit :Ohlala, Vazkor, tu fais partie de ce forum d'assistés. Condoléances.
Comment ça "j'ai la dent dure" ?

Si tu consultes la liste des membres d'Assiste, tu constateras que je suis le 14e inscrit mais le seul des premiers inscrits qui intervienne encore avec Pierre. Malgré le fait que j'ai pris mes distances en rendant mon tablier de modérateur en 2005 et que je n'intervienne plus que ponctuellement je suis encore le 3e au Top 10 des posteurs avec 9535 messages depuis fin 2002.
Je ne fais pas partie des assistés, mais des assistants. Jamais je n'ai demandé de l'aide sur ces forums.

@+

Non, mais il ne fallait pas le lire comme ça en fait.
Il s'avère juste que j'ai voulu poser une question une fois, pour voir si ils maitrisaient un sujet particulier, et les seules réponses que j'ai eues, c'est "t'as pas dit bonjour", avec le sujet bloqué. Ce jour-là, j'ai compris le niveau...

À part ça, je ne suis pas d'accord du tout avec tout ce que ce forum préconise pour la sécurité.