Messages de GloutonFarouche
Il fait le moonwalk au réveillon ?
"Nous c'est pas pareil, c'était des erreurs"
Oui oui, la fiole de Powell, c'était une erreur monsieur
Le 18 décembre 2023 à 12:58:01 :
ils te donnent un iphone parce que "c'est connu c'est plus sécurisé il n'y a pas de virus sur ios"mais tu travailles sur pc
C'est difficile de faire certaines tâches sur un téléphone
Si tu veux un PC sécurisé, il faut un chromebook et c'est limité dans certains cas, donc il faut faire avec.
Le 18 décembre 2023 à 12:38:06 :
Le 18 décembre 2023 à 12:28:10 :
Le 18 décembre 2023 à 12:25:01 :
Le 18 décembre 2023 à 12:23:27 :
Le 18 décembre 2023 à 12:19:32 :
> Le 18 décembre 2023 à 12:14:38 :
>> Le 18 décembre 2023 à 12:10:26 :
> >> Le 18 décembre 2023 à 12:06:38 :
> > >> Le 18 décembre 2023 à 12:02:53 :
> > > >> Le 18 décembre 2023 à 12:00:03 :
> > > > >> Le 18 décembre 2023 à 11:58:01 :
> > > > > >> Le 18 décembre 2023 à 11:51:42 :
> > > > > > >L'op incapable de retenir un seul password aléatoire de 25 caractères
> > > > > > >
> > > > > > > De plus un password n'a pas d'utilité à être changé régulièrement du moment qu'il est bien long et aléatoire
> > > > > > >
> > > > > > > Et la 2FA par mail, félicitation, ton entreprise à le deuxième pire moyen après le SMS de 2FA
> > > > > >
> > > > > > Le 2FA c’est déjà une tare
> > > > > >
> > > > > > Il y a en pas besoin (en tout cas pour les particuliers, Dans le mode de l’entreprise je comprends)
> > > > >
> > > > > Parce que c'est bien connu, les particuliers, il n'y a aucun vol
https://image.noelshack.com/fichiers/2018/13/4/1522325846-jesusopti.png > > > >
> > > > Surtout que tout dépend du second facteur. Un code OTP ou une Yubikey font le boulot sans être trop chiant pour l'utilisateur.
> > > >
> > > > Après, si le backup du 2FA est bidon, la sécurité dépendra du maillon le plus faible de la chaîne de sécurité ...
> > >
> > > J'active plus le TOTP perso, c'est inutile, ça ne protège de quasiment rien.
> >
> > C'est déjà mieux que le SMS. Et si les backups et l'application (avec le secret pour générer le code) sont sur unautre appareil ça protège quand même de quelque chose, non ?
> ça protège pas du phising, qui est tout l'intérêt des clés de sécurité.
Tu peux retrouver le secret à partir d'un certain nombre de codes ?
> Demain amazon a une fuite de données, mon identifiant sort en clair, bon le mot de passe normalement pas si c'est bien fait,
Oui effectivement ...
Non, je ne sais pas s'il est possible de retrouver le secret, peut-être... Dans le cas le plus simple, il s'agit juste d'une page de phising dynamique, et le pirate utilisera le TOTP que tu lui donnes, comme il utilisera le mot de passe.
Un moment d'inattention suffitAh oui c'est vrai, 30 secondes suffisent.
Je dis ça sans ironie au cas où.
C'est instantané si c'est bien fait
Et beaucoup de sites configurent le TOTP pour fonctionner plus que 30 secondes en réalité, pour que ce soit un peu plus confortable
Et tous ne configurent pas pour que chaque code soit valable uniquement une seule fois.Vite mes yubikeys !
Plus sérieusement, j'ai déjà des mdp assez forts (autour des 200 bits d'entropie) donc je m'inquiète pas trop même si je reste vigilant.
60-70€ pour une paire, c'est un bon investissement
Les gestionnaires de MDP commencent le support passkey aussi
Le 18 décembre 2023 à 12:25:01 :
Le 18 décembre 2023 à 12:23:27 :
Le 18 décembre 2023 à 12:19:32 :
Le 18 décembre 2023 à 12:14:38 :
Le 18 décembre 2023 à 12:10:26 :
> Le 18 décembre 2023 à 12:06:38 :
>> Le 18 décembre 2023 à 12:02:53 :
> >> Le 18 décembre 2023 à 12:00:03 :
> > >> Le 18 décembre 2023 à 11:58:01 :
> > > >> Le 18 décembre 2023 à 11:51:42 :
> > > > >L'op incapable de retenir un seul password aléatoire de 25 caractères
> > > > >
> > > > > De plus un password n'a pas d'utilité à être changé régulièrement du moment qu'il est bien long et aléatoire
> > > > >
> > > > > Et la 2FA par mail, félicitation, ton entreprise à le deuxième pire moyen après le SMS de 2FA
> > > >
> > > > Le 2FA c’est déjà une tare
> > > >
> > > > Il y a en pas besoin (en tout cas pour les particuliers, Dans le mode de l’entreprise je comprends)
> > >
> > > Parce que c'est bien connu, les particuliers, il n'y a aucun vol
https://image.noelshack.com/fichiers/2018/13/4/1522325846-jesusopti.png > >
> > Surtout que tout dépend du second facteur. Un code OTP ou une Yubikey font le boulot sans être trop chiant pour l'utilisateur.
> >
> > Après, si le backup du 2FA est bidon, la sécurité dépendra du maillon le plus faible de la chaîne de sécurité ...
>
> J'active plus le TOTP perso, c'est inutile, ça ne protège de quasiment rien.
C'est déjà mieux que le SMS. Et si les backups et l'application (avec le secret pour générer le code) sont sur unautre appareil ça protège quand même de quelque chose, non ?
ça protège pas du phising, qui est tout l'intérêt des clés de sécurité.
Tu peux retrouver le secret à partir d'un certain nombre de codes ?
Demain amazon a une fuite de données, mon identifiant sort en clair, bon le mot de passe normalement pas si c'est bien fait,
Oui effectivement ...
Non, je ne sais pas s'il est possible de retrouver le secret, peut-être... Dans le cas le plus simple, il s'agit juste d'une page de phising dynamique, et le pirate utilisera le TOTP que tu lui donnes, comme il utilisera le mot de passe.
Un moment d'inattention suffitAh oui c'est vrai, 30 secondes suffisent.
Je dis ça sans ironie au cas où.
C'est instantané si c'est bien fait 
Et beaucoup de sites configurent le TOTP pour fonctionner plus que 30 secondes en réalité, pour que ce soit un peu plus confortable
Et tous ne configurent pas pour que chaque code soit valable uniquement une seule fois.
Le 18 décembre 2023 à 12:19:32 :
Le 18 décembre 2023 à 12:14:38 :
Le 18 décembre 2023 à 12:10:26 :
Le 18 décembre 2023 à 12:06:38 :
Le 18 décembre 2023 à 12:02:53 :
> Le 18 décembre 2023 à 12:00:03 :
>> Le 18 décembre 2023 à 11:58:01 :
> >> Le 18 décembre 2023 à 11:51:42 :
> > >L'op incapable de retenir un seul password aléatoire de 25 caractères
> > >
> > > De plus un password n'a pas d'utilité à être changé régulièrement du moment qu'il est bien long et aléatoire
> > >
> > > Et la 2FA par mail, félicitation, ton entreprise à le deuxième pire moyen après le SMS de 2FA
> >
> > Le 2FA c’est déjà une tare
> >
> > Il y a en pas besoin (en tout cas pour les particuliers, Dans le mode de l’entreprise je comprends)
>
> Parce que c'est bien connu, les particuliers, il n'y a aucun vol
https://image.noelshack.com/fichiers/2018/13/4/1522325846-jesusopti.png Surtout que tout dépend du second facteur. Un code OTP ou une Yubikey font le boulot sans être trop chiant pour l'utilisateur.
Après, si le backup du 2FA est bidon, la sécurité dépendra du maillon le plus faible de la chaîne de sécurité ...
J'active plus le TOTP perso, c'est inutile, ça ne protège de quasiment rien.
C'est déjà mieux que le SMS. Et si les backups et l'application (avec le secret pour générer le code) sont sur unautre appareil ça protège quand même de quelque chose, non ?
ça protège pas du phising, qui est tout l'intérêt des clés de sécurité.
Tu peux retrouver le secret à partir d'un certain nombre de codes ?
Demain amazon a une fuite de données, mon identifiant sort en clair, bon le mot de passe normalement pas si c'est bien fait,
Oui effectivement ...
Non, je ne sais pas s'il est possible de retrouver le secret, peut-être... Dans le cas le plus simple, il s'agit juste d'une page de phising dynamique, et le pirate utilisera le TOTP que tu lui donnes, comme il utilisera le mot de passe.
Un moment d'inattention suffit
Le 18 décembre 2023 à 12:10:26 :
Le 18 décembre 2023 à 12:06:38 :
Le 18 décembre 2023 à 12:02:53 :
Le 18 décembre 2023 à 12:00:03 :
Le 18 décembre 2023 à 11:58:01 :
> Le 18 décembre 2023 à 11:51:42 :
>L'op incapable de retenir un seul password aléatoire de 25 caractères
>
> De plus un password n'a pas d'utilité à être changé régulièrement du moment qu'il est bien long et aléatoire
>
> Et la 2FA par mail, félicitation, ton entreprise à le deuxième pire moyen après le SMS de 2FA
Le 2FA c’est déjà une tare
Il y a en pas besoin (en tout cas pour les particuliers, Dans le mode de l’entreprise je comprends)
Parce que c'est bien connu, les particuliers, il n'y a aucun vol
https://image.noelshack.com/fichiers/2018/13/4/1522325846-jesusopti.png Surtout que tout dépend du second facteur. Un code OTP ou une Yubikey font le boulot sans être trop chiant pour l'utilisateur.
Après, si le backup du 2FA est bidon, la sécurité dépendra du maillon le plus faible de la chaîne de sécurité ...
J'active plus le TOTP perso, c'est inutile, ça ne protège de quasiment rien.
C'est déjà mieux que le SMS. Et si les backups et l'application (avec le secret pour générer le code) sont sur unautre appareil ça protège quand même de quelque chose, non ?
ça protège pas du phising, qui est tout l'intérêt des clés de sécurité.
Si tu utilises déjà un mot de passe "fort" et unique à chaque site, je n'en vois pas l'intérêt.
Demain amazon a une fuite de données, mon identifiant sort en clair, bon le mot de passe normalement pas si c'est bien fait, , mais le secret TOTP est en clair sur leurs serveurs aussi, donc bon, au final... Je ne vois pas beaucoup de cas où ça protège réellement.
Le 18 décembre 2023 à 12:02:53 :
Le 18 décembre 2023 à 12:00:03 :
Le 18 décembre 2023 à 11:58:01 :
Le 18 décembre 2023 à 11:51:42 :
L'op incapable de retenir un seul password aléatoire de 25 caractèresDe plus un password n'a pas d'utilité à être changé régulièrement du moment qu'il est bien long et aléatoire
Et la 2FA par mail, félicitation, ton entreprise à le deuxième pire moyen après le SMS de 2FA
Le 2FA c’est déjà une tare
Il y a en pas besoin (en tout cas pour les particuliers, Dans le mode de l’entreprise je comprends)
Parce que c'est bien connu, les particuliers, il n'y a aucun vol
https://image.noelshack.com/fichiers/2018/13/4/1522325846-jesusopti.png Surtout que tout dépend du second facteur. Un code OTP ou une Yubikey font le boulot sans être trop chiant pour l'utilisateur.
Après, si le backup du 2FA est bidon, la sécurité dépendra du maillon le plus faible de la chaîne de sécurité ...
J'active plus le TOTP perso, c'est inutile, ça ne protège de quasiment rien.
Le 18 décembre 2023 à 11:58:01 :
Le 18 décembre 2023 à 11:51:42 :
L'op incapable de retenir un seul password aléatoire de 25 caractèresDe plus un password n'a pas d'utilité à être changé régulièrement du moment qu'il est bien long et aléatoire
Et la 2FA par mail, félicitation, ton entreprise à le deuxième pire moyen après le SMS de 2FA
Le 2FA c’est déjà une tare
Il y a en pas besoin (en tout cas pour les particuliers, Dans le mode de l’entreprise je comprends)
Parce que c'est bien connu, les particuliers, il n'y a aucun vol
Le 18 décembre 2023 à 11:57:16 :
Le 18 décembre 2023 à 11:56:20 :
Le jour ou l'op va se faire hack son compte bancaire il va comprendre à quoi sert la sécurité informatiquepourquoi je me ferais hack mon compte bancaire sur mon pc du taff au juste ?
Beaucoup mettent toutes leurs données persos sur le matériel sur boulot
J'ai vu des comptes en banques, réseaux sociaux, mails, impôts.
Le 18 décembre 2023 à 11:44:35 :
Le 18 décembre 2023 à 11:42:44 :
Le 18 décembre 2023 à 11:40:04 :
Dans ma boîte la sécu envoie des faux mails de phising et après t'engueule si tu cliques dessushttps://image.noelshack.com/fichiers/2018/26/7/1530476579-reupjesus.png Au lieu de faire ça, ils peuvent aussi mettre en place des solutions anti phishing
C'est déjà le cas sauf que les filtres ne sont pas parfaits du coup tu dois quand même former tes utilisateurs à pas se faire avoir.
https://image.noelshack.com/fichiers/2018/26/7/1530476579-reupjesus.png
Pas besoin de filtre, il suffit d'acheter des clés de sécurité. Certes, c'est un investissement, mais beaucoup utilisent google ou microsoft pour les mails, donc ça offre déjà une protection suffisante.
Le 18 décembre 2023 à 11:44:14 :
[11:42:44] <GloutonFarouche>
Le 18 décembre 2023 à 11:40:04 :
Dans ma boîte la sécu envoie des faux mails de phising et après t'engueule si tu cliques dessushttps://image.noelshack.com/fichiers/2018/26/7/1530476579-reupjesus.png Au lieu de faire ça, ils peuvent aussi mettre en place des solutions anti phishing
Bah il y en a déjà
C'est plus pour détecter les mongolios vu qu'il y a pas mal de boomers
Oui mais c'est prendre le problème à l'envers. T'auras toujours un employé qui soit ne fait pas attention (ça arrive à tout le monde), soit qui s'en fout parce qu'il comprend rien.
La sécu informatique, c'est au SI de la mettre en place, il ne s'agit pas de compter sur les utilisateurs.
Le 18 décembre 2023 à 11:40:04 :
Dans ma boîte la sécu envoie des faux mails de phising et après t'engueule si tu cliques dessushttps://image.noelshack.com/fichiers/2018/26/7/1530476579-reupjesus.png
Au lieu de faire ça, ils peuvent aussi mettre en place des solutions anti phishing
Le 18 décembre 2023 à 11:40:52 :
Ah bah justement on vient de sortir la double authentification nous, les gens cassent les couilles en mode gnngnn je veux pas installer une appli sur mon smartphone.Ça pleure pour une appli Microsoft mais ça installe n'importe quoi
En même temps t'as pas mettre tes données boulot sur ton téléphone perso, et inversemment.