Catégorie : Tuto

Tester la résistance de votre mot de passe

Le mot de passe est une des grandes vulnérabilités du net. Même à force de répéter qu’il faut que le mot de passe soit long, unique, avec des majuscules et minuscules  avec des chiffres et des caractères spéciaux… rien n’y fait, on apprend de temps en temps que tel ou tel compte s’est fait hacké comme celui de l’AFP en 2013 qui a tout de même provoqué une dépréciation de 136 milliards de dollars de capitalisation! *** (source lemonde.fr). Il est clair, que les pauvres internautes que nous sommes n’ont pas forcément les mêmes responsabilités, mais il faut tout de même prendre quelques précautions.  J’ai refait un état des lieux pour tester la force d’un mot de passe.

Une des techniques pour accéder à un compte et d’essayer toutes les formules possibles d’un mot de passe s’appelle ça la force brute, où un programme va tester toute une série de mots de passe qu’il possède dans une bibliothèque. Dans cette bibliothèque on a les mots de passe les plus connus comme les noms de chien, prénom, 123456, abcdef…, puis les variantes avec les noms date d’anniversaire, les dico…

Déjà en bref  évitons  

  • 123456 et toutes les variantes.
  • bonjour, hello, test, google…
  • abcdef, aaaaaa, a1b2c3d4,
  • titi2000.
  • azerty et querty .
  • admin password .

Après allons sur le  site  comparitech.com privacy-security-tools password-strength-test et faisons un test avec notre mot de passe (par précaution, on utilisera une variante de notre vrai mot de passe et je n’ai pas besoin de dire pourquoi.

 

Mot de passe à 1 caractère : temps pour craquer le mot de passe entre 1 et 9 nanoseconde

Il faut entre 1 et  9 nono secondes pour craquer le mot de passe :  On s’aperçoit déjà que si on met un mode de passe comme « à » c’est déjà 9 fois plus compliqué qu’un le mot de passe « 1 »

Mot de passe à 2 caractères :temps pour craquer le mot de passe entre 10 nonosecondes  et 1 microsecondes :

Le mot de passe « àù » mérite la mention spéciale avec 1 microsecondes soit 0,0000001 seconde contre le mot de passe « 11 » avec 10 nanosecondes. On a déjà une première indication que si on mets des mots de passe avec des accents, c’est déjà mieux.

Mot de passe à 3 caractères  : entre 100 nanosecondes et 80 microsecondes

Mot de passe à 4  caractères  : entre zéro secondes et 7 millisecondes

On apprend que si on répète une série de caractère, que le truc met moins de temps à trouver le mot de passe exemple « 1111 »

Mode de passe à 5 caractères : entre rien et 1 seconde

« àùéùè » est déjà une bonne facture pour un mot de passe, mais ce n’est pas suffisant encore, car une seconde c’est peu.  Evitons bien sûr le mot de passe « 12345 »

Mode de passe à 6 caractères : entre rien et 23  minutes!

«  »é »‘(-è » » est déjà un départ au bon mot de passe, car 7 minutes c’este bien, mais il faudra se souvenir d’une telle séquence ». Mais évitons des mots de passe comme « azerty ». Un bon compromis serait »Th12@i » qui nécessite 21 secondes à craquer.

On peut conclure tout de même qu’un mot de passe à 6 chiffres bien choisi permet déjà d’avoir une bonne sécurité surtout pour des sites qui se bloque pendant 5 minutes si on mets 3 mots de passe consécutifs faux ou qui nous propose un captcha .

Mode de passe à 7 caractères : 2 jours!

Bien choisi ça monte jusqu’à 2 jours. L’histoire ne dit pas combien de mot de passe un système de craquage de mot de passe essaye par secondes. mais si c’est 1000 mots de passe par seconde c’est déjà astronomique. Cela dit 1000 mots de passe par seconde sur un serveur, ça commence à être peinible pour le serveur.

Mode de passe à 8 caractères :  5 minutes à 5 ans!

7 mois pour un mot de passe du style  » Th_-ù1p » est un must, mais qui va taper un mot de passe pareil ! Un mot de passe plus facile à retenir comme « 3run0ùé » ça met 17 heures, mais un mot de passe comme titi2000 c’est 5 minutes et « Titi2000 » c’est 6 heures. I

Mode de passe à 9 caractères :  dix mil ans!

« Th-ù1p »à@ » 10 000 ans bingo, mais « Titi20000 » c’est 2 semaines

Mode de passe à 10 caractères :  180 mil ans!

« Th-ù1p »à@t » 180 000 ans, mais toto200000 c’est 4 jours!  » et pire 0123456789 c’est 1 secondes

Mode de passe à 11 caractères :  c’est bon jusqu’à 35 millions d’années

« DanielRoget » c’est 24 ans, « Dan1elR0g&t » c’est 2 miilions d’année et « Th-ù1p »à@t& » c’est 35 millions d’années

Mode de passe de 12 caractères  entre 1000 ans et 7 milliards d’années

ThierryRoget c’est 1000 ans et « Th-ù1p »à@t&* » c’est 7 milliard d’années

Autre site qui fait la même chose  howsecureismypassword.net

Avec cette démonstration, vous pouvez peut-être envisager de penser à un mot de passe plus correct.  Reprenons mon mot de passe thierry1905 et créons plusieurs variantes.

  1. thierry1960 : instantané car 1960 est une année de naissance, on commence par les années quand on veut hacker un compte par la force brute.
  2. Thierry1960 : je mets une majucucule ! déjà dans ce cas je passe à une durée de 6 heures. Juste parce que j’ai changé une minuscule par une majuscule.
  3. ThierrY1960 : la durée est aussi de 6 heures, mais quelque part on peut sentir que ce mot de passe est un peu plus fort que le numéro 2
  4. ThierrY1905  : il est peu probable que l’internaute soit né en 1905, alors la probabilité passe à 3 mois pour craquer le mot de passe, mais trois mois ne sont pas suffisants et une petite modification pourrait apporter plus de sécurité.
  5. Thierry1905@ : j’ajoute  un caractère spécial @ et là c’est parfait, je passe la probabilité à 8 ans. (l’autre service donne 26 millions d’années)
  6. Th!erry1905@ : je change le « i » en « ! ». Un technique qui nous évite d’oublier le mot de passe car « ! » ressemble à « i ». Dans ce cas, je passe à 10 ans!
  7. Th!erry1960@ ! : notons que si on mettait 1960 au lieu de 1905, il faudrait 1 semaine pour craquer le mot de passe! On comprend mieux que 1960 est à exclure totalement.
  8. Th!erry1905@! : ajoutons un autre point d’exclamation à la fin du mot de passe  et là ça donne 336 ans. Cela dépasse, notre espérance de vie, c’est donc un mot de passe tout à fait sécurisé.
  9. un mot de passe unique par service, ajouter les deux premiers mot de l’url à la fin du mot de passe. Exemple pour votre compte gmail, votre mot de passe pourrait être Th!erry1905@!gm : on passe à 27 mille ans et un mot de passe unique par service. 

 Quelques précautions, si le hacker sait que je m’appelle thierry et ma date de naissance, il va peut-être aller plus vite. C’est pour cela qu’il faut absolument éviter que votre mot de passe ressemble à votre login. C’est encore plus sécurité. 

La tendance est aujourd’hui d’opérer une double authentification comme avec un compte gmail. A chaque login sur un nouveau pc ou après une période de 1 mois, vous être obligé de mettre un deuxième mot de passe qui est envoyé par sms.  Je conseille tout de même d’envisager ce genre d’opération.

 Anecdote : Si vous vous retrouvez sur un clavier « anglais » (qwerty), vous alllez peut-être galérer à trouver les touches d’acent.  

Sachez que malgré toutes ses précautions, tout n’est pas gagné, car le hacker peut très bien voler toutes la base de mot de passe d’un service, cela est arrivé à linkedin et twitter, il faudra donc changer régulièrement vos mots de passe. De plus si le hacker a installé un logiciel keylogger sur votre pc, vous êtes encore plus mal, car dans ce cas, il peut enregistrer en clair tout ce que vous tapez sur votre clavier!

Attention

18 sites pour faire des graphes en ligne gratuitement

Faire des  graphes en ligne  peut être une bonne façon d’agrémenter un blogue, voir une présentation sur powerpoint. Ici je présente plusieurs moyens de réaliser des graphes en ligne en tous genres. Je viens de faire une mise à jour de ce billet vieux comme le mond.e  Apparemment, les fabrications de tableaux sur Internet résistent bien au temps.  Dans ce billet, je n’ai pas inclus Microsoft office qui  propose aussi ce même service en ligne via on drive.  De mon côté, j’utilise la suite office en ligne de Gdrive, mais ce n’est qu’un avis personnel.  

Notons que depuis que microsoft propose en location la suite bureautique pour 90 euros par an pour une famille complète, l’offre est tout de même tentante. Néanmoins pour un usage peu intensif de la bureautique, je conseille tout de même les outils gratuits. C’est d’ailleurs pour cela que j’ai élaboré cette liste.

 plot.ly (top)

Seules l’imagination est la limite avec ce site qui mérite d’être dans le haut de la liste! Le courbe d’apprentissage sera plus longue que la plupart des sites de cette liste, mais le résultat sera à la hauteur de l’effort fourni.  Lire la fiche complète de plot.ly

Charts.livegap.com peu d’option mais bien

Ce service que j’ai décrit ici est mon petit coup de coeur. C’est idéal pour faire un petit graphique rapide.

RAW

Des graphes, des courbes et infographie « ready ». S’il faut faire des graphes complexe, c’est sur RAW qu’il faut le faire si les graphes de small Multiples (Area) ,  alluvial_diagram, circle packing , Dendrogram , clustered Force , convex Hull, parallel Coordinates ,voronoi tessellation , treemap , Scatter Plot , Sreamgraph, Triangulation de Delaunay ou encore Reingold–Tilford Tree, vous parlent, c’est sur RAW qu’il faut travailer. 

Chartblocks.com/fr

Ce tout nouveau service permet de faire des graphiques classiques mais qui sont vraiment très personnalisables. Pour la partie gratuite, les graphes sont publiques et sont limité à 50 graphes.

Share-a-graph.com

Ce site vous permet, non seulement de créer des graphes avec de nombreuses options, mais aussi de les sauvegarder. La syntaxe est toutefois compliquée.

Les suites offices en ligne

Qui peut le plus peu le moins, toutes les suites offices offre les options de graphes et de camembert.

Google feuile de calcul.

Google feuille de calcul donne aussi des résultats maintenant excellents, et avec toutes les facilités de les intégrer dans les blogs. Il y a souvent des nouveautés sur ce service, ce site comblera 90% des besoins simples.

Sheet.zoho.com

Zoho est vraiment la meilleur application office en ligne et les options de graphes y sont nombreuses

solution gratuite zoho pour faire des tableaux en ligne (tableur excel)

Charts.hohli.com

Ce site est très ergonomique et possède des paramétrages originaux. On pourra réaliser une belle panoplie de courbes et représentations, une fois l’outil pris en main.

diagramme en ligne

Wolframalpha.com

Avec Wolfram il suffit de mettre une série de chiffres (25 35 10  17  29 14 21 31) et le graphe apparaît en fin du résultat. Pour un syntaxe plus évoluée on pourra mettre PieChart[{25, 35, 10, 17, 29, 14, 21, 31}]

faire de graphe et des camemberts avec wolfram

Les simplissimes

Il y a les services simples qui permettent de faire également des camemberts ou autres graphes, mais le look laisse parfois à désirer et les options sont limitées. Toutefois, pour faire un graphe en mode « Quick and Dirty » c’est très bien.

Chartgizmo

Avec ce service, on est capable de créer un camembert un peu plus en forme. On se sent quand même plus à l’aise avec cet outil. Il faudra néanmoins créer un compte gratuit et je pense qu’on aura le droit au petit logo Chartgizmo sur chaque Graphe pour cette version gratuite. Le gros truc c’est l’exportation des graphes, ça va de l’html, du php en passant par le flash.

Chartico.com

La palme d’or pour ce service, simple et interactif qui n’a aucune prétention, mais qui, par sa simplicité fait que c’est un de mes outils coup de coeur. l’interactivité quand on change une valeur est top, on peut changer aussi les couleurs de chaque graphe et d’ajouter autant de valeur qu’on veut. Cliquer ici pour plus de détails.

Piecolor.com/?lang=fr

Permet de faire des camemberts à partir du moment où on sait calculer les pourcentages d’un résultat. C’est  encore rudimentaire, mais ça peut aider. Le site est disponible en français, anglais et espagnol. Il conviendra de bien choisir ses couleurs avant de générer le camembert, car une fois lancé, on ne peut plus revenir en arrière. Il n’est pas utile de créer un compte pour générer un camembert.

Pic color

 

Chartpart.com

Une interface dépouillée, mais  permet de faire plus que des camemberts, il faut bien lire le code dans l’exemple et connaître le code ascci des couleurs pour générer quelque chose de potable. L’avantage est que  le code html est fourni, et le code du résultat peut être directement intégré dans le blog.  Là aussi pas besoin de créer un compte.

Chartpart


NCES Kids Zone

Une interface en flash, cela permet de faire des graphes assez intéressants. Les sauvegardes possibles sont multiples, ce qui fait qu’on est quand même dans quelque chose de plus sympathique et on peut s’aider des nombreux exemples .

Yellowpipe.com (ça marche pas en ce moment)

Ultra rudimentaire, avec un choix de couleur limité mais ultra rapide

yellowpipe

 

Mathcracker.com

Ultra simple, ultra rapide, pas de choix des couleurs, pas d’exportation, il faudra faire appel à une capture d’écran.

math craker

Un autre point, j’utilise le freeware photoscape pour faire des captures d’écran.

Mise à jour  18 juin 2014 à 9 h 00 min

Comment se faire arnaquer sur internet : à la recherche d’un homme sur le net

Tout commence par un mail anodin ou une prise de contact sur gtalk, skype, viber…. ça ressemble à un truc comme ça.

Bonjour comment allez vous?  Votre profil a retenu toute mon attention parmi ceux des personnes de ma liste. J’aimerais en profiter pour vous envoyer un grand bonjour. N’hésitez pas à me contacter si vous le souhaitez.
Moi je suis à la recherche d’un homme sur le net une relation bien suivie adorable sincère sérieuse amicale au plaisir de vous lire.
Hum, ça sent déjà l’arnaque, mais si je reçois ce genre d’email, ça doit marcher avec des autres personnes plus ou moins crédules. Pour rigoler je réponds avec un mail chaleureux en disant que je suis d’accord pour commencer à discuter et je demande des photos de la fille en question (appelons là Nadine).
Je reçois les photos et la supposée Nadine qui n’est ni trop moche, ni trop top modèle, mignonne quoi!
Je m’excite, whouah, une petite jeune qui veut draguer un vieux geek, le pied….
S’en suit des vas et vients  de questions du style « envoie moi des photos »… puis « tu es marié » (ha voilà le piège » et je réponds, « oui je suis marié…. » Voilà le premier hameçonnage. La gars est marié et c’est tout bon… car ensuite la petite Nadine va me faire chanter…. i je lui demande des photos un peu plus sexy, juste pour voir… la réponse, « pas tout de suite, il faut qu’on se connaisse un peu mieux »…. « Tu as skype ? « . (haaaa! ça y est la webcam, là je sais pas comment elle va faire, car je suis sûr que la Nadine de la photo n’est pas la nadine de skype ». Cela dit, si elle est blonde, avec une qualité de webcam, un peu crade ça peut passer.
Bon j’arrête là, car je n’ai pas trop de temps à perdre. Je sais que l’objectif de Nadine est de prendre un maximum d’informations sur ma personne,
  • Me filmer à mon insu lors des chats vidéos : les logiciels de capture d’écran ou  de filmage d’écran ne manquent pas sur internet) .
  • Garder mes mails au chaud.
  • Garder toutes mes chats sur skype, viber ou autres.
  • Enregistrer mes conversations audio (c’est super simple avec audacity ou encore skype.

Une fois qu’elle a récolté un maximum de truc compromettants, la petite nadine va commencer me faire chanter. Si tu ne m’envois pas d’argent, je balance tout à ta femme (ou un truc du même genre). « Noooooooooon, ne fait pas ça Nadine, je t’en supplie » et hop, tu es foutu. Tu payes…

Bien sûr, il y a surement d’autres scénarios, du style « rencontrons nous, mon chéri, mais je suis à cours d’argent, envoie moi l’argent du train »….

Comment savoir si c’est un coup monté? 

La crédulité des gens me surprend toujours, mais voilà en quelques étapes comment je détecte la supercherie.

  • Déjà : recevoir un mail de ce type, ça sent l’arnaque : donc j’appuie sur la touche « Delete »
  • Mais admettons que je veuille aller plus loin. Si la fille te contacte avec un compte gmail, généralement son compte googleplus est vide de chez vide : exemple celui de Nadine ( plus.google.com/…61490) est vide « pas d’amis, pas de photos, pas de bio.. ça sent l’arnaque à plein tube.
  • Sachez qu’une petite recherche sur le net du mail en question ne donne pas souvent de résultat, car les mails utilisés sont généralement nouveaux.
  • Le recherche du nom, aussi n’est jamais très intéressant, car les noms de filles sont trops générique.
  • L’analyse du header, je donne pas grand chose non plus, mais parfois ça marche. Si l’adresse ip du mail se trouve en côté d’ivoire et que la fille est blonde, ça commence à être très louche. (Cette technique ne marche plus).
  • Mais, admettons qu’on ne se doute encore de rien est qu’on engage la conversation.. Ce qui vient ensuite, c’est la photo! Nadine est elle vraiment Nadine?  C’est là que je fais appel à mon extension  chrome « tineyes » et je vérifie si la ou les  photos de Nadine ne se trouvent pas sur le net… BINGO. La petite Nadine est bien sur internet avec plein de photos d’elle à moitié nue (ou à moitié vêtue) et  sur des sites « adultes » Vous pouvez retrouver ses liens (adultes) sur l’url : http://hiperurl.com/?s=kke . La Nadine, s’appelle Josie (encore un faux nom bien sûr) et elle fait dans le site « adulte ».  Josie, même si elle gagne sa vie en faisant le commerce virtuel de son corps doit être une fille honnête. D’ailleurs, c’est bien marqué sur sa page principale  » PLEASE BE AWARE; I’M NOT ON ANY DATING SITES ENGAGED! SCAMMERS ARE USING MY OLD WEBCAM VIDEOS IN YAHOO CHAT »  . Et oui on n’utilise ses photos sans son autorisation….

 

 

Bref pour moi, j’ai vite fait le tour. Pour m’amuser, j’ai donc envoyé un mail à la supposée nadine avec une photo de Josie, mais en tenue ultra légère…

 » ?Salut nadine *

Dis donc, tu es une petite coquine, j’ai vraiment bien aimé ta photo. Merci pour l’envoi. ?Franchement tu es vraiment belle à croquer. ?
Réponse de Nadine »
« cette photo qui te l’a donnée »?
Ma réponse
« Hum. J’ai des pouvoirs surnaturels . Non non . je suis un hacker . j’ai donc hacké tes photos. D’ailleurs tu ne t’appelles pas Nadine. »
Depuis « Silence radio ».  CQFD j’ai relancé ce matin….
A bientôt sur le net, lisez aussi mon article sur le fishing ou Comment on se fait hameçonner? 

Pin It on Pinterest