FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
☐ ☆ ✇ UnderNews

GitHub passe au sans mot de passe pour une 2FA plus forte, comme avec les YubiKeys

Par : UnderNews

GitHub a annoncé hier que la plateforme n'accepte plus les mots de passe pour l'authentification des opérations Git CLI, et nécessitera donc l'utilisation d’identifiants plus forts pour toutes les opérations Git authentifiées sur GitHub.com. Cela inclut les clés SSH (pour les développeurs), les tokens d'installation OAuth ou GitHub App (pour les intégrateurs) ou une clé de sécurité matérielle, telle qu'une YubiKey.

The post GitHub passe au sans mot de passe pour une 2FA plus forte, comme avec les YubiKeys first appeared on UnderNews.
☐ ☆ ✇ UnderNews

Mois européen de la cybersécurité : le mot de passe est mort, vive la biométrie !

Par : UnderNews

La 9ème édition du mois européen de la cybersécurité (ECSM) vient de débuter, l’occasion pour de nombreux acteurs du secteur de délivrer des recommandations actualisées afin de susciter la confiance d’aider les citoyens à protéger leurs données à caractère personnel, financier et professionnel en ligne.

The post Mois européen de la cybersécurité : le mot de passe est mort, vive la biométrie ! first appeared on UnderNews.
☐ ☆ ✇ Cyberguerre

Fuite Twitch : les mots de passe ne sont pas en danger à ce stade, annonce la plateforme

Par : Julien Lausson

twitch

Twitch fait savoir qu'il n'a aucun élément qui lui fait dire que les identifiants et les mots de passe sur le site ont été exposés par l'importante fuite de données. Les informations de paiement ne sont pas plus compromises. [Lire la suite]

Abonnez-vous à notre chaîne YouTube pour ne manquer aucune vidéo !

The post Fuite Twitch : les mots de passe ne sont pas en danger à ce stade, annonce la plateforme appeared first on Cyberguerre.

☐ ☆ ✇ Korben

Télécharger L0phtcrack et comment l’utiliser ?

Par : Korben

L’histoire de L0phtcrack

L0pthcrack est sorti en novembre 1997. À l’époque, c’était l’un des premiers outils d’audit de mots de passe du système d’exploitation Windows. « Audit » pour ne pas dire « cracking » car à l’époque, il y avait quand même plus de hackers que d’experts en sécurités légaux. Ainsi, un mot de passe Windows de 8 caractères était facilement crackable en moins de 24h avec un petit PC de l’époque (genre un Pentium 100 Mhz) grâce a une technique de bruteforce.

À cause ou grâce à L0pthcrack, Microsoft a même changé son algorithme de hashage de passwords Windows de l’époque (LANMAN) pour passer à NTLM. Évidemment, L0phtcrack s’est ensuite adapté pour proposé également le support de NTLM. Au début de sa vie, le logiciel n’était qu’un proof of concept qui rassemblait un moteur de cracking développé par Mudge (Peter Zadko), une interface graphique développée par Weld Pond et des petits bouts de softs tiers comme PWDUMP de Jeremy Allison.

La version 1.5 de L0pthcrack sortie en décembre 1997 a été rapidement le tournant de quelque chose de plus commercial, de mieux finalisé. Enfin un outil de pentest tout-en-un avec une interface graphique ! Autant dire une révolution pour l’époque !

Une grosse nouveauté en 2001 a été de proposer du cracking distribué, c’est-à-dire utilisant la puissance de plusieurs machines. L0phtcrack a ensuite été décliné en plusieurs versions et vendu sous licence.

Ce fut vrai succès jusqu’en mai 2001 où L0pht Heavy Industries a fusionné avec la société de sécurité @Stake. À partir de là, les mises à jour ont été beaucoup plus espacées, jusqu’au rachat de la société @Stake par Symantec en 2004.

4 années passent et le 31 décembre 2008, L0phtcrack est racheté par ses créateurs Mudge (Peter Zatko), Chris Wysopal (Veracode), et Christien Rioux de Symantec. Le logiciel d’audit de mots de passe revient alors sous pavillon L0pht Heavy Industries. Puis en 2020, la société Terahash rachète L0phtCrack.

Comme vous pouvez vous en douter, ça se passe mal et L0phtCrack est alors racheté une nouvelle fois par ses fondateurs via une holding (L0pht Holdings). Les développements sont alors totalement gelés et L0phtcrack n’évoulue plus.

Puis, surprise ! Le 17 octobre 2021, L0phtcrack passe en open source ! L’outil utilise toujours du brute force et des dictionnaires (tables rainbow) et peut coupler les 2 méthodes pour mener à bien des attaques hybrides (hybrid attacks) sur des mots de passe Windows et des mots de passe Linux. Évidemment, vous pouvez sélectionner les méthodes dont vous avez besoin.

Où télécharger L0phtcrack ? Download gratuit et pas besoin de crack !

Pour télécharger et installer L0phtcrack, vous devez être équipé d’un ordinateur sous Windows et vous rendre sur cette URL.

Vous y trouverez le code source de L0phtcrack, mais également des versions compilées (.exe) pour Windows 32 bits et 64 bits. Comme l’outil est distribué en open source, il est devenu gratuit et vous n’avez plus besoin de crack pour L0phtcrack 😉 .

D’ailleurs, les sources sont ici sur Gitlab (un concurrent de Github dont j’ai déjà parlé ici.)

Comment utiliser Lophtcrack sous Windows 7, 10 et 11 ? Le tutoriel !

Pour utiliser L0phtcrack, rien de plus simple. Lancez l’outil et cliquez sur le bouton « Password Auditing Wizard ».

Le Wizard est tout simplement un assistant qui vous guidera étape par étape pour vous permettre d’auditer / cracker les mots de passe Windows d’une machine.

La première question qui vous sera posée c’est sur quel système d’exploitation vous voulez récupérer les hashs de mots de passe. Car oui, avec L0phtcrack, vous pouvez également audit des mots de passe Unix / Linux en plus de Windows.

Pour ce tutoriel L0phtcrack, j’ai choisi une machine Windows. Sélectionnez ensuite la machine sur laquelle vous voulez procéder à l’attaque. Ça peut être la machine locale, mais également une machine distante sur laquelle vous pouvez agir (vous devez être admin et la machine doit être dans un domaine).

Vous pouvez également porter l’attaque sur un dump réalisé avec PWDump, FGDump…etc.

À ce moment-là vous devez indiquer un compte Windows capable de procéder à l’extraction des hash du Windows. C’est un compte admin local ou distant.

À vous ensuite de choisir le type d’audit que vous voulez mener. Soit un audit rapide avec un petit dictionnaire ou des audits de plus en plus complexes avec bruteforce et attaques hybrides.

Pour le rapport, vous pouvez choisir un export en CSV, HTML ou XML et surtout indiquer si vous voulez ou non que les mots de passe découverts et leurs hashs soient affichés.

Il ne reste plus qu’à lancer l’attaque ou à programmer son lancement à plus tard. Par exemple la nuit quand vous n’utilisez pas votre machine.

Et voilà ! L0phtcrack lancera alors le cracking de mot de passe Windows / Unix. Le reste n’est plus qu’une question de temps et de puissance machine.

J’espère que ce tutoriel vous aura plu.

☐ ☆ ✇ UnderNews

Recherche CyberArk – Les risques des mots de passe Wi-Fi faibles pour la sécurité des consommateurs

Par : UnderNews

Un chercheur de CyberArk, Ido Hoorvitch, s’est récemment livré à une activité pas comme les autres dans sa ville natale de Tel Aviv, pour évaluer le nombre de réseaux Wi-Fi qu’il pouvait hacker. Armé seulement d'un équipement d'une valeur de 50 $ et d'une technique de piratage simple, Ido a facilement déchiffré plus de 3 500 mots de passe Wi-Fi ; soit 70 % des réseaux Wi-Fi de la zone.

The post Recherche CyberArk – Les risques des mots de passe Wi-Fi faibles pour la sécurité des consommateurs first appeared on UnderNews.
☐ ☆ ✇ UnderNews

Échec des méthodes d’authentification traditionnelles : près d’un adulte français sur cinq a été victime d’un piratage au cours des 12 derniers mois

Par : UnderNews

Une étude de Nuance révèle que la confiance des consommateurs dans les codes PIN et mots de passe est en baisse à la suite de la pandémie. Près d'un cinquième (18%) des adultes français ont été victimes de piratage au cours des 12 derniers mois.

The post Échec des méthodes d’authentification traditionnelles : près d’un adulte français sur cinq a été victime d’un piratage au cours des 12 derniers mois first appeared on UnderNews.
☐ ☆ ✇ Numerama

Le top 20 des pires mots passe en France donne envie de s'arracher les cheveux

Par : Julien Lausson

steve carell

Le classement des mots de passe les plus populaires en 2021 montre encore une fois qu'il n'y a parfois aucun effort pour créer un code convenable. [Lire la suite]

Abonnez-vous à notre chaîne YouTube pour ne manquer aucune vidéo !

L'article Le top 20 des pires mots passe en France donne envie de s’arracher les cheveux est apparu en premier sur Numerama.

☐ ☆ ✇ Numerama

Mozilla délaisse son gestionnaire de mots de passe Lockwise, mais ce n'est pas si grave

Par : Julien Lausson

Firefox Mozilla Lockwise

L'application Lockwise va cesser de fonctionner. Le gestionnaire de mots de passe conçu par Mozilla sera abandonné le 13 décembre. Il existe néanmoins une solution de repli. [Lire la suite]

Abonnez-vous à notre chaîne YouTube pour ne manquer aucune vidéo !

L'article Mozilla délaisse son gestionnaire de mots de passe Lockwise, mais ce n’est pas si grave est apparu en premier sur Numerama.

☐ ☆ ✇ Numerama

« admin-password » : les mots de passe par défaut de vos appareils connectés sont une plaie

Par : Corentin Bechade

Le Royaume-Uni va interdire l’utilisation de mots de passe par défaut trop faciles à deviner. Une idée plutôt intéressante qui pourrait, relativement simplement, limiter le risque d’attaques et de vol de données. [Lire la suite]

Abonnez-vous à notre chaîne YouTube pour ne manquer aucune vidéo !

L'article « admin-password » : les mots de passe par défaut de vos appareils connectés sont une plaie est apparu en premier sur Numerama.

❌