Parfois il m’arrive pour me connecter à un serveur en ssh de ne plus me souvenir exactement de ma passphrase.Peu importe me direz-vous , je n’ai qu’à utiliser mon gestionnaire de mot de passe. Mais j’ai aussi quelques vieux comptes qui trainent que je n’ai pas nettoyés (mybad) et qui du coup m’induisent en erreur en me proposant une phrase de passe obsolète.
Et bien sûr comme un bourrin je l’essaye plusieurs fois d’affilée sans succès jusqu’à me faire bloquer par les règles de sécurité un peu strictes de mon propre serveur. 3 tentatives infructueuses et c’est le ban pour quelques minutes ! Dès lors comment faire pour retrouver sa passphrase sans se faire bannir ? Yaurait pas un moyen de tester en local la passphrase de sa clé privée avant de la taper pour de vrai sur le serveur ?
La commande de test
ssh-keygen -y -f private_key
si c’est ok, il t’affiche le hash correspondant.
si c’est pas bon tu obtiendras le message » incorrect passphrase supplied to decrypt private key«
Évidement le mieux c’est d’utiliser et renseigner correctement son gestionnaire de mots de passe pour ne pas galérer la prochaine fois
Pas un seul mois ne passe , sans qu’une affaire de base de donnée volée n’ait fuitée sur internet. Tiens, pas plus tard que la semaine dernière, la fuite des données personnelles de 5,4 millions d’utilisateurs de Twitter. Heureusement, il existe des services comme « have i been pwned » pour savoir facilement si nos identifiants sont concernés et stockés dans ces bases de données piratées.
Et bien dans le même style j’ai trouvé un site qui propose à peu près la même chose mais avec la particularité de pouvoir t’afficher à l’écran ton mot de passe en clair.Je te sens sceptique sur ce coup là. Mais j’ai testé sur quelques uns de mes vieux comptes emails. Et j’ai réussi à retrouver un vieux mot de passe que depuis j’a changé bien sûr. Je t’avoue que sur le coup ça m’a fait froid dans le dos. En tout cas, c’est super pratique si tu as un trou de mémoire (#humour). Pour mettre fin du suspense et que tu puisses tester par toi même, le site dont je parle est: breachdirectory.
Même principe que sur HIBP,, tu rentres le mail ou le numéro de tel que tu souhaites tester et bim! Si le hash du mot de passe a été craqué, il te l’affiche partiellement.
Bon oui j’ai un peu exagéré en parlant de voir en clair tout le mot de passe. Seuls les 4 premiers caractères du mot de passe pwné s’affichent.Mais c’est suffisant pour l’effet pédagogique.
J’ai testé plusieurs comptes et il m’a bien retrouvé un ancien mot de passe ! Ça fait tout drôle de voir un bout de sa vie privée dévoilée comme ça sur un site.
Attention, si breachdirectory ne t’affiche rien,ça ne veut pas dire forcément que le hash n’est pas présent dans la base. C’est juste qu’il na pas été cassé ou que le crack na pas encore été rendu public!
Même si cela peut paraître évident pour certains c’est l’occasion de rappeler quelques règles élémentaires d’hygiène numérique concernant les mots de passe:
– avoir un mot de passe long (12 caractères mini à adapter selon contexte) – mettre un mot de passe suffisamment différent du précédent (ne pas le décliner style: tototata12 changé le coup d’après en tototata13) – ne pas mettre le même mot de passe pour tous ses comptes – utiliser un gestionnaire de mot de passe (ex: keepass) – utiliser une authentification à double facteur si possible lorsque l’accès aux données du compte est sensible … Ces règles sont à adapter en fonction du contexte bien évidement. Pas la peine de mettre un mot de passe de 26 caractères hein pour un site de réservation de terrain de badminton. En revanche, pour le site des impôts ou l’accès à ton mail , n’hésite pas à blinder, double facteur toussa toussa
Conclusion
Je me dis que c’est exactement le type de démo qui pourrait sensibiliser les gens pour changer régulièrement leurs mots de passe et en mettre des différents.L’idéal serait de vérifier de temps en temps s’ils n’ont pas fuité sur le grand méchant Net mais ça ce serait plutôt le boulot du rssi.
Connexion
