Gestionnaire de mots de passe gratuit

La recommandation est souvent de mettre un mot de passe robuste par site web. Il faut donc retenir ces mots de passe ? c’est complexe. Pour cela il est possible d’utiliser un gestionnaire de mots de passe. C’est lui qui va stocker ces sésames pour vous donner accès à vos sites et vous n’aurez qu’un mot de passe à retenir. Keepass est une solution qui permets de gérer vos mots de passe. Cette solution est gratuite et disponible hors ligne

 

Installation

 

Directement le site keepass.info dans la section téléchargement. Le logiciel est disponible sous Windows, MAC et périphériques mobiles.

 

Création de votre base

 

C’est un fichier qui va stocker vos mots de passe, il faut définir un mot de passe (Master password) pour pouvoir ouvrir ce fichier. Il faut donc choisir un mot de passe robuste (Mot de passe ou passphrase). Certaines options peuvent renforcer ce niveau de sécurité ( Fichier de clef, …)

Il est possible de mettre un nom et une description. Il est également possible de modifier certaines options :

  • algorithme de chiffrement
  • Compression
  • Demande de changement du master password

Passer l’outil en francais

A l’installation keepass est en anglais, il est possible de le passer dans une autre langue. Pour cela, une archive par langue est disponible au niveau de la section :

https://keepass.info/translations.html

L’archive Zip téléchargée contient un fichier de langue French.lngx qu’il faut copier dans le répertoire :    C:\Program Files (x86)\KeePass Password Safe 2\Languages

Après cela, il est possible de changer la langue à travers le menu :

Keepass doit ensuite être fermé.

Comment ranger vos mots de passe :

Il est maintenant possible d’utiliser l’outil pour stocker vos mots de passe. Il faut créer une « entry » par compte à stocker. Keepass permet de générer pour vous un mot de passe robuste. il est possible de personnaliser la complexité du mot de passe qui est généré.

Keepass intégre un mécanisme qui permet de classer vos comptes mais qui permet également de dérouler une recherche.

Il est possible de faire des groupes au niveau de Keepass pour ranger dans différents vos groupes.

Ainsi il est facile de faire une arborescence pour ranger ses identifiants :

  • Banque
  • Réseaux sociaux
  • Exchange de fichiers
  • Emails
  • …..

DDE le retour

DDE pour Dynamic Data Exchanges était une solution permettant de lier des données entre deux documents offices. Deux chercheurs de la société SensePost ont récemment publiés un PoC ( Preuve de concept en français) permettant d’utiliser DDE pour exécuter du code (Dans l’exemple présenté, une simple calculatrice,). Le problème a évidement été remonté à Microsoft qui répond que ce point n’est pas une vulnérabilité mais une fonctionnalité du produit. Ce point de faiblesse est évidement utilisé par des malware actuellement pour procéder à une phase de téléchargement de fichier au moment de l’ouverture d’un document Office.

Méfiance donc, même sans macro, un document Office peut être malveillant pour votre système d’information.

Source média :

https://threatpost.com/legacy-office-feature-used-in-novel-document-attacks/128420/

 

Hardening de vos serveurs

Contexte

L’analyse de la configuration d’un serveur linux est une tache longue et fastidieuse. Cette lecture doit être différente en fonction de la distribution et de paramètres dans différents fichiers (Exemple pour snmp où la configuration est entregistrée dans les fichiers /etc/default/snmpd et /etc/snmpd/snmpd.conf).

De plus, sur un large périmètre dans le cadre d’une entreprise, cette opération de lecture est à dérouler sur plusieurs serveurs.

L’outil Lynis vous permet de contrôler la configuration, vous propose des paramètres pour améliorer le niveau de sécurité de votre distribution et permet de scanner plusieurs machines.

L’outil s’installe très facilement avec apt-get sous les distributions Debian.

 

Installation

#>apt-get install lynis

Le démarrage de l’outil est ensuite réaliser simplement avec la commande

#>lynis audit system

 

L’outil vous propose ensuite une liste de préconisations :

 

Il est possible de réaliser un export de ces résultats dans une fichier de logs.

 

Liens

 

Nginx avec libmodsecurity et les core rules OWASP

 

Documentation d’installation et d’exploitation pour  Nginx avec libmodsecurity et les core Rules OWASP. L’objectif de cette documentation est de vous présenter l’installation de nginx pour vous permettre de renforcer la la sécurité de vos applications.

 

Libmodsecurity est une réécriture de ModSecurity qui délivre de meilleurs performances et une plus grande stabilité.

 

https://www.howtoforge.com/tutorial/nginx-with-libmodsecurity-and-owasp-modsecurity-core-rule-set-on-ubuntu-1604/

OWASP TOP 10 de 2017 disponible

La dernière version datant de 2013, voici la nouvelle version de 2017

https://www.owasp.org/index.php/Top_10_2017

© 2019 Blog security-db

Theme by Anders NorénUp ↑