Path: ...!weretis.net!feeder8.news.weretis.net!news.imp.ch!news.alphanet.ch!alphanet.ch!.POSTED.localhost!not-for-mail
From: Marc SCHAEFER <schaefer@alphanet.ch>
Newsgroups: fr.comp.securite
Subject: Re: Tentatives =?ISO-8859-1?Q?d=27acc=E8s?= SSH
Date: Mon, 31 Jan 2022 10:06:39 -0000 (UTC)
Organization: Posted through ALPHANET
Message-ID: <st8cbf$h79$1@shakotay.alphanet.ch>
References: <i3hqssF9nl0U1@mid.individual.net> <rr0hcu$ro3$1@shakotay.alphanet.ch> <Xze41w2uR3Jp7B1-bbbxROTrS7A@jntp> <sse5ln$ead$2@shakotay.alphanet.ch> <hsksbi-fh6.ln1@superman.unices.org> <ssgbtp$75k$1@shakotay.alphanet.ch> <ofbfvg5671r3h8sle2l8b3oljrtrbo44kr@4ax.com>
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit
Injection-Date: Mon, 31 Jan 2022 10:06:39 -0000 (UTC)
Injection-Info: shakotay.alphanet.ch; posting-host="localhost:127.0.0.1";
	logging-data="17641"; mail-complaints-to="usenet@alphanet.ch"
User-Agent: tin/2.4.3-20181224 ("Glen Mhor") (UNIX) (Linux/4.19.0-18-amd64 (x86_64))
Cancel-Lock: sha256:oXOy8KiZgn1PUGFCSYiVcZZ/RCzL3aiBx2i5PIS2OcM=
Bytes: 2823
Lines: 35

Eric Demeester <neuneu@potiron.invalid> wrote:
> J'ai eu en des temps anciens le cas avec un compte FTP accessible via
> admin / admin. C'était avant la généralisation des logiciels BitTorrent,
> inutile de dire qu'on a retrouvé des choses diverses et variées sur les
> disques de la machine.

Il y a aussi les comptes mails, aujourd'hui, utilisés pour le spam.

> Plus sérieusement, j'ai un collègue qui ne comprend pas l'intérêt
> d'avoir des couples identifiant / mot de passe raisonnablement
> compliqués, « parce que ça déplait aux clients », mais que plus
> probablement ça le fatigue de gérer ne serait-ce qu'un fichier texte où
> figurerait un couple identifiant / mot de passe par client. Oui, là ils
> ont tous le même.

Oui, l'identifiant aussi gagnerait à être compliqué:

Dans le cas du mail, un de mes clients est passé du `maison'
user+domaine.ch comme login mail au "plus standard" user@domaine.ch et
quasi instantanément il a découvert des comptes avec mots de passe
vulnérables.

A voir, la `security through obscurity' du user+domaine.ch plutôt
qu'user@domaine.ch avait suffit, en près de 20 ans d'exploitation, à
rendre les attaques automatiques inefficaces.

Depuis, il tourne régulièrement une vérification de la force des mots de
passe ...  et bloque régulièrement des comptes.

> J'avoue que les bras m'en tombent.

Aussi, sur *mes* serveurs, le mot de passe de l'utilisateur pour le mail
n'est pas le même si le même utilisateur a un compte SSH (si je n'ai pas
réussi à le convaincre d'utiliser une clé publique ...).

Ca casse les pieds, mais c'est l'objectif.