With the cumulative update for April 2023, Microsoft delivers the Local Administrator Password Solution (LAPS) as a system component for the first time. The updated version uses different attributes in AD and introduces new PowerShell cmdlets. Admins must remove the legacy LAPS to benefit from the new features.
The post Windows LAPS now part of the OS; new password security features included first appeared on 4sysops.If Windows doesn't start or boot, you need a good repair tool that you allows to access the boot drive to rescue your Windows installation by recovering partitions, copying files, or resetting the admin password. SystemRescue is a collection of open-source utilities on a bootable ISO image, making it easy to download and mount directly to a virtual machine or "burn" to a USB drive. You can use them for both Linux and Windows computers, including desktops, laptops, and servers.
The post Windows doesn’t start: Recover partitions, copy files, and reset password with SystemRescue first appeared on 4sysops.Parfois il m’arrive pour me connecter à un serveur en ssh de ne plus me souvenir exactement de ma passphrase.Peu importe me direz-vous , je n’ai qu’à utiliser mon gestionnaire de mot de passe. Mais j’ai aussi quelques vieux comptes qui trainent que je n’ai pas nettoyés (mybad) et qui du coup m’induisent en erreur en me proposant une phrase de passe obsolète.
Et bien sûr comme un bourrin je l’essaye plusieurs fois d’affilée sans succès jusqu’à me faire bloquer par les règles de sécurité un peu strictes de mon propre serveur. 3 tentatives infructueuses et c’est le ban pour quelques minutes !
Dès lors comment faire pour retrouver sa passphrase sans se faire bannir ? Yaurait pas un moyen de tester en local la passphrase de sa clé privée avant de la taper pour de vrai sur le serveur ?
ssh-keygen -y -f private_key
si c’est ok, il t’affiche le hash correspondant.
si c’est pas bon tu obtiendras le message » incorrect passphrase supplied to decrypt private key«
Évidement le mieux c’est d’utiliser et renseigner correctement son gestionnaire de mots de passe pour ne pas galérer la prochaine fois 
Cet article Oups j’ai oublié ma passphrase ssh… est apparu en premier sur tutox.fr.
Pas un seul mois ne passe , sans qu’une affaire de base de donnée volée n’ait fuitée sur internet. Tiens, pas plus tard que la semaine dernière, la fuite des données personnelles de 5,4 millions d’utilisateurs de Twitter. Heureusement, il existe des services comme « have i been pwned » pour savoir facilement si nos identifiants sont concernés et stockés dans ces bases de données piratées.
Et bien dans le même style j’ai trouvé un site qui propose à peu près la même chose mais avec la particularité de pouvoir t’afficher à l’écran ton mot de passe en clair.Je te sens sceptique sur ce coup là. Mais j’ai testé sur quelques uns de mes vieux comptes emails. Et j’ai réussi à retrouver un vieux mot de passe que depuis j’a changé bien sûr. Je t’avoue que sur le coup ça m’a fait froid dans le dos.
En tout cas, c’est super pratique si tu as un trou de mémoire (#humour).
Pour mettre fin du suspense et que tu puisses tester par toi même, le site dont je parle est: breachdirectory.
Même principe que sur HIBP,, tu rentres le mail ou le numéro de tel que tu souhaites tester et bim! Si le hash du mot de passe a été craqué, il te l’affiche partiellement.
Bon oui j’ai un peu exagéré en parlant de voir en clair tout le mot de passe. Seuls les 4 premiers caractères du mot de passe pwné s’affichent.Mais c’est suffisant pour l’effet pédagogique.
J’ai testé plusieurs comptes et il m’a bien retrouvé un ancien mot de passe ! Ça fait tout drôle de voir un bout de sa vie privée dévoilée comme ça sur un site.
Attention, si breachdirectory ne t’affiche rien,ça ne veut pas dire forcément que le hash n’est pas présent dans la base. C’est juste qu’il na pas été cassé ou que le crack na pas encore été rendu public!
Même si cela peut paraître évident pour certains c’est l’occasion de rappeler quelques règles élémentaires d’hygiène numérique concernant les mots de passe:
– avoir un mot de passe long (12 caractères mini à adapter selon contexte)
– mettre un mot de passe suffisamment différent du précédent (ne pas le décliner style: tototata12 changé le coup d’après en tototata13)
– ne pas mettre le même mot de passe pour tous ses comptes
– utiliser un gestionnaire de mot de passe (ex: keepass)
– utiliser une authentification à double facteur si possible lorsque l’accès aux données du compte est sensible
…
Ces règles sont à adapter en fonction du contexte bien évidement.
Pas la peine de mettre un mot de passe de 26 caractères hein pour un site de réservation de terrain de badminton. En revanche, pour le site des impôts ou l’accès à ton mail , n’hésite pas à blinder, double facteur toussa toussa
Je me dis que c’est exactement le type de démo qui pourrait sensibiliser les gens pour changer régulièrement leurs mots de passe et en mettre des différents.L’idéal serait de vérifier de temps en temps s’ils n’ont pas fuité sur le grand méchant Net mais ça ce serait plutôt le boulot du rssi.
liens utiles:
https://www.ssi.gouv.fr/guide/recommandations-relatives-a-lauthentification-multifacteur-et-aux-mots-de-passe/
https://www.cnil.fr/fr/mot-de-passe
Bloquer les modifications des entrées Grub.
Lorsque vous démarrez sur une machine ayant comme système d’exploitation GNU/Linux, il y a de très fortes chances que le chargeur d’amorçage (bootloader) soit Grub. Si c’est le cas, il vous suffit d’appuyer sur la toucher e pour éditer les paramètres de lancement, et pouvoir réaliser toute une série d’actions.
Bien souvent, cela peut être utile pour obtenir un shell root et dépanner sa machine personnelle, mais en entreprise (sur desktops comme serveurs), on préférerait bloquer les modifications d’entrées Grub, pour éviter certaines mésaventures.
C’est ce que nous allons voir ici, comment protéger la modification d’entrées Grub sur une Debian, mais sans pour autant exiger un mot de passe pour démarre l’OS (ce sont deux choses bien distinctes).
Sans plus attendre, allons-y !
La première étape est donc de créer les couples user/passwords qui permettront de déverrouiller ces dites entrées. Bien-entendu, libre à vous d’en créer un seul, ou une dizaine, c’est au choix !
La première étape est donc de générer le hash pour nos différents passwords, ici je ne créerai qu’un utilisateur, mais le principe est le même, il suffit de le faire autant de fois que l’on a de users :
Connexion
sudo grub-mkpasswd-pbkdf2Cette commande va nous permettre d’obtenir un hash de notre password une fois encodé.
On modifie ensuite le fichier /etc/grub.d/40_custom, pour y définir le ou les utilisateurs avec le hash de leur mot de passe :
# Si vous désirez spécifier plusieurs users
set superusers="root utilisateur02 utilisateur03 utilisateur04"
# On rajout le hash correspondant ensuite à chaque user
password_pbkdf2 root grub.pbkdf2.sha512.10000~
password_pbkdf2 utilisateur02 grub.pbkdf2.sha512.10000~
password_pbkdf2 utilisateur03 grub.pbkdf2.sha512.10000~
password_pbkdf2 utilisateur04 grub.pbkdf2.sha512.10000~Ici je n’ai mis que l’utilisateur root, mais libre à vous de mettre l’utilisateur système de votre choix !
On peut ensuite enregistrer le fichier. puis mettre à jour la configuration de grub via un classique update-grub.
Si vous redémarrez votre machine maintenant, vous verrez que le mot de passe est bien demandé (et avec un agencement de clavier en qwerty au passage !), mais pas seulement pour l’édition, aussi pour le simple boot… et ce n’est pas ce que l’on souhaite ici.
Rien de très sorcier ici, il nous suffit d’éditer cette fois le fichier /etc/grub/10_linux et de rajouter le flag –unrestricted aux entrées désirées :
echo "menuentry '$(echo "$title" | grub_quote)' --unrestricted ${CLASS} \$menuentry_id_option 'gnulinux-$version-$type-$boot_device_id' {"$ else
echo "menuentry '$(echo "$os" | grub_quote)' --unrestricted ${CLASS} \$menuentry_id_option 'gnulinux-simple-$boot_device_id' {" | sed "s/^$ fiIci, on modifie directement la commande echo « menuentry … » de sorte que lorsque votre kernel sera mis à jour, ces modifications resteront intactes. Bien-entendu, il est aussi possible de ne bloquer l’édition ou le boot que pour une entrée Grub bien particulière.
N’oubliez pas une fois cette modification effectuée de bien exécuter la commande update-grub à nouveau !
Et c’est tout ! Vous savez désormais comment protéger vos entrées Grub, voir même proposer un mot de passe supplémentaire pour le démarrage de votre OS !
Comme d’habitude, j’espère vous avoir appris quelques bricoles, et vous souhaite une bonne journée/soirée !
L’article Debian : Password sur GRUB est apparu en premier sur Notamax.
Hi folks,
Voilà quelques années que j’utilise un outil de gestion de password, pour ne pas avoir à me les rappeler. Fautes de mémoire diront certains peut-être … quoique… Bref il existe plein d’outils sur le marché, mon choix était porté vers LastPass qui offre une application mobile permettant de retrouver les passwords mais aussi des challenges de sécurité permettant de savoir si le mot de passe est ou n’est pas potentiellement compromis. Bref c’est payant et étant sous MacOS depuis quelques temps, je me suis demandé si je pouvais exporter mes passwords LastPass et les envoyer dans iCloud avec KeyChain qui est totalement intégré aux différents naviguateur et dispose de l’apps mobile iPhone aussi tout en faisant des économies (celui de l’abonnement annuel de LastPass). Et oui Apple prends soin de votre porte monnaie aussi
J’aborderai plus tard la partie sécurité intégré qu’offre la puce biométrique du macbook pro et son processeur (on parlera alors de Secure Enclave ou de stockage dans des modèles mathématiques qui sont liés au matériel) Même modèle qui sont utilisés entre autre sur le FaceID de vos iPhone et l’intégration totale de bout en bout. Pour un peu de teasing voilà le résumé en image, mais parlons plutôt de l’aspect end user de la gestion des mots de passe
Je pense que le process est similaire avec d’autre gestionnaire de mots de passes.
A voir à l’usage si je continuerai avec LastPass ou si je basculerai sous KeyChain 100% d’ici la fin de l’année. Vu que l’abonnement est par année
Stay tuned !
mickey75019
