Question:
Est-il normal que les auditeurs exigent tous les mots de passe de l'entreprise?
Zachary Iles
2017-10-25 22:20:55 UTC
view on stackexchange narkive permalink

Mon entreprise est actuellement engagée dans un audit de sécurité encadré comme un pentest. Ils ont demandé tous les mots de passe administrateur pour chacun de nos services et tout le code source de notre logiciel. Ils veulent des connexions pour Google Apps, les processeurs de cartes de crédit, GitHub, DigitalOcean, les informations d'identification SSH, l'accès à la base de données et bien plus encore. Notez que nous n'avons jamais signé un seul NDA (mais nous avons reçu un énoncé de travail) et je suis très réticent à leur fournir ces informations à cause de cela.

Est-ce normal pour un pentest? J'ai supposé que ce serait principalement une boîte noire. Comment dois-je procéder?

"MISE À JOUR * Nous avons maintenant une NDA. Le contrat stipule cependant que nous ne pouvons pas les tenir responsables de quoi que ce soit. Vous ne savez toujours pas si c'est la bonne décision pour continuer D'après mon expérience, leurs demandes ne sont pas normales, même dans les audits en boîte blanche, et leur énoncé de travail se lit d'une manière qui n'indique pas clairement s'il s'agit d'un audit en boîte blanche ou en boîte noire.

Étroitement lié: [Notre auditeur de sécurité est un idiot.Comment lui donner les informations qu'il souhaite?] (Https://serverfault.com/questions/293217/our-security-auditor-is-an-idiot-how-do-i-give-him-the-information-il veut)
En relation: https://security.stackexchange.com/questions/147125/network-administrator-knowing-all-user-passwords
Hé, je veux auditer votre entreprise: envoyez-moi tous vos mots de passe d'administrateur.Modifiez simplement votre question pour les lister tous ...
Attends quoi?Vous n'avez jamais signé de NDA avec cette société de sécurité?Reculez maintenant et faites signer cette NDA avant même d'aller de l'avant.Il me semble que c'est une fausse entreprise se faisant passer pour une vraie, pour voir si elle peut obtenir des informations de votre part.S'il s'agit d'une véritable entreprise légitime, l'auditeur essaie de voir si vous êtes assez stupide pour fournir ces informations.Si vous en fournissez ne serait-ce qu'un peu, vous avez échoué à l'audit.Cependant, cela n'est incroyablement pas professionnel et ne devrait jamais arriver.
Ceci est le premier test.
Alertez votre équipe de direction et de sécurité.
Je suis pentester depuis cinq ans.Nous ne touchons à rien tant que nous n'avons pas mis en place une portée, un calendrier, un contrat signé et une NDA convenus.Ces formalités protègent ** les deux parties ** et personne ne doit remettre de données ni toucher à des systèmes tant qu'ils ne sont pas correctement complétés.Toute personne qui demande ce type d'informations sans accords juridiques en place et sans nécessité absolue d'accès est (au mieux) une responsabilité technique et juridique massive envers elle-même, son organisation et la vôtre.Restez loin de ces cow-boys.
Notre produit était régulièrement testé (chaque semestre) par une entreprise de bonne réputation, et tous les six mois, ils demandaient des informations d'identification pour quelque chose ou l'autre.Donc, tous les six mois, nous leur envoyons un smiley, ou un lien vers la fin d'Internet, ou quelque chose de similaire.Nous avons toujours réussi :) Pour nous au moins, c'était une partie normale du test, l'objectif étant de voir si notre équipe était capable de reconnaître l'ingénierie sociale.Votre responsable peut en être conscient mais ne vous le dit pas pour des raisons évidentes, comme ce fut le cas avec nous.
** Si vous leur avez déjà donné des informations d'identification, traitez-le comme s'il s'agissait d'une véritable faille de sécurité **.Si ce n'est pas une vraie entreprise, c'est ce que vous devez faire;s'ils le sont, c'est ce qu'ils espèrent que vous ferez.
Si vous leur donnez des mots de passe, ce ne sont plus des tests d'intrusion ... ils utilisent simplement les mots de passe que vous leur avez donnés.
Nous avons eu des pentesters de la visite de notre société mère.On nous a dit de coopérer pleinement.Ils voulaient un accès aux systèmes et un accès administrateur.Bien.Ensuite, ils ont saisi les fichiers de mots de passe et les ont affichés comme des "trophées".Leur parole, pas la nôtre.Nous avons échoué parce que nous n'étions pas censés leur apporter le soutien qu'on nous avait dit de leur apporter.
Non, mais faire une fissure dans le dictionnaire sur les mots de passe cryptés me convient.
* Nous avons maintenant un NDA.Le contrat dit cependant que nous ne pouvons pas les tenir responsables de quoi que ce soit. * Comment une NDA pourrait-elle être une véritable NDA si elle ne peut être tenue responsable de quoi que ce soit?
@Walfrat ouais, c'est très inquiétant.OP, cela signifie-t-il que vous allez de l'avant avec cette entreprise?
@Zachary Iles: quelle est la mise à jour de votre cas?
Sept réponses:
Conor Mancone
2017-10-25 22:41:51 UTC
view on stackexchange narkive permalink

Est-ce normal pour un pentest?

Absolument pas . Meilleur scénario: ils effectuent des tests de pénétration «d'ingénierie sociale» et veulent voir si vous pouvez être poussé à accomplir une action très dangereuse. Scénario intermédiaire, ils ne savent pas comment faire leur travail. Dans le pire des cas, ils prétendent seulement être une société d'audit et répondre à leur demande entraînera une violation coûteuse.

Dans le cas d'un audit de code, l'entreprise aura évidemment besoin d'accéder au code source. Cependant, je m'attendrais à ce qu'une entreprise qui fournit de tels services comprenne déjà la sensibilité d'un tel besoin et dispose de beaucoup de formulaires à signer et propose de travailler dans un environnement strictement contrôlé. Une entreprise de sécurité réputée se souciera non seulement de vous protéger (car c'est son travail), mais aussi de se protéger des clients indignes de confiance (notre code source a été divulgué juste après que nous vous ayons embauché: nous poursuivons !!!!) . Tout cela pour dire: toute entreprise de sécurité réputée qui ne vous fait pas signer beaucoup de contrats avant d'aller travailler n'est pas une entreprise de sécurité réputée.

Je ne peux imaginer aucune circonstance dans laquelle céder l'accès à n'importe laquelle de ces choses serait une bonne idée.

Modifier RE: contrats cachés

Quelques-uns ont suggéré que l'entreprise n'aurait tout simplement pas dit au PO sur tous les contrats / accords / NDA pertinents. Je suppose que c'est possible, mais je tiens à préciser que l'absence de contrat n'est pas le seul signal d'alarme que je vois.

En tant que personne qui a créé des sites de commerce électronique et des logiciels d'entreprise nécessitant une intégration avec de nombreux processeurs CC, je ne vois absolument aucun avantage à donner à quelqu'un d'autre l'accès à votre processeur CC. À ce moment-là, ils ne testent plus la pénétration de vos systèmes: ils testent la pénétration des systèmes de quelqu'un d'autre que vous utilisez. En effet, donner des identifiants d'accès d'une telle manière viole probablement les conditions de service que vous avez signées lorsque vous avez commencé à utiliser votre processeur CC (sans parler des autres systèmes auxquels ils demandent l'accès). Donc, à moins que vous n'ayez l'autorisation de votre processeur CC pour transmettre vos informations d'identification à une société d'audit de sécurité (indice: ils ne vous donneront jamais l'autorisation), leur donner cet accès est une énorme responsabilité.

Beaucoup d'autres ici ont fait un excellent travail en articulant les différences entre les tests en boîte blanche et en boîte noire. Il est certainement vrai que plus vous donnez d'accès aux auditeurs de sécurité, plus ils peuvent faire leur travail efficacement. Cependant, un accès accru s'accompagne d'une augmentation des coûts: à la fois parce qu'ils facturent plus pour un contrôle plus approfondi, et aussi des coûts accrus en termes de responsabilité accrue et de confiance accrue que vous devez étendre à cette entreprise et à ses employés. Vous parlez de leur donner librement un contrôle complet sur tous les systèmes de votre entreprise. Je ne peux imaginer aucune circonstance dans laquelle j'accepterais cela.

Entièrement d'accord.Au mieux, j'espère que c'est une façon maladroite de prouver un point sur l'ingénierie sociale.Mais même dans ce cas, je ne ferais pas affaire avec une telle entreprise.toute entreprise réputée aura un contrat, une NDA et diverses assurances pour vous protéger, vous et eux, avant de commencer un engagement comme celui-ci.
Bonne réponse.OP peut également avoir des obligations envers ses autres fournisseurs de services * non * de partager son mot de passe avec d'autres parties.Cela dit, il * peut * être acceptable de créer un nouveau compte utilisateur spécifiquement pour les testeurs de stylos, avec leur propre mot de passe qu'ils géreraient, avec des autorisations limitées, au cas par cas.
@jesseM Une possibilité restante est que les contrats et les NDA soient signés et que l'OP ne le sache pas.Nous avons eu des situations où nous ferions des tests au stylo qui ont été effectués à l'insu ou avec différents types de connaissances limitées des participants.(C'est-à-dire que seuls le PDG, le CSO et le CIO le sauraient. Il est très difficile de le faire correctement et il doit y avoir de très bons processus d'escalade dans l'organisation, sinon vous risquez beaucoup de problèmes lorsque les gens ne réagissent pas correctementet les choses cessent de fonctionner.)
@DRF même dans le contexte du PO ne sachant pas les contrats, ces demandes sont déraisonnables.Accès à leur processeur CC?Je ne vois aucune raison pour laquelle un vérificateur de la sécurité en aurait besoin.C'est un énorme handicap pour les deux parties.Même si vous essayez de vérifier qu'ils suivent les meilleures pratiques en matière de traitement CC, vous n'avez pas besoin d'accéder à leur processeur CC pour ce faire, et demander l'accès est une violation * claire * des meilleures pratiques.Ils demandent trop d'articles très sensibles pour que cela soit autre chose que mauvais.
@ConorMancone Oh, ils sont certainement déraisonnables mais pourraient faire partie d'un pentest social "normal".Cela me semble une mauvaise façon de le tester.La plupart des gens renonceront si vous en voulez autant.La manière intelligente est de ne vouloir que quelques choses qui sont beaucoup plus crédibles.
@DRF un test de pénétration d'ingénierie sociale est certainement l'explication la plus charitable, mais c'est certainement une mauvaise façon de le faire.Comme vous le dites, cela rend les choses plus évidentes.De plus, je choisirais des services moins critiques: NDA ou pas la dernière chose que je veux, c'est que quelqu'un m'envoie les informations d'identification à leur processeur CC.
@ConorMancone, sans vraiment savoir s'il existe un contrat et ce qu'un tel contrat pourrait spécifier sur ce qui est dans le champ du test, nous ne pouvons pas dire si la demande est valide ou non.L'entité qui a engagé l'entreprise de sécurité a peut-être précisé qu'elle devrait essayer d'accéder à ces informations auprès des employés.Je suis d'accord avec DRF pour dire que cela ressemble à une approche du club, mais nous ne savons pas non plus si l'OP représente les demandes avec précision.Peut-être que c'étaient des demandes distinctes au fil du temps que le PO a finalement compris qu'il ne devrait peut-être pas fournir?Nous ne savons tout simplement pas.
Pour ajouter à votre deuxième de la dernière phrase;il est rare qu'une personne dans une grande entreprise de chiffre d'affaires ait accès à toutes les clés du royaume simultanément sans la surveillance d'autres hauts fonctionnaires.En partie à cause des problèmes de sécurité, mais principalement parce que personne n'a vraiment besoin de tout à la fois.
J'ai eu un audit de sécurité où ils ont vérifié une variété de services s'ils étaient installés en toute sécurité.La seule chose qui en est ressortie est une application de développement Google mal configurée qui aurait pu théoriquement être utilisée contre nous.Quoi qu'il en soit, cela a été fait par une personne qui est venue s'asseoir dans notre bureau et un de mes collègues se connectait pour lui.Je peux cependant * imaginer * (sans dire que c'est une bonne chose) qu'une entreprise distante le fasse en demandant des mots de passe.
@DavidMulder C'est en fait un service très précieux: à titre de comparaison, il est amusant de chercher sur Google "une autre fuite d'amazon aws" pour voir toutes les instances de personnes qui fuient des informations critiques à cause de configurations d'hébergement mal configurées.Cela étant dit, je ne pense pas que la transmission de mots de passe soit le moyen de résoudre ce problème.Si cela se résumait à cela, je pense qu'il serait préférable de les laisser se connecter à distance à un ordinateur de bureau et de regarder tout ce qu'ils font.Ce serait de toute façon une expérience d'apprentissage plus précieuse comme celle-là.
Franchement, s'il s'agit d'une tentative de démontrer le danger de l'ingénierie sociale, c'est toujours très discutable, les pentests et les audits ne sont pas une formation des utilisateurs.Demander des informations d'identification à une partie informée n'est pas de l'ingénierie sociale.
Arminius
2017-10-25 22:58:41 UTC
view on stackexchange narkive permalink

Comment dois-je procéder?

Ne continuez pas avec eux. Leur façon d'agir n'est pas professionnelle. Les pentests comportent des risques pour les deux parties, et il ne semble pas qu'ils aient fait quoi que ce soit pour y remédier.

Premièrement, vous ne devez absolument rien remettre sans un contrat écrit (y compris un NDA). C'est surprenant qu'ils fassent régulièrement des affaires comme ça. Comment connaissent-ils la portée exacte? Sous quelles conditions sont-ils payés? Vont-ils simplement clamer qu'ils ont «fini» à un moment donné ou y a-t-il un calendrier? Obtenez-vous un rapport approprié? Qui paie s'ils causent des dommages? Sont-ils assurés au cas où ils perdraient vos identifiants au profit d'un tiers? Comment saurez-vous si une future violation fait partie du test ou une attaque réelle par quelqu'un d'autre? Même si vous leur faites confiance, il faut certainement répondre à ces questions avant de lancer un pentest.

Et ce n'est pas seulement vous, ils se mettent en danger. Si vous n'avez jamais clarifié la portée, ils pourraient attaquer certains de vos systèmes sans autorisation, avec des implications juridiques potentielles.

J'ai supposé que ce serait principalement une boîte noire.

Les tests en boîte noire et blanche sont courants et chaque approche a ses propres avantages. Mais si le mode de test n'est jamais apparu, il semble qu'il n'y ait jamais eu de discussion sur ce qui devrait être réalisé en effectuant un pentest en premier lieu. Un entrepreneur professionnel vous aurait aidé à trouver les bonnes conditions et méthodes.

(Une excellente première question à un entrepreneur potentiel est de lui demander un exemple de rapport de pentest. Cela vous donnera une première idée de la façon dont ils fonctionnent et à quels résultats vous pouvez vous attendre.)

countrhack
2017-10-26 02:11:21 UTC
view on stackexchange narkive permalink

Avant tout test de pénétration, il doit y avoir un ou des documents de portée et de règles d'engagement signés par les deux parties. Ces documents doivent décrire en détail ce qui sera testé et les méthodes convenues entre votre entreprise et l'entrepreneur. Si vous n'avez pas encore discuté avec votre sous-traitant, mettez fin à l'engagement et recherchez d'autres professionnels.

En tant que testeur d'intrusion, j'ai demandé aux entreprises de fournir des comptes ou des ordinateurs portables qu'elles fourniraient à un utilisateur normal. Cela permet de tester du point de vue d'un employé malveillant. Cependant, tout cela est convenu avant le test dans la portée et les règles d'engagement.

Juste mes 2 centimes.

rockower
2017-10-26 02:42:29 UTC
view on stackexchange narkive permalink

JAMAIS JAMAIS !!

Nous faisons un pentest complet à mon travail. Il a été explicitement déclaré par les pentesters qu'ils n'ont même pas besoin du login / mot de passe pour quoi que ce soit. Nous avons déclaré que c'était génial car nous ne leur avions jamais rien divulgué avant. Il existe 3 principaux types de pentests: boîte blanche, boîte grise, boîte noire.

La boîte blanche c'est que vous leur donnez toutes les informations et qu'ils trouvent des problèmes avec votre logiciel, votre réseau, etc.

Gray Box, c'est que vous leur donnez quelques détails sur ce que vous voulez qu'ils testent. Nous l'avons utilisé car ils n'avaient aucune idée du FAI externe sans fil que nous utilisions. Nous leur avons dit de faire d'abord un test externe, alors nous leur avons donné quelques adresses IP et ils sont facilement entrés par effraction.

Black Box est que vous ne leur fournissez rien et qu'ils doivent tout trouver par eux-mêmes. Après cela, ils peuvent faire leur pentest sur les adresses IP externes. Pour les tests internes, c'est différent. Ils seront à l'intérieur de votre réseau exécutant nmap et d'autres analyses intenses sur chaque cible qu'ils rencontrent. C'est le plus difficile, mais le meilleur à mon avis.

«Nous leur avons dit de faire d'abord un test externe, nous leur avons donc donné quelques adresses IP et ils ** ont facilement pénétré **.»- Où travaillez-vous?
@Daniel Vous voulez dire, "Quelle est votre adresse IP", n'est-ce pas?:)
@BenjiWiebe Je vois ce que vous avez fait là-bas, mais je n'oserais pas emprunter des chemins aussi ombragés.J'ai demandé que le nom de la société leur échappe;Je n'ai aucune envie de pénétrer qui que ce soit car c'est contre ma nature.
Le rodage d'@Daniel n'est que la première étape.Exploiter les trous trouvés est une autre étape.Essayez de hameçonner votre propre entreprise.Mettez en œuvre des politiques et appliquez-les.Je travaille pour le gouvernement de l'État.
@Daniel "Je n'ai aucune envie de pénétrer qui que ce soit car c'est contre ma nature."je vois ce que tu as fait là
YLearn
2017-10-26 04:00:17 UTC
view on stackexchange narkive permalink

Mon entreprise est actuellement engagée dans un audit de sécurité sous la forme d'un pentest.

et

Remarque, nous n'avons jamais signé de un NDA ou un autre contrat avec eux pour le moment, et je suis très réticent à leur fournir ces informations à cause de cela.

L'utilisation de "engagé" dans ce contexte implique une définition de " conclure un contrat pour faire quelque chose. " Cela me laisse me demander si les déclarations contradictoires sont accidentelles ou si vous n'êtes pas l'entité au sein de votre entreprise qui a engagé la société de sécurité.

Dans ce dernier cas, il peut très bien y avoir des contrats / accords dont vous étiez pas mis au courant. Ce ne serait pas inhabituel, car de nombreux tests de pénétration auxquels j'ai été soumis dissimulent les détails spécifiques du test aux employés afin qu'ils ne prennent aucune mesure "anormale" pour se protéger contre le ou les tests.

Si tel est le cas, alors faites avec la requête ce que vous feriez normalement avec une telle requête. Dites-leur «non» et s'ils repoussent («mais il est nécessaire que nous effectuions le test d'intrusion»), exécutez la demande (par écrit) jusqu'à votre superviseur en vous faisant part de vos préoccupations. Si votre superviseur vous dit (par écrit) de divulguer cette information, vous devriez alors être en clair car il pourrait avoir une meilleure compréhension du test que vous. Si vos supérieurs ne sont pas clairs, montez plus haut dans la chaîne de commandement et / ou faites pression pour qu'ils demandent des conseils à l'entité qui a engagé la société de sécurité.

Cependant, si vous êtes l'entité qui a engagé la société de sécurité, j'aurais (comme les autres réponses ici) de sérieuses inquiétudes. Si vous pensez que cela peut encore valoir la peine d'être poursuivi (ou si vous craignez qu'ils fassent une sorte de "rupture de contrat"), alors je vous suggère d'utiliser un moyen d'évaluer s'il s'agit d'un test d'ingénierie sociale. Par exemple, vous pouvez générer une liste de faux comptes d'administrateur et mots de passe. Fournissez-leur ceci, dites que vous travaillez toujours sur le reste, et vous les enverrez comme il est prêt. Ensuite, voyez comment ils réagissent.

S'il ne s'agit que d'un test d'ingénierie sociale, tout ce dont ils ont besoin est de voir la preuve de la fuite de ce type d'informations (que vous pourrez montrer plus tard comme de faux comptes). Une entreprise de sécurité responsable ne devrait plus avoir besoin des informations demandées et devrait vous empêcher de les fournir ("En regardant ce que vous avez fourni, je pense que cela devrait être suffisant pour nous permettre de continuer; ne vous inquiétez pas du reste à moins qu'il ne tourne nous en avons vraiment besoin »). S'ils n'arrêtent pas d'autres informations, désengagez immédiatement.

Plus d'informations ne pourraient que jeter les soupçons sur les pénétrations qu'ils effectuent à partir de ce moment (c'est-à-dire qu'il est facile de pénétrer dans un système si vous avez un accès administrateur) et / ou les exposer à d'éventuelles poursuites en matière de propriété intellectuelle (par exemple, une fuite de code source, etc.).

Les faux comptes et mots de passe sont une excellente suggestion.Ils seraient encore plus efficaces s'ils étaient des comptes qui les ont conduits dans un pot de miel, afin que vous puissiez les surveiller pour les abus.
Greenstone Walker
2017-11-02 07:24:55 UTC
view on stackexchange narkive permalink

Pour aborder la question sous un angle légèrement différent:

Êtes-vous le PDG ou le CTO?

Non? Alors ne donnez aucun mot de passe aux auditeurs. Jamais.

Composez un dossier d'information et transmettez-le à votre responsable informatique, directeur technique, PDG ou autre. Pour le dire franchement, c'est leur travail de prendre ce genre de décisions (et d'en prendre les conséquences), pas les vôtres.

Si votre patron dit: "Non, vous l'envoyez." puis répondez: "En tant qu'employé, je ne suis pas à l'aise de divulguer des informations aussi dangereuses à un tiers."

Si vous êtes, en fait, le CTO, alors suivez les réponses ci-dessus.

Vous pouvez également ajouter par écrit que votre * conseil professionnel * ne consiste pas à divulguer les informations d'identification, mais que vous respectez le fait que c'est la décision du PDG.
Tom
2017-10-26 17:51:55 UTC
view on stackexchange narkive permalink

Validez vos hypothèses.

S'il s'agit d'un test de boîte noire, ils ne devraient pas obtenir ou exiger de mot de passe quel qu'il soit.

Si cela est censé être une configuration examen, ou tests de boîte blanche, certains mots de passe doivent être remis. La procédure correcte est de les changer avant le test en quelque chose d'unique (chaîne aléatoire), puis de les modifier à nouveau après le test.

Vérifiez auprès de votre direction et demandez explicitement si les NDA et les contrats appropriés ont été signés.

Est-ce normal pour un pentest?

Le scénario tel que vous l'avez décrit est inhabituel, mais pas totalement invraisemblable. Tout dépend de ce qui a été exactement convenu pour la portée et les activités du test.

J'ai supposé que ce serait principalement une boîte noire. Comment dois-je procéder?

Renseignez-vous auprès du responsable responsable de la signature de cette équipe de pentesting. Votre RSSI ou CSO ou responsable informatique ou qui que ce soit. Exprimez vos préoccupations et demandez si cette approche a été acceptée.

Donner des mots de passe / code source

Personnellement, je ne donnerais aucun mot de passe ou code source à quiconque sans NDA signé. Je ne leur donnerais jamais, jamais, les mots de passe réels. Dans tous les pentests dans lesquels j'ai été impliqué, des deux côtés en tant que client et chef de projet (je ne suis pas un pentester, mais j'ai géré des pentesters), il y avait toujours des comptes utilisateurs créés pour le pentest et les mots de passe changés. Nous recommandons même à nos clients de les modifier une fois le test terminé (certains non, c'est toujours une triste constatation pour le prochain rapport).

Force du mot de passe

Quant à ce que certaines réponses ont écrit sur «l'évaluation de la force du mot de passe» - c'est une charge de foutaise. Oui, il y a une «meilleure pratique» sur les bons mots de passe, qu'un type a sorti de nulle part il y a quelques décennies et est terriblement désolé pour aujourd'hui. Tous les calculs sur le sujet sont pleins de trous et d'hypothèses non vérifiées et de nombreuses politiques de mots de passe réduisent en fait l'espace de recherche au lieu de l'agrandir. Le seul vrai test pour la force des mots de passe comporte deux parties: Premièrement, obtenir les quelque 10 000 mots de passe les plus importants de l'une des quelque 20 listes qui flottent sur Internet et les utiliser comme liste noire. Deuxièmement, exécutez le même logiciel de piratage que les méchants (la plupart sont des logiciels libres) sur vos hachages de mots de passe. Si votre instance de John la déchire, la leur le fera aussi.

la plupart de ceci est couvert par les autres réponses - votre section de force de mot de passe est basée sur une hypothèse erronée;si le même mot de passe administrateur est utilisé à plusieurs endroits, ce n'est pas un mot de passe fort, par exemple - et oui, les audits de mot de passe automatisés font exactement ce que vous avez décrit, donc je ne sais pas où vous allez avec ce `` contre-argument ''


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...