Chiffrement des mots de passe dans mRemoteNG

Bonjour à tous, aujourd’hui on va se pencher rapidement sur le chiffrement des mots de passe dans mRemoteNG. Y’a pas longtemps, j’avais pommé un mot de passe qui visiblement ne s’était pas bien sauvegardé dans mon password Manager (problème d’interface chaise clavier probable), bonne nouvel il était toujours dans ma conf mRemoteNg.

mRemoteNG ?

mRemoteNG est un gestionnaire de connexions à distance (un peu comme PuTTY) pour Windows qui gère une pelleté de protocol et qui a le bon goût d’être Open Source. Jusqu’ici tout va bien.

Les exports de configuration dans mRemoteNG

Donc par rapport à mon soucis je commence par exporter ma conf et du coup ni une ni deux, bouton droit :

Et je me jette dans le XML ainsi généré :

<Node Name="Serveur.tld.fq.dn" Type="Connection" Descr="" Icon="mRemoteNG" Panel="General" Username="user@geekeries.org" Domain="" Password="Ni1es1Kzm##########KJNibkcvcveRfEYV#######DOAcvcvTYUtQB+#####jlcvcvEpkex5A+wE=" Hostname="Serveur.tld.fq.dn" Protocol="RDP" PuttySession="Default Settings" Port="3389"

Donc là, je me dis nickel un base64 (mais aussi quelle bande de nazes chez mRemoteNG… :’-D)

Bref, un coup de base 64 decode et…

[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String("Ni1es1Kzm##########KJNibkcvcveRfEYV#######DOAcvcvTYUtQB+#####jlcvcvEpkex5A+wE="))
6-^�R��GTD�l����M��%쇑|D��|�)`�v�TGP�m�/c���JyU{@�

Nada, je récupère du bon gros bruit quel que soit l’encodage demandé.

(Dé)Chiffrement des mots de passe dans mRemoteNG

Bon un coup de let me google that for you plus tard, et on … Lire la suite

Comment stocker un mot de passe ?

Salut à tous, aujourd’hui on va continuer le cycle d’article sur les mots de passes, et plus particulièrement : comment stocker un mot de passe. Pour info, je me pompe sans honte sur cet article de sophos, qui est au top sur le sujet.

Comment on faisait ? ou plutôt comment ne pas stocker un mot de passe.

En clair !

La plus ancienne méthode de stockage consistait à stocker les mots de passe… en clair ! Elle pose quelques petits problèmes, assez évidents : en cas d’attaque réussie, en cas de réutilisation du mots de passe, etc. Cette méthode là, on ne la rencontre plus trop chez les professionnels. Mais parfois, on tombe encore sur un utilisateur qui garde un joli fichier Excel avec tout ses mots de passe dedans.

R1- Ne pas stocker les mots de passe en clair, donc.

Chiffré ?

Puisqu’on ne peut pas les stocker en clair, on va les chiffrer, non ? bein non plus, déjà cela signifie que les administrateurs accèdent encore au clair de vos mots de passe. En fait, en chiffrant votre base de mot de passe vous ne faites que transférer la sécurité sur le secret de la … Lire la suite

MISC N°103 – KeePass et YubiKey, A vos Kiosques ! Prêt ! Partez!

MISC n°103 KeePass et YubiKey

Salut à tous ! Je sais, ça fait un mois que j’ai rien écrit sur le blog… Mais c’est pour la bonne cause : je viens d’être publié dans le MISC N°103 sur KeePass et YubiKey page 66 (en kiosque depuis le 26 avril 2019) ! Je vous tease le titre :

KeePass multiplateforme en authentification forte avec une YubiKey

Ça vous rappelle un truc ? C’est un peu le fils spirituel de l’article KeePass2 et la synchronisation SSH/SFTP entre Windows, Linux et Android que j’avais posté début 2018 sur le blog. Mais en beaucoup, beaucoup, plus complet cette fois. J’y ajoute l’authentification double facteur, des dessins (pour ceux qui ne savent pas lire) et une vraie analyse de sécurité de la solution présentée à la fin.

« Fabriqué au cœur de l’ile de France, entre l’A86 et le périph’. Cet article, moulé au clavier avec amour, a été affiné au moins 6 semaines de manière ancestrale dans nos caves du boulot. »

Et merci aux collègues !

« OSEF : C’est pâques, on veut des chocolats »

Pour les lecteurs du blog, et juste pour vous, je vous ai planqué un easter egg dans l’article. C’est discret et … Lire la suite

Est-ce que mon mot de passe a été piraté?

Est-ce que mon mot de passe a été piraté ? BitWarden Report

Salut à tous, je continue ma série sur les mots de passe aujourd’hui et plus particulièrement la réponse à la question « Est-ce que mon mot de passe a été piraté ? ». Vous connaissez have i been pwned? ? Ce service compile les données issues des principales fuites d’informations de ces dernières années et vous permet de savoir, en saisissants votre adresse mail, si cette dernière a fait partie des fuites… et se savoir ce qui a fuité surtout ! Ce qui vous permet de savoir si le mot de passe associé à ces fuites a été compromis.

Et bien le site à récemment étendu son offre avec le service have my password have been pwned? Pour savoir si votre mot de passe a été piraté. Et qui vous propose donc la même chose que havebeenpwned mais pour les mot de passe.

« Bein ouais, mais si je donne mon mot de passe à une site pour qu’ils le vérifient, ils vont connaitre mon mot de passe du coup ?

PS: t’es con ou quoi ? »
— un internaute pas trop con.

Et c’est là que c’est beau, l’auteur du service détaille dans ce post (super lecture que … Lire la suite