ICANN : réinitialisation des mots de passe suite à une probable fuite de données

ICANN : réinitialisation des mots de passe suite à une probable fuite de données

Yes, ICANN

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

06/08/2015 3 minutes
100

ICANN : réinitialisation des mots de passe suite à une probable fuite de données

L'ICANN pense qu'elle a de nouveau été victime d'un vol de données. Les identifiants de comptes utilisateurs sont concernés et, par mesure de précaution, les mots de passe doivent être changés.

Fin décembre, l'ICANN était victime d'une attaque par phishing, qui s'était soldée par un succès pour les pirates qui avaient réussi à dérober des données personnelles comme les nom, prénom, adresse postale, email, numéro de téléphone, nom d'utilisateur et mot de passe haché et salé.

Sept mois plus tard, rebelote : « L'ICANN a des raisons de croire qu'au cours de la semaine dernière, les noms d'utilisateur/adresses e-mail et mots de passe chiffrés des comptes utilisateurs créés sur le site web public ICANN.org ont été récupérés par une personne non autorisée ». La Société pour l'attribution des noms de domaine et des numéros sur Internet précise qu'on trouve sur les profils des informations comme les préférences d'utilisation du site, des centres d'intérêt, la biographie publique, les inscriptions aux lettres d'information, etc. 

L'ICANN ajoute que l'enquête est toujours en cours, mais que ces données « semblent avoir été obtenues à la suite d'un accès non autorisé à un prestataire externe ». Les mots de passe sont chiffrés, hachés et salés, ce qui complique grandement leur décryptage, « mais par mesure de précaution nous exigeons que tous les utilisateurs réinitialisent leur mot de passe » indique l'organisme. Pour cela, il faut se rendre par cette page.

Comme toujours en pareille situation, il faudra être prudent au risque d'une attaque par phishing, potentiellement soutenue par les informations volées. Si vous avez utilisé le même mot de passe sur d'autres services, l'ICANN recommande de les changer aussi. Comme nous le rappelons régulièrement, elle ajoute que, « de manière générale, vous devriez éviter de réutiliser des mots de passe sur plusieurs sites ».

Quoi qu'il en soit, la sécurité de cet organisme qui s'occupe de la régulation d'Internet soulève des questions avec deux fuites de données en l'espace de sept mois. Si la seconde n'est pour le moment pas confirmée à 100 %, le fait qu'il publie une alerte officielle sur son site ne laisse finalement que peu de place au doute. Pour rappel, l'ICANN avait déjà renforcé sa sécurité début 2014, et, suite à l'attaque de l'année dernière, elle avait « mis en place des mesures de sécurité supplémentaires ». Mais, dans les deux cas, il s'agit d'une attaque détournée : phishing sur ses membres et prestataires externes, deux maillons qui sont souvent des points faibles, et pas uniquement pour l'ICANN.

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Commentaires (100)


Question : les hackers voient que les MDP sont hachés et salés. Pourquoi les prendre alors que les autres infos semblent exploitables rapidement et à moindre frais ?




et mot de passe haché et salé.

Et bon appétit! <img data-src=" /> <img data-src=" />



hashé ?


Non, haché. <img data-src=" />








linkin623 a écrit :



Question : les hackers voient que les MDP sont hachés et salés. Pourquoi les prendre alors que les autres infos semblent exploitables rapidement et à moindre frais ?







Parce que souvent ce n’est pas qu’une intention de nuire spécialement à une structure, mais aussi et surtout de taper sur un acteur important pour faire parler d’eux dans le milieu underground.

J’ajoute que sniffer à l’aveugle une BDD de hashs de mdp est nettement plus rapide que de récupérer des centaines de Gio sur toute une infra’.



Il ne faut pas voir ces groupes de hackers comme des abrutits ou des communautés ultra-soudées. Il y a un très forte “concurrences” entre les différents groupes, et très souvent il s’agit juste de coups d’éclats, rien de plus.



Ensuite les données sont soit rendues publiques, soit réutilisées dans des cas très particuliers pour du phishing sur des cibles précises, soit plus rarement monnayées selon le groupe et l’importance des dites-données.









linkin623 a écrit :



Question : les hackers voient que les MDP sont hachés et salés. Pourquoi les prendre alors que les autres infos semblent exploitables rapidement et à moindre frais ?





Ils ne le savent peut être pas à ce moment. Sans sel, et avec une rainbow table, certains mdp peuvent être devinés.



Après, avec la liste des noms prénoms et emails, une bonne attaque phishing et ils récupèrent également les mdp manquants. La totale.







John Shaft a écrit :



Non, haché. <img data-src=" />





thx <img data-src=" /> et un anglicisme corrigé, un ! (bon par contre… )



tu vas pas en faire un plat !

<img data-src=" />








philanthropos a écrit :



Parce que souvent ce n’est pas qu’une intention de nuire spécialement à une structure, mais aussi et surtout de taper sur un acteur important pour faire parler d’eux dans le milieu underground.

J’ajoute que sniffer à l’aveugle une BDD de hashs de mdp est nettement plus rapide que de récupérer des centaines de Gio sur toute une infra’.



Il ne faut pas voir ces groupes de hackers comme des abrutits ou des communautés ultra-soudées. Il y a un très forte “concurrences” entre les différents groupes, et très souvent il s’agit juste de coups d’éclats, rien de plus.



Ensuite les données sont soit rendues publiques, soit réutilisées dans des cas très particuliers pour du phishing sur des cibles précises, soit plus rarement monnayées selon le groupe et l’importance des dites-données.





Et aussi parce que très souvent les mots de passes des utilisateurs sont très facile à retrouver par bruteforce.



pas si ils sont haché et salé (<img data-src=" />)









edit : j’ai rien dit, je viens de mieux comprendre, après oui dans ce cas le snifage de BDD pour récupérer les ID peut amener a un bruteforce








toune a écrit :



Et aussi parce que très souvent les mots de passes des utilisateurs sont très facile à retrouver par bruteforce.







Oui bon ça, si la plupart des gens choisissent leurs mdp comme des abrutis profonds, ce ne peut qu’être bien fait pour leur gueule vu depuis combien d’années on rabâche partout qu’il faut en faire des “complexes et différents”.



Je n’irais pas plaindre le type qui se fera avoir à cause de ça <img data-src=" />



Pourquoi les acteurs du Web ne chiffrent pas aussi les autres données personnelles. Ça limiterai d’autant plus les problèmes de phishing. Surtout vu le surcout cpu que ça implique.


On est en train de se couper les cheveux en 4 ! hu hu hu !


Je ne me suis jamais inscrit chez ICANN, et la plupart des infos de mes domaines sont gérées par mon prestataire de NDD, et de ce que je sais, il n’est pas nécéssaire d’avoir un compte ICANN pour faire des modifs, le prestataire intermédiare étant là pour ça justement.



Les comptes piratés seraient donc des compte d’entreprise et de registrar ?








philanthropos a écrit :



Je n’irais pas plaindre le type qui se fera avoir à cause de ça <img data-src=" />





C’est ce je me dis à chaque épisode du Zap de Spion… Darwin… tout ça ! <img data-src=" />









Origami a écrit :



Pourquoi les acteurs du Web ne chiffrent pas aussi les autres données personnelles. Ça limiterai d’autant plus les problèmes de phishing. Surtout vu le surcout cpu que ça implique.







Car, à la différence des mots de passe (qui sont hachés, donc théoriquement à sens unique), tu dois pouvoir retrouver le clair de ces informations. Ça implique donc que la clef de déchiffrement doit bien se trouver quelque part (généralement sur le serveur du coup), donc, en cas d’attaque, il y a de fortes chances que cette clef soit aussi compromise (et surtout, tu trouves assez facilement des couples clair/chiffré ce qui facilite les attaques).



De plus, les attaques classiques sont normalement moins efficaces sur des données “aléatoires” (mot de passe) que sur des données plus classiques (type de rue, nom de ville, nom/prénom, etc)









JoePike a écrit :



tu vas pas en faire un plat !

<img data-src=" />









KP2 a écrit :



On est en train de se couper les cheveux en 4 ! hu hu hu !







Si j’avais voulu être casse pied, j’aurais dit “condensé”, puisque le résultat de ce genre de fonction est un condensat <img data-src=" />



<img data-src=" /> <img data-src=" /> <img data-src=" /> <img data-src=" />



Cryptolecte va <img data-src=" />








philanthropos a écrit :



Oui bon ça, si la plupart des gens choisissent leurs mdp comme des abrutis profonds, ce ne peut qu’être bien fait pour leur gueule vu depuis combien d’années on rabâche partout qu’il faut en faire des “complexes et différents”.



Je n’irais pas plaindre le type qui se fera avoir à cause de ça <img data-src=" />





ya pleins d’abrutis qui sont obligés par d’autres abrutis de choisir un mdp entre 6 et 12 caractères, sans caractères spéciaux, ou justes numériques, car les abrutis qui ont pondu ces logiciels et ces règles étaient des abrutis <img data-src=" />



Parce que les mots de passe faible peut être extrait, même haché et salé.

&nbsp;


<img data-src=" />


et puis y’a aussi des abrutis qui pensent que mettre un mot de passe complexe et impossible a mémoriser va concurrencer la puissance de calcul d’une machine…

&nbsp;



&nbsp;#entropie #motdepasse








saf04 a écrit :



et puis y’a aussi des abrutis qui pensent que mettre un mot de passe complexe et impossible a mémoriser va concurrencer la puissance de calcul d’une machine…

 



 #entropie #motdepasse







Quelle est la puissance de calcul requise pour trouver un mdp de 32 caractères ?



si ton mot de passe c’est “AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA”

&nbsp;

un dual core tout bete devrait faire le boulot.








saf04 a écrit :



si ton mot de passe c’est “AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA”

 

un dual core tout bete devrait faire le boulot.







On voit que tu maitrises le sujet ^^



pas vraiment, mais je trolle.

tout comme les gars qui pensent que “KeV-i_N1978” est un bon mot de passe.

&nbsp;

&nbsp;

&nbsp;sauf que moi je sais que je trolle…..








saf04 a écrit :



pas vraiment, mais je trolle.

tout comme les gars qui pensent que “KeV-i_N1978” est un bon mot de passe.

 

 

 sauf que moi je sais que je trolle…..







C’est pas comme si c’était hyper flagrant que tu étais en train de troller ^^



tant que je peche pas a la dynamite….








saf04 a écrit :



et puis y’a aussi des abrutis qui pensent que mettre un mot de passe complexe et impossible a mémoriser va concurrencer la puissance de calcul d’une machine…

 



 #entropie #motdepasse







Clairement un mot de passe long avec des caractères AlphaNumérique & spéciaux, et d’au moins 1214 caractères ne pourra être cracké qu’avec beaucoup de temps & d’énergie.



En fait, ça n’a strictement aucun intérêt de TENTER de le casser sauf à ce que le type soit à un poste clé dans une boite, politicien ou autre.



Tu sais le BruteForce ou les RainbowTables ont clairement leur limites, et oui un bon mot de passe ne fait pas que concurrencer la puissance de traitement d’une machine, il lui met carrément dans l’anus <img data-src=" />



Tout dépend l’algorithme qui est utilisé en fait.

&nbsp;MD5, SHA-0 et SHA-1 sont tous vulnérables de nos jours.

&nbsp;








jimmy_36 a écrit :



Tout dépend l’algorithme qui est utilisé en fait.

 MD5, SHA-0 et SHA-1 sont tous vulnérables de nos jours.







Qu’entends tu par vulnérables ?



&nbsp;oui mais non.

&nbsp;



&nbsp;la longueur d’un mot de passe est utile.

&nbsp;mais les caractères alphanumériques et spéciaux ne le sont pas.

&nbsp;dans la sécurité, on est encore dans le mythe des années 80’ ou on pense que notre mot de passe va etre testé par un humain.

et donc que pour lui ca va etre plus dur de trouver ‘648OL(mrt” que “barbiedu12”

&nbsp;

&nbsp;mais cette vision est fausse. de mémoire un clavier fr propose 112 caractères possibles.

&nbsp;un algo qui parcourt les caractères, il&nbsp;n’a pas plus de difficultés a trouver un A un E ou un&nbsp;-

&nbsp;








jimmy_36 a écrit :



Tout dépend l’algorithme qui est utilisé en fait.

 MD5, SHA-0 et SHA-1 sont tous vulnérables de nos jours.







Je parlais dans le cas d’un SI qui se tient à jour évidement (SHA-2, SHA-3, SHA-256, etc.).

Si les types s’amusent à garder les BDD de mdp basé sur des algo’ dépassés, on ne peut que leur souhaiter de se faire poutrer la face.







eliumnick a écrit :



Qu’entends tu par vulnérables ?







Ils sont cassables, simplement. Exemple pour le SHA-1 : https://fr.wikipedia.org/wiki/SHA-1#Attaques









saf04 a écrit :



oui mais non.

 



 la longueur d’un mot de passe est utile.

 mais les caractères alphanumériques et spéciaux ne le sont pas.

 dans la sécurité, on est encore dans le mythe des années 80’ ou on pense que notre mot de passe va etre testé par un humain.

et donc que pour lui ca va etre plus dur de trouver ‘648OL(mrt” que “barbiedu12”

 

 mais cette vision est fausse. de mémoire un clavier fr propose 112 caractères possibles.

 un algo qui parcourt les caractères, il n’a pas plus de difficultés a trouver un A un E ou un -







Un mdp AlphaNumérique (Table de 62 caractères) :




  • 10 caractères : 839 299 365 868 340 224 possibilités ;

  • 12 caractères : 3 226 266 762 397 899 821 056 possibilités ;

  • 14 caractères : 12 401 769 434 657 526 912 139 264 possibilités.



    Hors de portée des calculateurs actuels, et je n’ai même pas rajouté les caractères spéciaux.









philanthropos a écrit :



Je parlais dans le cas d’un SI qui se tient à jour évidement (SHA-2, SHA-3, SHA-256, etc.).

Si les types s’amusent à garder les BDD de mdp basé sur des algo’ dépassés, on ne peut que leur souhaiter de se faire poutrer la face.







Ils sont cassables, simplement. Exemple pour le SHA-1 : https://fr.wikipedia.org/wiki/SHA-1#Attaques







La vulnérabilité c’est prouver qu’il y a des collisions ?????? Mais par principe le hash créé des collisions. Du coup j’ai du mal à saisir.



Les algorithmes de hachage cryptographique sont un peu particulier, car la sécurité repose sur la très grande difficulté qu’il y a de trouver deux messages qui ont le même hash. Or cette difficulté est purement calculatoire. Et plus la puissance des ordinateurs augmente plus ils sont attaquables. Sans parler des failles statistiques qui peuvent être découverte en plus.

Et quand tu as une pointure comme Adi Shamir qui le dit, il vaut mieux le croire.

&nbsp;

&nbsp;

&nbsp;








eliumnick a écrit :



La vulnérabilité c’est prouver qu’il y a des collisions ?????? Mais par principe le hash créé des collisions. Du coup j’ai du mal à saisir.







La feinte c’est que techniquement deux chaines identiques ne vont pas donner le même Hash, c’est logique et c’est la base du chiffrement SHA.

Et donc leur démo’ technique visait à démontrer qu’il était possible de créer un autre fichier possédant le même hash, mais étant différent.

Il était donc possible d’envoyer un faux fichier à la place d’un vrai, mais avec le même hash et donc étant reconnu comme normal par le destinataire.



En pratique c’est vraiment compliqué à expliquer, et je ne me tenterais pas à faire une démo’, je ne maitrise pas assez. Mais pour faire simple ils ont juste démontrés qu’il était possible, en un temps raisonnable, de









jimmy_36 a écrit :



Les algorithmes de hachage cryptographique sont un peu particulier, car la sécurité repose sur la très grande difficulté qu’il y a de trouver deux messages qui ont le même hash. Or cette difficulté est purement calculatoire. Et plus la puissance des ordinateurs augmente plus ils sont attaquables. Sans parler des failles statistiques qui peuvent être découverte en plus.

Et quand tu as une pointure comme Adi Shamir qui le dit, il vaut mieux le croire.







Bah ouais mais comme je le disais dans le post #35, un hash est obligé de créer des collisions.



Le seul moyen de ne pas créer de collision est d’avoir un checksum de longueur au moins égal au fichier pour lequel on calcule le hash.



&nbsp;et donc tu dis exactement la meme chose que moi.

&nbsp;

la difficulté vient de la longueur au final binaire du mot de passe.

et le reste n’est que de l’esbrouffe de consultants en sécurité en mal d’argumentaire.

&nbsp;

&nbsp;

&nbsp;exemple reel:

&nbsp;j’ai discuté avec le responsable qualité des notaires de France à ce sujet.

déjà rien que le calcul entropique en théorie c’était dur , et sa seule reaction ca a été “on a jamais fait comme ca, donc on va pas changer” et “ vous dites n’imp car dans ma boite on est au top”

&nbsp;

&nbsp;je veux pas trop charger le mec, mais en meme temps c’est l’archétype du mec qui se prend pour un geek et qui a un pc portable rempli de virus qui met 10 minutes pour démarrer.


Pour un algo de hachage classique.

Mais justement la propriété principale des algorithmes de hashage cryptographique est de faire en sorte que ces collisions soit les plus difficile à trouver. Dans l’idéal non réalisable par les ordinateurs à disposition.

Quand les collisions deviennent calculable par un ordinateur du commerce, l’algo est vulnérable.

&nbsp;








philanthropos a écrit :



La feinte c’est que techniquement deux chaines identiques ne vont pas donner le même Hash, c’est logique et c’est la base du chiffrement SHA.

Et donc leur démo’ technique visait à démontrer qu’il était possible de créer un autre fichier possédant le même hash, mais étant différent.

Il était donc possible d’envoyer un faux fichier à la place d’un vrai, mais avec le même hash et donc étant reconnu comme normal par le destinataire.



En pratique c’est vraiment compliqué à expliquer, et je ne me tenterais pas à faire une démo’, je ne maitrise pas assez. Mais pour faire simple ils ont juste démontrés qu’il était possible, en un temps raisonnable, de







Mais ca on le sait depuis “toujours”. A moins que la nouveauté ca soit la preuve pour cet algo précis ?



Depuis que le CRC existe (qui je crois est le premier algo de hashage), on sait que les collisions sont nombreuses (d’où l’intérêt d’utiliser plusieurs algo de hashage différent pour un même fichier).









jimmy_36 a écrit :



Pour un algo de hachage classique.

Mais justement la propriété principale des algorithmes de hashage cryptographique est de faire en sorte que ces collisions soit les plus difficile à trouver. Dans l’idéal non réalisable par les ordinateurs à disposition.

Quand les collisions deviennent calculable par un ordinateur du commerce, l’algo est vulnérable.







Ah ok ^^ Je comprend ^^ En fait pour moi jme disais qu à partir du moment ou théoriquement la collision existe, alors même si il faut plusieurs fois l’éternité pour la trouver, ben je considérais ça comme vulnérable.



<img data-src=" />

&nbsp;








saf04 a écrit :



et donc tu dis exactement la meme chose que moi.

 

la difficulté vient de la longueur au final binaire du mot de passe.

et le reste n’est que de l’esbrouffe de consultants en sécurité en mal d’argumentaire.

 

 

 exemple reel:

 j’ai discuté avec le responsable qualité des notaires de France à ce sujet.

déjà rien que le calcul entropique en théorie c’était dur , et sa seule reaction ca a été “on a jamais fait comme ca, donc on va pas changer” et “ vous dites n’imp car dans ma boite on est au top”

 

 je veux pas trop charger le mec, mais en meme temps c’est l’archétype du mec qui se prend pour un geek et qui a un pc portable rempli de virus qui met 10 minutes pour démarrer.







La longueur oui, mais les caractères à l’intérieur ne sont pas là pour faire joli non plus ._.

Un exemple simple sur un mdp de 10 caractères classiques :




  • En numérique uniquement : 10 000 000 000 de possibilité, cassable aisément même par un particulier.

  • En Alpha minuscules uniquement : 141 167 095 653 376 possibilités, là encore on reste dans l’abordable avec de bons calculateurs.

  • En mix Alpha minuscules + Numérique : 3 656 158 440 062 976 possibilité, en dehors du champ actuel.



    Alors si le point que tu voulais préciser est que la place des caractères à l’intérieur du MDP n’a pas d’incidence, oui en effet.

    Mais ajouter un maximum de caractères différents rend le déchiffrage rapidement impossible.







    eliumnick a écrit :



    Mais ca on le sait depuis “toujours”. A moins que la nouveauté ca soit la preuve pour cet algo précis ?



    Depuis que le CRC existe (qui je crois est le premier algo de hashage), on sait que les collisions sont nombreuses (d’où l’intérêt d’utiliser plusieurs algo de hashage différent pour un même fichier).







    Nombreuses ? <img data-src=" />

    A l’époque l’attaque était reproductible en 2^69 opérations …

    C’était encore très loin d’être atteignable par n’importe qui, même les agences. Et c’est pour cela que la suite a été développée droit derrière.









philanthropos a écrit :



Nombreuses ? <img data-src=" />

A l’époque l’attaque était reproductible en 2^69 opérations …

C’était encore très loin d’être atteignable par n’importe qui, même les agences. Et c’est pour cela que la suite a été développée droit derrière.







Oui pour l’algo CRC, les collisions étaient assez nombreuses ^^ Mais le CRC n’a pas la complexité d’un SHA1 ou MD5.



Non pas vraiment, la longueur ne veux rien dire.

L’histoire a prouvé qu’en matière de sécurité l’esbroufe n’existe pas.

Soit tu prouves mathématiquement que ton algorithme est sûr, soit tu peux le mettre à la poubelle.

&nbsp;


C’est surtout que CRC n’a jamais prétendu avoir des propriétés cryptographiques.

&nbsp;Il faut une grande diffusion des bits en entrée dans la structure de ton algorithme, sinon ta sortie ne sera pas assez modifiée.

&nbsp;CRC n’a pas cette propriété, ce n’est même pas un vrai algorithme de hashage.

&nbsp;


tu pourrais te repencher sur le sujet ?

&nbsp;

&nbsp;ca serait pas mal en fait.

&nbsp;parce que tes trois affirmations sont totalement fausses.

&nbsp;

&nbsp;



&nbsp;après je m’en fout totalement d’avoir tort ou raison, mais voir dans le métier des jeunes devs qui arrivent en disant moi je sais tout, c’est juste nul.

&nbsp;tellement nul que tu ne saurait pas expliquer ton affirmation “la longueur ne veut rien dire”

&nbsp;stp fait toi pousser des couilles, et explique moi techniquement ta vision.


Les japonnais en 1942 avait un système de chiffrement via 2 dictionnaires. Un système très fiable s’il est bien utilisé.

&nbsp;

&nbsp;Un gros malin certainement un mec comme toi a utilisé pour transmettre des messages toujours la même clé de chiffrement. Les Américains , certainement plus malin que toi, on pu déchiffrer le message.

&nbsp;Résultat : 4 portes avions coulés … c’est ballot juste à cause d’un bouffon dans ton genre.

&nbsp;








philanthropos a écrit :



Un mdp AlphaNumérique (Table de 62 caractères) :




  • 10 caractères : 839 299 365 868 340 224 possibilités ;

  • 12 caractères : 3 226 266 762 397 899 821 056 possibilités ;

  • 14 caractères : 12 401 769 434 657 526 912 139 264 possibilités.



    Hors de portée des calculateurs actuels, et je n’ai même pas rajouté les caractères spéciaux.





    &nbsp;Oui, au delà de 10 ça commence à faire pas mal. Mais pas en % de la population..

    &nbsp;&nbsp;En dessous, avec des GPU ça part comme des petits pains. Et je parle pas des futurs ordis quantiques qui vont finir par arriver.

    &nbsp;J’en ai de 9 et de 14, mais je doute que ce soit le cas de beaucoup de gens (à part ici, mais bon, c’est un cas à part si j’ose dire)



quelqu’un sait ça à quoi ça correspond le fait que les mdp soient chiffrés ?



Ils sont chiffrés dans la bdd avec une clé commune pur justement limiter la casse en cas de fuite de cette bdd ?








saf04 a écrit :









jimmy_36 a écrit :





Malgré votre petite bataille, et le mieux serait de rester courtois, j’apprends beaucoup de chose en vous lisant.

&nbsp;

Je connais superficiellement le domaine et il m’intéresse beaucoup. Mais de mon point de vue, je suis assez d’accord pour dire que la longueur du MdP est tout de même un facteur de sécurité important.

&nbsp;

Enfin j’espère que vous allez continuer votre débat instructif.









dam1605 a écrit :



quelqu’un sait ça à quoi ça correspond le fait que les mdp soient chiffrés ?



Ils sont chiffrés dans la bdd avec une clé commune pur justement limiter la casse en cas de fuite de cette bdd ?







Bah oui, c’est la base des systèmes de chiffrement. Et lorsque tu entre ton mot de passe, il est comparé au hash dans la base de donnée (grossièrement).

Si tout était en clair (et ce qui est encore le cas pour certains sites, et parfois des gros en plus <img data-src=" />), un hacker se ferrait un malin plaisir à pouvoir les exploiter sans aucun soucis.



De plus c’est une solution de protection qui est relativement facile à mettre en place (c’est même inclus de base dans la plupart des moteurs de forums “sérieux” & co.) Si on te pique ta BDD chiffrée avec un algo’ récent (SHA-23, etc), tu peux être certain que c’est incassable (pour le moment).







Lyaume a écrit :



Malgré votre petite bataille, et le mieux serait de rester courtois, j’apprends beaucoup de chose en vous lisant.



Je connais superficiellement le domaine et il m’intéresse beaucoup. Mais de mon point de vue, je suis assez d’accord pour dire que la longueur du MdP est tout de même un facteur de sécurité important.



Enfin j’espère que vous allez continuer votre débat instructif.







C’est un mix : longueur et diversité des caractères.

Comme démontré au dessus, un MDP long mais uniquement composé de chiffres est cassable dans un temps relativement court, même à 1214 caractères.

Mais dès que tu commence à y introduire des Maj, Min, caractères spéciaux la complexité explose.



oui mais non…

&nbsp;

si demain je fais un algo moisi en&nbsp;c++, php, python&nbsp;&nbsp;ou whatever&nbsp;pour deviner une combinaison.

&nbsp;il va etre logique de faire une boucle sur le nombre de possibilités.

&nbsp;



&nbsp;donc sur un clavier tu as une boucle avec le nombre maximum de possibilités du clavier.

&nbsp;et dans cette boucle osef si les caractères sont des lettres des chiffres, spéciaux ou carrément de l’ascii.

&nbsp;ils vont passer dans la boucle.

&nbsp;

&nbsp;la longueur du traitement va etre directement liée à la longueur de la chaine testée.

&nbsp;

&nbsp;ceci est une démonstration facile et non scientifique. mais elle a le merite de bien montrer que&nbsp; l’alphanumérique ou des&nbsp;caractères spéciaux&nbsp;dans un mot de passe sont accessoires.

&nbsp;

&nbsp;


Ok mais là le temps de calcul sera extrêmement long.

&nbsp;

Imaginons qu’un “hacker” veuille tester différente combinaison rapidement, ne se limiter-t-il pas aux caractères alphanumériques (qui elle prendra moins de temps)? Et donc que la présence de caractère spéciaux entravent leur recherche?

&nbsp;

Je suis d’accord, c’est en fonction de ce que cherche le “hacker”. S’il veut un mdp bien précis, il fera une recherche sur tous les caractères. S’il en veut le maximum, il se limitera aux alphanumériques. Enfin selon ma logique.








saf04 a écrit :



oui mais non…

 

si demain je fais un algo moisi en c++, php, python  ou whatever pour deviner une combinaison.

 il va etre logique de faire une boucle sur le nombre de possibilités.

 



 donc sur un clavier tu as une boucle avec le nombre maximum de possibilités du clavier.

 et dans cette boucle osef si les caractères sont des lettres des chiffres, spéciaux ou carrément de l’ascii.

 ils vont passer dans la boucle.

 

 la longueur du traitement va etre directement liée à la longueur de la chaine testée.

 

 ceci est une démonstration facile et non scientifique. mais elle a le merite de bien montrer que  l’alphanumérique ou des caractères spéciaux dans un mot de passe sont accessoires.







C’est bien pour cela qu’un mot de passe de X caractères Numériques est plus simple à casser que le même avec des caractères Alphabétiques & spéciaux.



Ce n’est pas accesoire, tu prend en compte le fait que tu va tenter de casser de façon systématique un MDP avec la totalité de la table ASCII, hors dans la vie réelle ce n’est pas comme ça que ça marche.







Lyaume a écrit :



Ok mais là le temps de calcul sera extrêmement long.

 

Imaginons qu’un “hacker” veuille tester différente combinaison rapidement, ne se limiter-t-il pas aux caractères alphanumériques (qui elle prendra moins de temps)? Et donc que la présence de caractère spéciaux entravent leur recherche?

 

Je suis d’accord, c’est en fonction de ce que cherche le “hacker”. S’il veut un mdp bien précis, il fera une recherche sur tous les caractères. S’il en veut le maximum, il se limitera aux alphanumériques. Enfin selon ma logique.







Ouip, tout à fait.

Après, il faut prendre en compte qu’il est rare qu’un hacker, qui se fixe une cible bien précise, ne se renseigne pas avant.



Pour prendre un exemple con, tu te doute bien que casser le MDP de Tata Jeannine sera sans doute beaucoup plus simple (date d’anniversaire, de mariage, nom du chien, du petit-fils, etc) que de casser celui de Michel l’ingénieur informaticien avec 20 ans de métier.



Enfin ça c’est sur le papier, mais il y a toujours un travail fait autour des “victimes” pour limiter les champs de recherche.



sérieusement vous mélangez tout….

&nbsp;



&nbsp;si comme le demande lyaume un hacker veut tester des combinaisons tres rapidement.

&nbsp;sa solution va etre de passer par un dictionnaire de mot de passe.

pour les gens qui ne connaissent pas, on va tester des bibliothèques de mots de passe déjà découverts.

&nbsp;

on peut aussi tester le brute force…

mais malgré les efforts des medias pour dire que le net est un far-west, c’est la solution la plus connue, et il me semble la moins meritante et efficace.

&nbsp;

sinon, on peut aussi tester le social engineering. ou on va tromper l’utilisateur pour avoir accés a ses identifiants.

&nbsp;et la c’est que de la psychologie de base, et open bar ensuite.








saf04 a écrit :



sérieusement vous mélangez tout….

 



 si comme le demande lyaume un hacker veut tester des combinaisons tres rapidement.

 sa solution va etre de passer par un dictionnaire de mot de passe.

pour les gens qui ne connaissent pas, on va tester des bibliothèques de mots de passe déjà découverts.

 

on peut aussi tester le brute force…

mais malgré les efforts des medias pour dire que le net est un far-west, c’est la solution la plus connue, et il me semble la moins meritante et efficace.

 

sinon, on peut aussi tester le social engineering. ou on va tromper l’utilisateur pour avoir accés a ses identifiants.

 et la c’est que de la psychologie de base, et open bar ensuite.







Oh grand maitre de la connaissance,

Nous t’implorons pour que dans ton infinie bonté,

tu nous transmettes ta sagesse



merci de me faire passer pour un connard.

&nbsp;

en meme temps, lyaume a posé une question et la reponse qu’il a eu est tres bancale….








saf04 a écrit :



merci de me faire passer pour un connard.

 

en meme temps, lyaume a posé une question et la reponse qu’il a eu est tres bancale….







Je refuse de prendre du crédit pour des choses que je n’ai pas fait. Le seul ici qui t’as fait passer pour un connard, c’est saf04. Voit avec lui pour les remerciements.



&nbsp;merci de me rappeler pourquoi je viens en intermittence.

&nbsp;

les débats qui pourraient etre techniques se finissent en attaques personnelles, et personne n’est jamais responsable de rien.

&nbsp;

&nbsp;

ho merde on dirait les jeunes devs que je croise depuis 20 ans.








saf04 a écrit :



merci de me rappeler pourquoi je viens en intermittence.

 

les débats qui pourraient etre techniques se finissent en attaques personnelles, et personne n’est jamais responsable de rien.

 

 

ho merde on dirait les jeunes devs que je croise depuis 20 ans.







J’avoue tes post 48, 54 et 57 sont tellement techniques……. Nan vraiment tu mérites le respect….



Ok merci pour ces précisions.

&nbsp;

Mais il y a truc où vous m’avez mis le doute, c’est concernant la longueur du MdP.

&nbsp;

A mon sens, plus il est long, plus il est sécurisé, et plus il y a de type de caractères différents, encore mieux sécurisé il devient.

&nbsp;

Est-ce un bon raisonnement ou alors je mélange tout?

Pour ce cas, je parle du “bruteforce” qui est, si j’ai juste, de tester les chaînes de caractères sans dictionnaire.

&nbsp;Donc de faire une pétée d’opération en somme.

&nbsp;



&nbsp;Et donc ma question derrière ceci : si mes MdP contiennent 12 caractères alphanumériques aléatoire, alors il est “pas mal sécurisé” (ex1: f1f5g487e5GH). Par contre si c’est un chaine de mot il l’est moins (ex2 : jaimelavache).

Et le mieux est d’avoir 12 caractères aléatoires différents avec caractères spéciaux (exemple 1 en incluant en plus des /, !, µ, etc.). Mais si je veux encore plus sécurisé mon MdP, alors je passe de 12 caractères à 20.

&nbsp;

ai-je tord?


en fait c’est pas si simple..



&nbsp;ton mot de passe “ f1f5g487e5GH” ou “jaimelavache” va etre supposé plus sécurisé s’il n’est pas est intelligible humainement.

&nbsp;mais ceci n’est qu’une supposition datée.

&nbsp;du temps ou on pensait qu’un pirate aller taper “aaaa” “aaab” etc etc pour trouver un mot de passe.

&nbsp;

&nbsp;maintenant y’a une autre vision de voir:

&nbsp;on réduit le mot de passe en binaire, et on calcule le nombre de test qu’il faut pour le trouver.



&nbsp;&nbsp;et apparemment cette vision très mathématique gene enormément les gens qui bossent dans la sécurité.

&nbsp;&nbsp;parce que ca montre bien que dire “faites un password avec plein de truc imbitable” c’est juste faux.








saf04 a écrit :



en fait c’est pas si simple..



 ton mot de passe “ f1f5g487e5GH” ou “jaimelavache” va etre supposé plus sécurisé s’il n’est pas est intelligible humainement.

 mais ceci n’est qu’une supposition datée.

 du temps ou on pensait qu’un pirate aller taper “aaaa” “aaab” etc etc pour trouver un mot de passe.

 

 maintenant y’a une autre vision de voir:

 on réduit le mot de passe en binaire, et on calcule le nombre de test qu’il faut pour le trouver.



  et apparemment cette vision très mathématique gene enormément les gens qui bossent dans la sécurité.

  parce que ca montre bien que dire “faites un password avec plein de truc imbitable” c’est juste faux.







J’ai du mal a voir l’intérêt de le convertir en binaire, sauf dans le cas ou tu as déja la version binaire du mdp à trouver (ce qui doit rarement arriver).

Dans le cas ou tu veux trouver un mdp, t’es bien obligé de le tester face au service auquel tu veux accéder non ? Et dans ce cas la il faut bien reconvertir le mdp en texte clair.



&nbsp;elium,&nbsp;on ne parle pas de la meme chose.

tu me parles de tester “le service” ce qui pourrait inclure tout et n’importe quoi en sécurité. qui pourrait aller du sel a un blocage d’IP.

&nbsp;

&nbsp;je te parle non pas de la sécurité du service a laquelle tu t’inscris, mais de la longueur de ton mot de passe








saf04 a écrit :



elium, on ne parle pas de la meme chose.

tu me parles de tester “le service” ce qui pourrait inclure tout et n’importe quoi en sécurité. qui pourrait aller du sel a un blocage d’IP.

 

 je te parle non pas de la sécurité du service a laquelle tu t’inscris, mais de la longueur de ton mot de passe







Si si on parle bien de la même chose. Par service j’entendais l’interface (au sens dev) dans laquelle le mdp sera utilisé, afin de vérifier que c’est bien le bon mdp.



zut, le commentaire n’a pas pris tout mon pavé.



&nbsp;

on peut en mathématique, calculer la complexité de variables de chaines de caracteres.&nbsp; en les reduisant a l’état de binaires.&nbsp;

&nbsp;

&nbsp;et&nbsp;affirmer par exemple&nbsp;que “BFG4T6frt(-” est plus complexe que “tatajosie43” sans aucune source n’est que de l’aveuglement.&nbsp;

&nbsp;un aveuglement tellement fort qu’on croit encore a vos théories des mots de passes.








saf04 a écrit :



zut, le commentaire n’a pas pris tout mon pavé.



 

on peut en mathématique, calculer la complexité de variables de chaines de caracteres.  en les reduisant a l’état de binaires. 

 

 et affirmer par exemple que “BFG4T6frt(-” est plus complexe que “tatajosie43” sans aucune source n’est que de l’aveuglement. 

 un aveuglement tellement fort qu’on croit encore a vos théories des mots de passes.







Pour la complexité ok je vois ce que tu veux dire.



Mais si tu veux mettre en oeuvre une attaque, comment trouveras tu que “tatajosie43” est le bon mdp en passant par du binaire ? C’est ce point la que je n’arrive pas à comprendre.



&nbsp;le binaire est utilisé dans la théorisation et le calcul de la durée du hack

&nbsp;

&nbsp;edit: je te la fait courte parce que apparemment t’as&nbsp; du mal.

&nbsp;une chaine qui se résume a “01” sera plus rapide a déchiffrer que “01101100011”








Lyaume a écrit :



Ok mais là le temps de calcul sera extrêmement long.

 

Imaginons qu’un “hacker” veuille tester différente combinaison rapidement, ne se limiter-t-il pas aux caractères alphanumériques (qui elle prendra moins de temps)? Et donc que la présence de caractère spéciaux entravent leur recherche?

 

Je suis d’accord, c’est en fonction de ce que cherche le “hacker”. S’il veut un mdp bien précis, il fera une recherche sur tous les caractères. S’il en veut le maximum, il se limitera aux alphanumériques. Enfin selon ma logique.



Va l’expliquer à ceux qui gèrent la “sécurité” des comptes mail chez nous… De véritables bras cassés. D’ailleurs voilà leurs conditions pour les mots de passe :

-Changement tous les 3 mois (ca reste normal)

-Longueur minimale 8 caractères (là aussi rien à redire)

-3 éléments obligatoires sur les 4 parmi majuscules, minuscules, chiffres et caractères spéciaux (là on commence à partir dans la crétinerie, suffit d’associer 2 mots pour que les attaques par dictionnaire ne soient plus valides et qu’il ne reste que la bruteforce (par ex “labeillecoule” ne sera jamais trouvé par attaque dictionnaire… Et pourtant c’est facile à retenir))

-Mot de passe différent des 24 derniers!!! (parfait pour garder le même mot de passe en permanence et faire un “+1” quand on doit en changer… Bravo la sécurité!)

-Et bien entendu pour éviter qu’on ne s’amuse à modifier rapidement les 24 mots de passe pour retrouver le même, c’est modification 1 fois toutes les 24h maxi









saf04 a écrit :



le binaire est utilisé dans la théorisation et le calcul de la durée du hack

 

 edit: je te la fait courte parce que apparemment t’as  du mal.

 une chaine qui se résume a “01” sera plus rapide a déchiffrer que “01101100011”







Peux tu répondre à la question que je t’ai posé ? Ou désire tu garder ton secret pour toi seul ?









philanthropos a écrit :



Bah oui, c’est la base des systèmes de chiffrement. Et lorsque tu entre ton mot de passe, il est comparé au hash dans la base de donnée (grossièrement).

[….]







je parlais plutôt du “chiffré” en plus de hashé et salé qui est dans la news



Les mots de passe sont chiffrés, hachés et salés










dam1605 a écrit :



je parlais plutôt du “chiffré” en plus de hashé et salé qui est dans la news







C’est juste une technique de sécurisation supplémentaire, rien de plus.

Enfin je ne comprend pas très bien le but de ta question, tu peux préciser ? ^^









eliumnick a écrit :



Dans le cas ou tu veux trouver un mdp, t’es bien obligé de le tester face au service auquel tu veux accéder non ? Et dans ce cas la il faut bien reconvertir le mdp en texte clair.







Je suis votre discussion depuis un moment , parce que ça m’interesse ( j’y connais pas grand chose) <img data-src=" />

Par exemple , pour trouver un mode de passe wifi t’as pas besoin d’essayer, tu te sers de morceaux de trace

et si tu fais ça en force brute, tu fais ça en binaire peu importe si le mec à mis KeV-in ou Kevin

Disons que ça je connais un peu pour m’être entrainé sur les réseaux WIFI du voisinage <img data-src=" />

Ensuite si tu t’attaques à un mot de passe très long ( qui pour oter tous doutes , sera plus difficile à craquer qu’un mot de passe de 2 caractères) tu peux utiliser un service comme Amazon Elastic Computing GPU machin chose , d’ailleurs il y a plein de discussions sur ce sujet ( et il y a eu de sacrés succès en louant quelques heures de milliers de GPU)



c’est dans ce sens que je comprend qu’en calcul théorique de complexité , de durée de résistance etc … que ce n’est pas plus compliqué d’avoir des caractères spéciaux ou pas .. disons que tant qu’on la joue pas dictionnaire … ben la complexité est la même



Mais bon c’est ma façon de comprendre <img data-src=" />









JoePike a écrit :



Je suis votre discussion depuis un moment , parce que ça m’interesse ( j’y connais pas grand chose) <img data-src=" />

Par exemple , pour trouver un mode de passe wifi t’as pas besoin d’essayer, tu te sers de morceaux de trace

et si tu fais ça en force brute, tu fais ça en binaire peu importe si le mec à mis KeV-in ou Kevin







Ben si, tu testes le mdp. Tu testes un différent mdp jusqu’à ce que la communication avec l’antenne WIFI se fasse.







JoePike a écrit :



Ensuite si tu t’attaques à un mot de passe très long ( qui pour oter tous doutes , sera plus difficile à craquer qu’un mot de passe de 2 caractères) tu peux utiliser un service comme Amazon Elastic Computing GPU machin chose , d’ailleurs il y a plein de discussions sur ce sujet ( et il y a eu de sacrés succès en louant quelques heures de milliers de GPU)



c’est dans ce sens que je comprend qu’en calcul théorique de complexité , de durée de résistance etc … que ce n’est pas plus compliqué d’avoir des caractères spéciaux ou pas .. disons que tant qu’on la joue pas dictionnaire … ben la complexité est la même



Mais bon c’est ma façon de comprendre <img data-src=" />







Oui la complexité j’ai bien compris.



Mais saf04 parle de sa super technique utilisant les maths, et qui d’après lui remet en cause les fondements de la sécurité informatique. Je lui demande donc des détails ^^









eliumnick a écrit :



Ben si, tu testes le mdp. Tu testes un différent mdp jusqu’à ce que la communication avec l’antenne WIFI se fasse.



Oui la complexité j’ai bien compris.



Mais saf04 parle de sa super technique utilisant les maths, et qui d’après lui remet en cause les fondements de la sécurité informatique. Je lui demande donc des détails ^^







Ben peut-être que je m’exprime mal <img data-src=" />

Il me semblait ( c’est vieux) que quand par exemple tu essayais de craquer un WEP ( je prend du simple) tu faisais de l’injection d’ARP pour collecter des IV et jamais tu n’envoyais de mdp ( enfin il me semble)

Quant à saf04 perso je ne l’ai pas vu dire cela , du moins ce n’est pas comme ça que je l’ai compris

( j’ai compris plutot le regard ou raisonnement du mathématicien en relation avec les pensées classiques sur les caractères spéciaux …)

mais bon ça vole surement trop haut pour moi

<img data-src=" />



j’explique:

&nbsp;



&nbsp;si je veux configurer une sécurité sur un site “untel.com”,

&nbsp;je fait mettre en place un sel aléatoire hashé avec le mot de passe donné avec derriere une vérif d’ip et/ou de mac adress.

&nbsp;

&nbsp;par contre c’est dommage qu’un informaticien de base en 2015 n’ai pas encore intégré que le calcul sur une chaine de caractere va se faire sur la réduction en binaire.

&nbsp;c’est a dire que mon mot de passe “toto” vaut “01110100011011110111010001101111” et donc peut se réduire en possibilités de test.








saf04 a écrit :



j’explique:

 



 si je veux configurer une sécurité sur un site “untel.com”,

 je fait mettre en place un sel aléatoire hashé avec le mot de passe donné avec derriere une vérif d’ip et/ou de mac adress.

 

 par contre c’est dommage qu’un informaticien de base en 2015 n’ai pas encore intégré que le calcul sur une chaine de caractere va se faire sur la réduction en binaire.

 c’est a dire que mon mot de passe “toto” vaut “01110100011011110111010001101111” et donc peut se réduire en possibilités de test.







Peux tu détailler la partie que j’ai mise en gras ? Ca doit faire 2 jours que j’attend tes explications justifiant en quoi ta méthode est mieux. Et pour le moment tu te contentes simplement de répéter des explications assez superficielles.



C’est marrant le discours semble être en train de changer <img data-src=" />

enfin que légèrement <img data-src=" />



Est ce qu’on est tous d’accord ( MAINTENANT) que de mettre des caractères spéciaux ou pas ne change strictement rien à l’affaire face à la puissance CPU ! ( c’était quand même la première raison de cette discussion ou quelqu’un parlait d’esbrouffe ou de bullshit de pseudo consultant en sécurité )



toto ça fait 4 octets ça fait 32 bits et pour 32 bits on 4giga de possibilités

et si je met (T&U ça fait toujours 32 bits et 4 gig de possibilités



Est ce qu’on est d’accord maintenant sur la première partie ?



<img data-src=" />








eliumnick a écrit :



Peux tu détailler la partie que j’ai mise en gras ? Ca doit faire 2 jours que j’attend tes explications justifiant en quoi ta méthode est mieux. Et pour le moment tu te contentes simplement de répéter des explications assez superficielles.







si tu testes toutes les lettres en majuscule et en minuscules tu vas tester A B C etc .. ( tu peux pas vraiment différencier un A d’un Q en alpha pourtant c’est x”41” et x’51’ en ascii

En binaire tu vas tester 15 fois la 2ème moitié de l’octet ( de 0000 à 1111 )

et tu vas vérifier 4 fois la première moitié de l’octet ( 4 5 6 ou 7 ( 0100,0101 0110 ou 0111 )

(table asccii classique x’4x’ x’5x’ x’6x’ ou x’7x’ pour l’exemple)



donc avec 16 + 4 = 20 compare tu feras l’équivalent de 16x4 =64 opérations en alphanumérique

la je fais du brut mais l’optimisation c’est tout un art et quand tu veux aller vite et économiser des cycles machines tu travailles au niveau des bits )



Enfin je suppose qu’il y des trucs bien plus sioux mais c’est un exemple




oui il y’a des trucs qui sont non pas bien plus sioux, mais vraiment très trés plus sioux.

&nbsp;



&nbsp;mais bon maintenant, on est d’accord que de dire “mettez de l’alphanumérique dans vos mots de passe” c’est une blague de consultant en sécurité ?


@joe pike (et a d’autres devs qui liraient):

&nbsp;comme apparement tu saisis le sujet.&nbsp;

&nbsp;

&nbsp;j’ai entendu parler d’une rumeur. de calcul stochastique en binaire couplé a&nbsp; des dicos qui ferait des calculs sur des series de deux bits.

&nbsp;

&nbsp;perso c’est hors de mes compétences mathématiques, donc je ne sais pas si c’est vrai ou faux.

&nbsp;mais comme ca vient de russie, je tend a croire qu’on va voir ca arriver.


@saf04

d’abord c’était un exemple et ensuite je suis pas dev car j’aurais honte <img data-src=" />

Par contre mon background fait que je sais comment fonctionne le hardware en général et ce dans des couches qui ne sont plus enseignées depuis de nombreuses années



calcul stochastique connait , jamais joué dans l’aléatoire

Mon age sûrement

<img data-src=" />



Du coup j’ai envie de dire oui et non.

&nbsp;

Car si on suppose que le “hacker” souhaite obtenir le maximum de MdP qui sont couplés à une liste d’id qu’il a pu récupérer, alors il ne va pas s’obstiner à tester toute les possibilités. Mais sachant qu’il suppose que les utilisateurs sont novices et n’utilisent pas de caractère spéciaux, alors il va rester sur un test à base d’alphanumérique. Ce pour aller plus vite et trouver le maximum de MdP.



&nbsp;Ainsi le fait d’intégrer des caractères spéciaux tend à “sécuriser” un peu plus son MdP.

Par contre si on est une personnalité qui intéresse énormément “hacker”, alors la sécurité du MdP sera la même qu’il y ai des caractères spéciaux ou non.

&nbsp;

Ai-je raison?

&nbsp;

&nbsp;Cette affirmation se base sur une hypothèse qui tend à être de moins en moins crédible plus la puissance de calcul augmente.

&nbsp;

&nbsp;Mais sinon je semble assez d’accord pour dire qu’un MdP à longueur égal, sera aussi facilement déchiffrable qu’il contienne ou non des caractères spéciaux (même nombre d’opération).

&nbsp;

&nbsp;En tout cas j’apprends plein de chose. <img data-src=" />


ai-je raison ? demande lyaume.

&nbsp;



&nbsp;ben non.

pour calculer la résistance d’un mot de passe, tu le passes en binaire et tu comptes le nombre de possibilités.

&nbsp;

&nbsp;

voila ca c’est un pur calcul, que meme un dev qui n’a pas son BTS devrait piger.

sauf que ca fait 20 ans qu’on entend n’importe quoi sur les mots de passe.

&nbsp;et que le n’importe quoi est devenu plus important que tout le reste.


Les hackers ne sont pas des humains mais des programmes.

Les mots de passe ne sont pas stockés

Ce qu’il y a dans les tables sont des hash(brown <img data-src=" />) salés pas des caractères alpha numériques

On ne peut pas raisonner comme un humain, la machine ne sait pas ce qu’est un caractère spécial ou une lettre espagnole , elle ne voit que du binaire et sait que le bit peut être 0 ou 1 point barre

une rainbow table c’est déja construit , on peut prendre des grosses des petites pour hacker mais on ne les refabrique pas en fonction de la cible.

et 4 caractères feront toujours 32 bits peu importe ce que dans un pays cela représente des caractères spéciaux ou pas et 8 caractères feront 64bits qu’ils soient spéciaux ou pas

donc plus c’est long plus il y aura de bits et plus il y aura de possibilités peu importe ou sont les 0 ou les 1

<img data-src=" />









JoePike a écrit :



si tu testes toutes les lettres en majuscule et en minuscules tu vas tester A B C etc .. ( tu peux pas vraiment différencier un A d’un Q en alpha pourtant c’est x”41” et x’51’ en ascii

En binaire tu vas tester 15 fois la 2ème moitié de l’octet ( de 0000 à 1111 )

et tu vas vérifier 4 fois la première moitié de l’octet ( 4 5 6 ou 7 ( 0100,0101 0110 ou 0111 )

(table asccii classique x’4x’ x’5x’ x’6x’ ou x’7x’ pour l’exemple)



donc avec 16 + 4 = 20 compare tu feras l’équivalent de 16x4 =64 opérations en alphanumérique

la je fais du brut mais l’optimisation c’est tout un art et quand tu veux aller vite et économiser des cycles machines tu travailles au niveau des bits )



Enfin je suppose qu’il y des trucs bien plus sioux mais c’est un exemple







Il y a un truc qui m’échappe dans ton commentaire.



Jle reformule :

Si tu veux tester tous les caractères minuscules et majuscules (a-Z donc 26*2 = 52 caractères).

En binaire, en prenant la table ASCII, un caractères est codé sur 7 bits (+ un zéro au début pour mettre sur 8 bits pour faciliter la lecture).

Pour le premier groupe de 4 octets, il y a 4 possibilités (4 5 6 ou 7 (0100,0101 0110 ou 0111)).

Pour le seconde groupe de 4 octets, il y a 16 possibilités (de 0000 à 1111).



(Jusque la, je crois avoir correctement reformulé ce que tu as écris)



Mais c’est la suite qui m’embête, car en restant dans le même ensemble, on obtient 64 groupes de 8 octets possibles.



Donc, en suivant la logique de ton exemple, on testera 64 possibilités (car à chaque itération on devra tester les 2 groupes de 4 octets), alors qu’en restant sur les caractères “standard”, on a que 52 possibilités.



Bref quelque chose m’échappe dans ton exemple.



Et il semblerait que celui-ci tend à montrer que rajouter des caractères spéciaux complexifiera la recherche du mdp. Avec l’UTF8 qui se repend, le nombre de caractères spéciaux utilisable explose.



@joe&nbsp; ce n’est alors pas un hasard.

&nbsp;

je suis aussi un vieux de la vieille du hard. (j’etais dans l’aéronautique)

et meme en etant devenu dev sur le tard, j’ai encore le reflexe du 0/1.

&nbsp;le courant passe ou ne passe pas.

&nbsp;

&nbsp;et quand j’entend des gars dire des énormités genre “ha mon algo marche bien mais uniquement de 11h à minuit” ou alors “ha le mot de passe va etre meilleur avec&nbsp;des caractères spéciaux dedans” je me demande si j’aurais pas du me recycler dans “inscrire ici un métier”.

et plus me faire chier.

&nbsp;

&nbsp;


helium. je vais pour une fois essayer d’etre très pédagogue.

&nbsp;



un mot de passe avec des caractères spéciaux va etre de base compliqué.

compliqué pour un humain.

l’humain va argumenter sur son ressenti et dire “oui c’est un mot de passe balaise”.

sans argument technique

&nbsp;

mais la machine elle va au tester sur des 0 et des 1.

&nbsp;

pour une machine&nbsp;tester des caractères, ca ne sera que des caractères. alors qu’un humain va croire que c’est plus dur de tester “‘(- oç01que helium.

&nbsp;

et&nbsp;avec cette approche humaine on a&nbsp;encore le meme discours depuis 20 ans.

mais zut, on a évolué depuis 20 ans.








saf04 a écrit :



pour une machine tester des caractères, ca ne sera que des caractères. alors qu’un humain va croire que c’est plus dur de tester “‘(- oç01que helium.



Je crois que l’incompréhension entre les intervenants est que vous ne partez pas d’une même présomption.

Je pense eliumnick suppose que les caractères simples seraient les premiers testés par votre programme, alors que vous autres semblez affirmer en fait que le programme va tout tester séquentiellement, alphanum et caractères spéciaux, sans se poser la moindre question.

Ce qui fait que le programme commençant (même pour le mot de passe 123456) par tous les caractères inimaginables, la difficulté ne bouge pas d’un poil.



J’ai bon?









saf04 a écrit :



helium. je vais pour une fois essayer d’etre très pédagogue.

 



un mot de passe avec des caractères spéciaux va etre de base compliqué.

compliqué pour un humain.

l’humain va argumenter sur son ressenti et dire “oui c’est un mot de passe balaise”.

sans argument technique

 

mais la machine elle va au tester sur des 0 et des 1.

 

pour une machine tester des caractères, ca ne sera que des caractères. alors qu’un humain va croire que c’est plus dur de tester “‘(- oç01que helium.

 

et avec cette approche humaine on a encore le meme discours depuis 20 ans.

mais zut, on a évolué depuis 20 ans.







C’est pas de la pédagogie : c’est énoncer les principes de bases de l’informatique. En fait tu ressembles à un prof qui n’arrive pas à se faire comprendre de ses élèves, et qui du coup rabâche 100 fois le même pseudo exemple.



La pédagogie serait de montrer par un exemple en quoi ce que tu avances est mieux.



Pake jusqu’ a présent, à part dire que 0/1 c’est mieux que les lettres, t’as surtout brassé beaucoup de vent et de crainte face aux jeunes dev. De plus, dire que c’est 0/1, c’est comme dire l’univers est composé d’atomes : c’est d’une telle évidence, que les gens ne font meme plus la remarque tellement c’est évident.



Donc je t’en pris, fais nous un algo en pseudo code qui montre à quel point ce que tu avances est mieux.



D’après toi, ca fait 20 ans que tu sors que c’est mieux, donc en 20 ans tu as bien eu le temps de trouver un exemple qui le met facilement en évidence.



<img data-src=" />

C’est même encore plus basique que ça ( mais tu as raison dans ta conclusion)

Helium veut absolument tester toutes les possibilités et moi je veux trouver la solution avant de tester

( c’est pour ça que j’avais pris l’exemple simple du WEP)

Ayant l’habitude que mes systèmes révoquent un compte après 3 tentatives on ne peut pas se comprendre



Ne pouvant pas tester , je parle de me battre contre une trace ou une base de donnée et de déduire grace à un ordinateur qui ne pourra répondre que par oui ou par non à mes questions.

et il est bien sûr hors de question de tester toutes les possibilités car ce serait trop long















MuadJC a écrit :



Je crois que l’incompréhension entre les intervenants est que vous ne partez pas d’une même présomption.

Je pense eliumnick suppose que les caractères simples seraient les premiers testés par votre programme, alors que vous autres semblez affirmer en fait que le programme va tout tester séquentiellement, alphanum et caractères spéciaux, sans se poser la moindre question.

Ce qui fait que le programme commençant (même pour le mot de passe 123456) par tous les caractères inimaginables, la difficulté ne bouge pas d’un poil.



J’ai bon?







Je ne pense rien. J’attend simplement de voir en quoi le fait de passer par du binaire serait révolutionnaire. Jusqu’à présent, à part répéter les principes de bases de l’informatique de base, saf04 n’a fait que brasser de l’air.









JoePike a écrit :



<img data-src=" />

C’est même encore plus basique que ça ( mais tu as raison dans ta conclusion)

Helium veut absolument tester toutes les possibilités et moi je veux trouver la solution avant de tester

( c’est pour ça que j’avais pris l’exemple simple du WEP)

Ayant l’habitude que mes systèmes révoquent un compte après 3 tentatives on ne peut pas se comprendre



Ne pouvant pas tester , je parle de me battre contre une trace ou une base de donnée et de déduire grace à un ordinateur qui ne pourra répondre que par oui ou par non à mes questions.

et il est bien sûr hors de question de tester toutes les possibilités car ce serait trop long





Donc tu finis par reconnaître que mettre des caractères spéciaux sera plus efficace, car il y a aura plus de possibilité à tester (sans parler de toute évidement).



Et sinon safi04 et j03p1ke, vous savez que c’est cool d’écorcher l’orthographe de la personne à qui vous parlez ? Vous savez ce truc archaïque que les vieux en principe connaissent : le respect de l’autre.


Désolé eliumnick

Je ne voulais pas manquer de respect <img data-src=" /> mais bon c’était dur à taper pour un humain <img data-src=" />

( la j’ai fait cop/coll)



Non bien sûr je ne reconnais pas du tout que de mettre des caractères spéciaux aidera beaucoup ( à part les attaques par dictionnaire qui ne se font presque plus mais ça je l’ai déja dit )



Pour répondre à ton interrogation sur l’exemple des tables ascii

Le parrallèle est de trouver par exemple un chiffre secret de 1 à 99 en posant des questions que la bécane ne répondra que par oui ou par non.

L’idée tant de trouver en moins de questions possibles.

C’est dans cette idée que je donnais l’exemple ASCII comme quoi ça ira plus vite de réfléchir en binaire qu’en alpha

mais bon … C’était simplement pour répondre à la question








JoePike a écrit :



Désolé eliumnick

Je ne voulais pas manquer de respect <img data-src=" /> mais bon c’était dur à taper pour un humain <img data-src=" />

( la j’ai fait cop/coll)



Non bien sûr je ne reconnais pas du tout que de mettre des caractères spéciaux aidera beaucoup ( à part les attaques par dictionnaire qui ne se font presque plus mais ça je l’ai déja dit )



Pour répondre à ton interrogation sur l’exemple des tables ascii

Le parrallèle est de trouver par exemple un chiffre secret de 1 à 99 en posant des questions que la bécane ne répondra que par oui ou par non.

L’idée tant de trouver en moins de questions possibles.

C’est dans cette idée que je donnais l’exemple ASCII comme quoi ça ira plus vite de réfléchir en binaire qu’en alpha

mais bon … C’était simplement pour répondre à la question







Au final j’ai compris que votre but est de réduire le nombre de possibilité. Mais c’est juste de l’amélioration pour un cas précis.

Dans la majorité des cas, avoir un mot de passe plus long avec des caractères spéciaux mettra en échec l’exemple que tu as donné (pake avoir des caractères spéciaux permet d’avoir plus de caractères différents).









JoePike a écrit :



Désolé eliumnick

Je ne voulais pas manquer de respect <img data-src=" /> mais bon c’était dur à taper pour un humain <img data-src=" />

( la j’ai fait cop/coll)



Non bien sûr je ne reconnais pas du tout que de mettre des caractères spéciaux aidera beaucoup ( à part les attaques par dictionnaire qui ne se font presque plus mais ça je l’ai déja dit )



Pour répondre à ton interrogation sur l’exemple des tables ascii

Le parrallèle est de trouver par exemple un chiffre secret de 1 à 99 en posant des questions que la bécane ne répondra que par oui ou par non.

L’idée tant de trouver en moins de questions possibles.

C’est dans cette idée que je donnais l’exemple ASCII comme quoi ça ira plus vite de réfléchir en binaire qu’en alpha

mais bon … C’était simplement pour répondre à la question







Genre le chiffre secret est 49.

Je demande à la machine si le chiffre secret est 1.

La machine me répond faux….



A moins que tu considères que la machine va t’aider à trouver (par exemple en demandant : est ce que le chiffre secret est inférieur à 50 ?), ton exemple ne marche pas.



Genre le chiffre secret est 49.

Je demande a la machine



[quote:5451794:eliumnick saf04 n’a fait que brasser de l’air.[/quote]Et être compris par Joe, ce qui a mon sens veut dire qu’il ne dit pas que des coeries…

Après moi je dis rien, je suis pas expert donc je lis.