fvbgehkyj , bon bah voila

Bonne technique

c'est clair qu'a force de taper ta tête contre ton clavier tu vas mieux t'en rappeler...............

Méthode testée et approuvée !!!

Je veux ton clavier. Moi j'arrive pas à les retenir quand je fais ça.

Pas du tout

simple question pourquoi ce logiciel ne vendrez pas les motdepasse comme tous les autres entreprise avec leur information ?

@@lechasseur5030 Peut être parce que c'est bien trop confidentiel et que ce serais pire qu'illégal ^^

Jsp c'était une simple question car Facebook et tout vend les informations pour pas eu mais c'est une question connecter

Conne

@@lechasseur5030 ils subissent des audit de codes, même si ils le voulaient ils ne pourraient techniquement pas, tout ça est salé etc ...

Wsh oxi😂

Oximooz ! 😍 Pourquoi je me suis désabonnée ? 🥺

Wesh tu fous quoi la😂😂🤔😅👀

nordpass c'est mieux

dashlane peut être aussi pirater bisous

Technique du bled

Oh max_ comment vas tu mdr 😄

@@meoro5485 ptdr salut

Pour pirater / espionner un compte WhatsApp ou un téléphone mobile, contactez @ jamesjones2991 sur Instagram ou envoyez un e-mail à jamesjones2991 @ gmail.com, ou envoyez un message WhatsApp au +1 (323) 607-3180, il est très fiable de confiance, il m'a aidé à plusieurs reprises et a même facturé un bon prix pour ses services, merci beaucoup

Xemles ا XemTV oe 😱😊

Tqt pas, c'est le premier au courant puisqu'il payé youtube

Coucou ArTv et coucou Slash Kun

Ok on est d'accord

Pitoyable, après il me semble que parfois youtube met en avant des vidéos par lui même

Mathias Hanquiniaux les rainbows tables ne fonctionnent que sur des systèmes qui ne saltent pas les hashs, donc pas les bons sites

Tiens c'est marrant moi aussi j'ai du le faire la semaine passée ! Salut copain de classe 😄

@@simonlafrance58 ça veut dire quoi "salter un mot de passe" ? Je suis pas un crack en sécurité mais si je peux ameliorer la sécurité de mon site, je veux bien !

Si tu ne sais pas ce que ça veut dire, j'espère que ton site n'est pas public! Mais en gros, un ­salt c'est une valeur différente pour chaque utilisateur qui est passé à l'algorithme de hachage et qui modife le hash. Ce que ça fait, c'est que si deux utilisateurs ont le même mot de passe, le hash sera quand même différent pour les deux, ce qui non seulement empêche de trouver le mot de passe des autres à partir d'un seul, ça fait que si un individu veut crack un mot de passe, il peut seulement tester un mot de passe à la fois, et pas toute la base de données, ce qui augmente la sécurité énormément! Note: une rainbow table c'est une liste de hash qui ont déja été calculés, mais si les mots de passes sont salés, elles ne servent plus à rien.

@@simonlafrance58 d'accord merci^^ Mais comment un pirate pourrait récupérer ce qui est dans ma bdd? (A part avec un acces sur mon serveur) vu que j'ai configuré mon mongodb pour accepter que des connections en local

Trials Biker T’est mignon jeune skript kiddie

Débutant

Vous êtes marrant vous, c toujours les scripts kiddies qui sont les plus efficaces apres oui c mieux de savoir coder seul pour mieux comprendre mais voilà il y a aura toujours le problème d'efficacité (hydra qui a été fait par une équipe durant une longue période et le tien fait en 30 min)

Milhane il existe plusieurs moyens d’avoir des mots de passe . Il existe pas de meilleur moyens . Car les 2 méthodes fonctionne

Trials Biker Je suis sur est certain que tu ne fait que regarder des tuto sur yt pour les recopier sur kali que tu a évidement installer sur ta machine virtuelle

@Louis Gr Le jour où les ordinateurs quantiques seront accessibles à n'importe qui, sans doute, mais les technologies de cryptage devront avoir bien évolué d'ici là.

@Louis Gr www.larousse.fr/dictionnaires/francais/encrypter/10909958 Et ensuite ?

@Louis Gr Admettons, ça ne répond pas au fond de l'affaire. Tu as commencé par "Déjà...", mais ensuite ?

Non

@@user-dk7eq9fc8e De quoi non ?

J'ai la même technique avec une bonne base dans le genre phrase et tu prend que les première lettre c'est good

J'utilise aussi un système du même genre. Un mot de passe unique à retenir, généré aléatoirement sur un site genre google + "generateur de mot de passe", et je rajoute des lettres du site en question. Alors oui au début tu galère à retenir gR96^a{4vA mais à force de le taper 30x par jours ça fini par rentrer :) Pour le reste du mot de passe, y a juste à lire l'url .

@@user-dk7eq9fc8e : tout dépend de ta stratégie de rédaction pour ton mdp. Si par exemple tu intercales ta chaîne de caractères avec le nom du site, ça peut donner un truc très correct. Avec « Mathieudu64 » et « Google.com » ça fait « MGaotohgileeu.dcuo6m4 », c'est très correct niveau solidité, c'est simple à retenir et ça reste différent selon les services/sites.

www.xkcd.com/936/ Référence première (en Anglais) pour créer un mot de passe, tu peux même les faire plus long. 100% gratuit. Un gestionnaire de mot de passe est fortement recommandé, mais pour les choses comme le mdp du gestionnaire ou mdp d'email, c'est la meilleure technique.

@@simonlafrance58 Pour moi la meilleure technique c'est une confirmation sur téléphone quand tu te connectes au gestionnaire

Il n'a pas parlé de beaucoup de choses. Je pourrais te faire 15 vidéos là dessus x)

@@Ackanir C'est complétement vrai, mais pour un youtuber qui veut faire découvrir la sécu' au grand public je pense qu'il n'a pas assez creusé le sujet...

@@nasmRE j'ai pas pu m'en empêcher... ======= Que20 il y a 2 jours (modifié) C'est exactement ce qui se fait depuis des années en fait. :p Les sites permettant soi-disant de "cracker" ce type de hash fonctionnent de cette manière car c'est un des problèmes majeurs des MD5, SHA1, SHA2, SHA256 etc : le hash d'une chaîne reste le même. Donc des mots de passe trop simple se feront très vite crackés. La contre-mesure majoritairement utilisée est d'ajouter automatiquement un grain de sel, c'est à dire une chaîne de caractères aléatoire et relativement longue, au mot de passe et de calculer le hash sur le mot de passe + le grain de sel (qu'on appelle salt) et non uniquement sur le mot de passe. Un avantage de cette pratique est, de un, de complexifier le mot de passe et donc de diminuer les chances de le trouver, et de deux, que si le grain de sel diffère en fonction de l'utilisateur, deux utilisateurs ayant le même mot de passe... auront un hash qui sera différent (puisque le grain de sel qui sera ajouté au mot de passe sera différent donc la chaîne finale sur laquelle sera calculé le hash ne sera pas la même). Par contre, faut pas perdre ce grain de sel sinon ça sera extrêmement embêtant, et d'autre part si on a un accès à la base de données et aux grains de sel, cette contre-mesure tombe à l'eau (puisqu'on saura ce qui est ajouté au mot de passe de la personne, il ne restera donc plus qu'à trouver le mot de passe). Il existe des fonctions de hachages qui reprennent directement ce principe, une des plus connues est bcrypt ======= Et puis je me suis souvenu aussi que les collisions existaient ; ======= Que20 il y a 2 jours (modifié) Petit ajout : il existe aussi une autre forme d'attaque : les collisions. Une chaîne, avec des fonctions comme MD5 ou la famille des SHA donnera un hash d'une certaine longueur, qui sera toujours la même. Le principe des collisions est de parvenir à générer une chaîne qui donnera le même hash car dans ce cas là, que ça soit ou non le "bon" mot de passe, au final on s'en fout, l'important étant que le hash généré soit identique à celui stocké dans la base de données et il se peut que deux chaînes donneront le même hash. En bref la formule est la suivante : Si hash(mot de passe de l'utilisateur (+ éventuellement un grain de sel)) = hash stocké dans la base de données Si oui, on considère que c'est le bon mot de passe. Donc si on avait une autre chaîne donnant le même hash, cette autre chaîne serait aussi acceptée comme "bon mot de passe" même si ce n'est pas celle là que l'utilisateur aurait choisi. ======= "Mon mot de passe il fait 200 caractères ! Imposible de le cracker" *trouve une petite RCE et choppe un sourire en coin* Eh oui : quand tu deviens plus grand, tu te rends compte que le mot de passe, bien souvent... tu le contournes ! =D

@@que20 T'es super déterminé pour écrire un pavé comme cela... Tu as parfaitement raison, souvent un mot de passe, cela ne se crack pas, cela se contourne...(quand c'est possible) Je ferai remarquer si quelqu'un me lit (autre que toi que20), que un mot de passe, est utilisé dans un système qui prend le mot de passe comme sécurité principale, et donc il sera toujours plus avantageux de non-pas cracker le mot de passe, mais de trouver une faille dans le système pour exécuter du code arbitraire (en root ou pas) pour poser un keylogger (si c'est absolument le mot de passe qui vous intéresse), cela apportera de la fiabilité et de la portabilité à votre attaque. Merci encore de ta réponse @que20 cela me fait trés plaisir...

EDIT : Oui, je suis souvent très long mais j'aime que les réponses soient complètes. ^^ ​@@nasmRE J'avais juste du temps à tuer et le commentaire en gros décrivait un peu le principe des rainbow tables donc bon, j'ai pris la peine d'apporter ma touche personnelle. Mais je ne vais pas faire ça sous tous les commentaires, je te rassure (puis vu qu'il n'y a plus Didakt, me faut bien un autre youtuber à spammer ! 8| ) Eh oui, il y a pas mal de cas où on peut faire abstraction du mot de passe. (ce qui n'exclut pas de s'en choisir un bon pour autant :p )

parfois des chiffres et rien d'autre.... (un site du XXème siècle)

Les caractères spéciaux augmentent moins la complexité du mot de passe que la longueur du mot de passe . www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/

@@Thiamato faut ça dépends comment tu les utilisés car tu peux mettre 26 caractères sauf que si tu as que des chiffres ça sert à rien

@@Thiamato mon prof de cyber secu qui font aussi des audits sécurité et bosse sur un ordi quantiqueavait montrer que rajouter des exponentielles de mots de passe possible quand même. Associés à la longueur et d'autres techniques bon courage. Pour ma part pas moins de 25 caractères aléatoires, sel, et compagnie et un mots de passe par outil. Les mec qui veut hack c'est pour pas grand chose donc à moins de s'acharner... Le jour où l'ordinateur quantique est la par contre ça risque de changer pas mal de chose côté secu. Utiliser un outil extérieur pour un truck aussi précieux, c'est le meilleur moyen d'avoir des soucis.

@@jeremie9670 Mathématiquement c'est pourtant bien le fait de rajouter un caractère qui est meilleur. Cadenas a 10 chiffre 10 code 20 chiffres 20 code Cadenas à deux chiffres différents 100 codes

Un mot de passe cela ne se crack pas, cela se contourne... ^^

Ouaip, y a Tom Scott qui en parle dans une de ses vidéos pour ceux qui parlent anglais : kzbin.info/www/bejne/bovXeqF5ob2YZ7M

Sauf si tu connais le fameux grain de sel qui je penses ne doit pas être très compliqué à trouver (5 mot de passe faible dans la liste permettrait de le connaître pour ensuite mettre une règle

@@jeremie9670 faux pcq deja le grain de sel (le salt c'est mieux) peut être n'importe quoi donc une chaine md5, ou sha512 etc et en plus tu peux la placer OU tu veux dans la chaine et de la façon que tu souhaites. Bonne chance pour trouver ca 😂😂

@@ds2kx Oui comme le wpa en gros ? Mais ça risque de surcharger le serveur parce que une box ça va t'as max 10 personnes qui se co mais pour un serveur ou des milliers de personnes se co🤔

Non, car Dashlane utilise un chiffrement de haute technologie (Source : léo teckmaker : Quel est le meilleur mdp ?)

@@colonelsandurss mais les entreprises qui se sont fait piratés aussi... c logique

@@clempc3582 bien sûr, mais normalement les mdp sont chiffrés, ce qui devrait les protéger. Et sinon tu peux tjs changer les MDP critiques

@@colonelsandurss ouais je vois mais bon y'a quand même un risque le mieux c quand même par exemple de faire un excel avec tous ses mots de passes, bon après ça ça ne remplit pas les cases automatiquement mais on peut pas tout avoir... sinon si t'a du temps tu pourrais aller checker ma chaîne stv

@@clempc3582 si t'as un cheval de troie ou ransomware t'es dans la merde 😅

Il me semble avoir vu l'info dans une vidéo mais j'arrive pas à te la retrouver :/

@@Ackanir il a dit qu'il avait fini son DUT en informatique mais je sais pas si il a voulu poursuivre sur une école d'ingénieurs ??

Pandore _ Ahah pas mal celle là

ne0tiiks merci je me marre tous les jours !

mec c'était tellement marrant ton commentaire je me suis évanouis de rire je viens de me réveiller

Oxygen c’est incroyable tu es la 12 eme personne a me dire ça, peut être que les 198 mères de familles qui m’ont appelé en disant que leur enfant était MORT DE RIRE devant mon commentaire mangent leurs morts maintenant

Quand je vois quelqu'un insulter ma mère, ça me donne envie de sortir la carte uno de changement de direction

Pareil

Peu etre la fleche en bleu ?

on a trouvé le binaire, il y a une partie ascii en indice...... c'est surement ce qu'il manque :)

@@Lotherion Non le ascii c'est pour la vidéo ^^ Et il a précisé une seconde dans la lien =1s je pense que ça a plus a voire

en fait y a un commentaire sous la vidéo

Non c'est français, ya eu un changement

@@sabrebar.2669 T'es sûr car on m'a dit qu'il y avait histoire géo avec M. Dupon

Lundi c'est grève, la CPE me l'a dit. trololol !

Mais non lundi ont a sport à 10h00 sauf que le prof n'est pas là ,du coup ont vient à 13h30

Tu as fait la prépa ? J'ai toujours pas commencé :3

ND ou les mdp sont stockés sur la bdd de dashlane d'où le fait de se rappeler que d'un seul mdp pour de connecter dessus

@@ericcai2942 c'est ça le problème justement, si Dashlane se fait pirater, tu fais comment?

Sinon il y a d'autres type de gestionnaire de mots de passe comme par exemple "Master Password" qui ne stockent rien, ni en local, ni dans le cloud, mais re-calcule à chaque fois le mot de passe correspondant à un compte en fonction du nom d'utilisateur, nom du site, mdp maitre, etc..

@@ericcai2942 Je suis d'accord. Je me dis que c'est le minimum. Ne pas stocker le message, aller le chercher sur la base de données, où il est chiffré avec le mot de passe général, et le déchiffrer à chaque fois . Le problème de cette technique, c'est que le champ mettrait du temps a se remplir. Puisque à chaque fois que l'utilisateur se retrouve sur une page de co., il doit faire la démarche de récupération sur la base de donnée en ligne et déchiffrer avant de l'injecter sur le navigateur. C'est pour ça que je ne pense pas qu'il puisse fonctionner rigoureusement comme ça.

@@donwar74 en vrai faut pas utiliser dashlane, mais plutot d'autres solutions open sources ou les mots de passes ne sont pas envoyé dans le cloud ;) keepass par exemple ;) Car au final utiliser dashlane ou tout autre solution propriétaire qui stoke les mots de passe pour, ça ne fait que déplacer le problème et la confiance ( au lieu de faire confiance a pleins de sites, tu génères des mdps complexes avec dashlane et tu leur fait confiance pour le stockage de ce dernier )

6sous En faîtes tes mots de passes sont cryptés sur tous ces gestionnaires, même si la base fuite, ils n'auront que des suites de caractères aléatoire. Après, personnellement je n'aime pas les stockés en ligne comme avec DashLine car n'importe qui dans le monde, si il trouve mon mot de passe principal, peut accéder à mes mots de passes, je préfère stocké le dossier sur mon PC localement, keePass fait très bien l'affaire.

@@gaut2018 Ils sont cryptés aussi sur tous les sites où tu t'inscrits et ça n'empêche pas de pouvoir les retrouver. En réalité je pense que jle suystème de dashlane est costaud mais je préfère apprendre mes mdp et les garder en tête, c'est ce qu'il y a de plus sûr!

Frixion04 Non mais en ligne, n'importe qui dans le monde peut tenter de déchiffrer le mot de passe, alors que localement, il faut un accès à la machine. De plus, pour retrouver son mot de passe il faut être connecté. 2 raisons qu'il font que je n'utilise pas DashLine

@@gaut2018 Oui pareil je n'en ai pas l'utilité

@@gaut2018 J'suis absolument pas d'accord, un simple Malware peut récupérer le fichier si tu stocke tout en local..

moi ahhhahah

en fait y a un commentaire sous la vidéo

moimec

Rien que le fait de l'écrire ici vient de le rendre vulnérable :D (j'espère que tu viens de l'inventer pour la blague sinon je serais toi j'irais immédiatement le changer :p)

Oh zut, aurai-je montré par inadvertance mon mot de passe ? Et bien évidemment c'est du troll puissance 10 :)

7up3005 moi c’est 45454545ZAzA3747

@julien flament 5 :)

EH moi mon mot de passe c'est juste BBFNFKFKSNSBZLZMAOJFBXBCNAKLRLGLGKBQNNQLQKKFKGBFNFKLKSNNFNALLSLFNNF'LKKJDKKKQKSJNBBBXNSLSLQLALDNBFNNNNNNXKWLLBWBDKQLLDBCBDJJ55) 8#63=3_65#8&88:8%88%8%88 00*00%:8@6€!3+?=990,, '7:/@4€3?_6=77:00.. ^] ^^$¿¿¥®¥©] |] §¶ ¶;¦|÷>] ^[¡~ ®¥®

Le dico contient des mdp en clair. Et ensuite le logiciel de crackage (hashcat dans la vidéo) hash les mdp du dico et compare avec la bdd

Tes mots de passe sont chiffrés avec ton mot de passe maître donc s'il est assez sécurisé ils sont protégés

Et Alors ? Dashlane est juste un service de gestionnaire de mdp , Dashlane n'enregistre pas tes mdp dans leur base de donné . Dashlane enregistre tes mdp dans ton disque dur donc si c'est toi qui te fait pirater c'est la que t'est dans la merde.

@ Non. Avec Dashlane premium et pendant la période d'essai, tous les mdp sont effectivement enregistrés sur leurs serveurs Amazon, et si votre mot de passe maître est trop faible, il pourra être décrypté et ça reviendra au même que le problème au départ, voir une situation pire car Dashlane stocke aussi la CB, n° sécu, adresse, etc. Il faut bien se dire que chiffrer quelque chose ne le rend pas invulnérable par magie, et si le mot de passe maître est 1234 ça tiendra pas 5 minutes à une attaque ciblée.

Keylogger ?

Les mots de passes sont chiffrés sur ton disque dur avant d'être envoyé au serveur. Si dashlane, lastpass, 1password ou n'importe quel service de genre se fait pirater, les pirates ne vont pas récupérer une base de mot passes en clair ni une base de hash, ils auront uniquement des mots de passes chiffrés par une méthode lourde (probablement du aes...) qu'ils ne pourront pas déchiffrer. En revanche, oui ! Tu es toujours vulnérable aux keyloggers. Pire !! Tu es vulnérable aux malware qui vont lire le presse-papier si tu fais des ctrl+c ctrl+v. Donc il faut faire très attention aux malwares !

Pentester*

Qui te dit c'est un hackeur, a aucun moment de la vidéo il dit que c'est un hackeur, et puis c'est des cliché le fait de dire si tu n'est pas sur Linux et bah t'est pas un hacker.

2018 mais logo tribal de dragon

HaK eMi j vois mal un hacker digne de ce nom sous Windows quand même ;)

ça me semble logique qu'il soit connecté à distant à une machine linux

Tout simplement parce que si tu haches le mot de passe test via des fonctions de hachages telles que MD5 ou SHA1, SHA2 etc, cela générera toujours le même hash, peu importe la machine que tu utilises, ça sera fixe. Partant de ce constat là, il suffit alors de stocker dans une base de données "telle chaine de caractères produit tel hash". Donc en soit, on ne reverse pas le hash lui même mais on stocke juste que telle chaîne hachée via telle méthode à donné tel hash (et donc en faisant une recherche sur le hash en question, on pourra retomber sur la chaîne d'origine).

C'est exactement ce qui se fait depuis des années en fait. :p Les sites permettant soi-disant de "cracker" ce type de hash fonctionnent de cette manière car c'est un des problèmes majeurs des MD5, SHA1, SHA2, SHA256 etc : le hash d'une chaîne reste le même. Donc des mots de passe trop simple se feront très vite crackés. La contre-mesure majoritairement utilisée est d'ajouter automatiquement un grain de sel, c'est à dire une chaîne de caractères aléatoire et relativement longue, au mot de passe et de calculer le hash sur le mot de passe + le grain de sel (qu'on appelle salt) et non uniquement sur le mot de passe. Un avantage de cette pratique est, de un, de complexifier le mot de passe et donc de diminuer les chances de le trouver, et de deux, que si le grain de sel diffère en fonction de l'utilisateur, deux utilisateurs ayant le même mot de passe... auront un hash qui sera différent (puisque le grain de sel qui sera ajouté au mot de passe sera différent donc la chaîne finale sur laquelle sera calculé le hash ne sera pas la même). Par contre, faut pas perdre ce grain de sel sinon ça sera extrêmement embêtant, et d'autre part si on a un accès à la base de données et aux grains de sel, cette contre-mesure tombe à l'eau (puisqu'on saura ce qui est ajouté au mot de passe de la personne, il ne restera donc plus qu'à trouver le mot de passe). Il existe des fonctions de hachages qui reprennent directement ce principe, une des plus connues est bcrypt.

Petit ajout : il existe aussi une autre forme d'attaque : les collisions. Une chaîne, avec des fonctions comme MD5 ou la famille des SHA donnera un hash d'une certaine longueur, qui sera toujours la même. Le principe des collisions est de parvenir à générer une chaîne qui donnera le même hash car dans ce cas là, que ça soit ou non le "bon" mot de passe, au final on s'en fout, l'important étant que le hash généré soit identique à celui stocké dans la base de données et il se peut que deux chaînes donneront le même hash. En bref la formule est la suivante : Si hash(mot de passe de l'utilisateur (+ éventuellement un grain de sel)) = hash stocké dans la base de données Si oui, on considère que c'est le bon mot de passe. Donc si on avait une autre chaîne donnant le même hash, cette autre chaîne serait aussi acceptée comme "bon mot de passe" même si ce n'est pas celle là que l'utilisateur aurait choisi.

Je récup ton mdp maître avec un keylogger et je te les déchiffre tous grâce à qui ? Merci Dashlane !

@@buddysdz entièrement d'accord mais pour pouvoir voir les mdp meme en connaissant le mdp maitre, tu devras également pirater mon téléphone car toute nouvelle connexion nécessite une double authentification. Si je te donne mon mdp maitre tu ne pourra quand meme rien en faire à moins de prendre le controle de mon pc. Bref, pas impossible mais pas évident non plus. ça reste plus sécurisé que de ne pas utiliser Dashlane (ou autre programme)

Ok