Bonjour,
j'essaye de configurer pam pour qu'il vérifie à chaque authentification ssh la complexité du mot de passe saisi. Sauf que je ne vois aucun .so qui sache faire ça.
Vous en connaissez un ? ou une manière de tester ça?
Merci
Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
authentification pam.d complexité
Bonjour,
j'essaye de configurer pam pour qu'il vérifie à chaque authentification ssh la complexité du mot de passe saisi. Sauf que je ne vois aucun .so qui sache faire ça.
Vous en connaissez un ? ou une manière de tester ça?
Merci
le mot de passe ne passant jamais en clair, c'est impossible à vérifier.
Au moment où je le saisi il devrait être capable de le vérifier non?
Le moment ou le mot de passe est du coté client, pour que cela fonctionne tous les clients ( windows, mac, beos, unix ) devraient devoir utiliser pam. Désolé mais ce n'est pas le cas.
De plus, je ne pense pas qu'un protocole sérieux fasse confiance au coté client.
J'aimerais bien que tu m'en dises un peu plus pour que je comprenne bien.
J'ouvre une connexion ssh avec mon serveur linux.
Le serveur me demande un login puis mon mot de passe. Là je pensais que ma connexion sécurisée était montée entre moi et mon serveur.
J'ai l'impression que c'est mon serveur qui gère tout, qu'il y a juste un tunnel entre moi et mon serveur. C'est bien lui qui m’envoie "bouler" quand je donne un mauvais mot de passe donc il le connait forcément non? Même si il est chiffré mon serveur le déchiffre pour pouvoir tester si il est bon ou pas non?
Prenons un autre exemple, je n'ai pas de connexion ssh mais je branche un clavier et écran directement sur mon serveur. Je ne peux pas tester la complexité du mot de passe avec pam?
Bonjour,
Sous unix, de tout temps, le mots de passe est crypter de manière irréversible.
En fait, pour simplifier, le mot de passe est on va dire signé et cette signature est enregistrée dans la base du système unix en question (/etc/passwd, ou /etc/shadow, ou /etc/master.password, ou autre comme les yellow page, nis, ldap, tout dépend de la forme de sécurité employé).
Ensuite, lorsque tu veux te reloguer, le serveur reprend le mot de passe que tu lui donnes, le resigne dans les mêmes conditions et vérifie que cette signature concorde.
Et par sécurité, en principe, maintenant, même la signature n'est plus accessible que par root.
Cordialement.
ce que dit disedorgue est tout à fait juste mais je me permet de simplifier une peu les explications données.
Tout d'abord, lorsque qu'un mot de passe est enregistrer pour un utilisateur unix, il est crypté et enregistré sous sa forme cryptée. l'algorithme utilisé pour crypter ce mot de passe est dite non-reversible, c-a-d qu'a partir de la forme crypté, il n'est pas possible de revenir sur le mot de passe "en clair".
Lorsqu'un utilisateur change de mot de passe sur le système, il est possible de vérifier à ce moment la, avant d’être enregistré si il correspond à des critères de sécurités ( longueurs, type de caractères ... etc ). dès que le mot de passe est vérifié, il est crypté.
Lorsqu'un utilisateur se logue sur le système, il tape son mot de passe celui ci sera crypté à la volée et comparée à l'entrée dans le fichier des mots de passe. S'il y a correspondance, on autorise l'accès, sinon non.
Pour éviter toute ambiguïté, le mot de passe est crypté à la volée coté serveur et non coté client, c'est ce qui explique qu'il passe en claire sur des protocoles tels que telnet ou rsh par exemple.Envoyé par becket
Cordialement.
par définition non ! surtout pas
un simple key-loggueur soft permettrai alors d'intercepter le password !!!!!!!!!! ce serait encore plus simple qu'avec un telnet ....et un tcpdump
ce serait du suicide de rentre cette fonction là telle que tu la décrit.
le seul moment où il est potentiellement possible de le faire sans trop de risque c'est à la CREATION du password. et encore.... là aussi avec un key-loggueur tu peux voler le password .....
Oui j'avais bien saisi que le mot de passe est crypter au niveau du stockage sur mon serveur.
Si il est crypté à la volée sur mon serveur, il devrait être capable de vérifier la complexité non? Il le crypte au moment de la saisie avant même de faire quoique ce soit?
Mais lorsqu'on utilise une authentification ldap, il le crypte à la volé mais après il est bien obligé de le décrypter pour comparé avec le ldap. non?
???par définition non ! surtout pas
un simple key-loggueur soft permettrai alors d'intercepter le password !!!!!!!!!! ce serait encore plus simple qu'avec un telnet ....et un tcpdump
ce serait du suicide de rentre cette fonction là telle que tu la décrit.
le seul moment où il est potentiellement possible de le faire sans trop de risque c'est à la CREATION du password. et encore.... là aussi avec un key-loggueur tu peux voler le password .....
Si il y a un keylogger du côté de mon client il verra forcément ma saisie non? Et si il y a un key loggueur sur mon serveur, il est déjà corrompu, il n'a même plus d'intérêt à vouloir un mot de passe si il est déjà rentré non?
Le mot de passe n'est ni crypté, ni signé. On calcule une empreinte de mot de passe.
Les empreintes digitales permettent de différencier 2 humains mais on ne peut pas reconstruire l'humain à partir des son empreinte digitale.
Les empreintes de mots de mots de passe permettent de différencier 2 mdp mais on ne peut pas reconstruire le mdp à partir de l'empreinte.
Ce que font les petits malins, c'est calculer l'empreinte des mots courant: 123456, alibaba, Joséphine, etc...
"saler un mot de passe", c'est ajouter des caractères pour le complexifier. Si tu as peur de la complexité trop faible de tes empreintes, complexifie le tout et recalcule une empreinte que tu stockeras. Même si on te vole ton nouveau fichier d'empreinte, il faut encore connaître le salage pour l'exploiter.
Cette réponse vous apporte quelque chose ? Cliquez suren bas à droite du message.
Il y a un livre qui parle de ça?
Tout à fait d'accord avec Flodelarab en ce qui concerne le "salage" des fichiers d'empreintes.
Et concernant un stockage dans un annuaire ldap ou autre pages jaune, ce qui est stocké, c'est l'empreinte pas le mot de passe.
Un autre point, concernant le fait de forcer un certain niveau de mot de passe, c'est que si l'utilisateur est par exemple obligé de suivre des règles trop forte alors tu réduits d'autant l'attaque par force brute si l'attaquant connait la règle.
Il vaut mieux instruire les utilisateurs de créer des mots de passe fort que de les forcer "techniquement" à le faire.
Cordialement.
Il y a quelque chose que je ne saisi pas.
Le serveur calcul une empreinte lorsque je me log. ok
Mon mot de passe est enregistrer dans mon serveur ldap en SHA ou MD5...
Pour comparer le mot de passe saisi (qui n'est maintenant qu'une empreinte) avec le mot de passe dans le ldap, il fait comment?
De la même manière que si il était entreposé dans un fichier.
-Tu saisis ton mot de passe
-Le serveur en fait une empreinte
-Il récupère l'empreinte du vrai mot de passe en demandant au serveur ldap ,nis,ou la récupère dans un fichier.
-puis compare les 2 empreintes.
Cordialement.
Du coup les empreintes doivent être créé de la même façon sur le ldap et sur mon serveur où je veux être identifié non?
Le SHA, MD5... c'est pas du chiffrement de mot de passe mais une empreinte?
SHA et MD5, c'est pour de la signature ou de l'empreinte.
Un chiffrement, c'est pour pouvoir faire du déchiffrement derrière.
Sous unix, les mot de passe ne sont pas déchiffrables.
En principe, lors de création du mot de passe c'est la lib c (ancien) ou crypt (actuel) qui se charge de créer l'empreinte du password et de la communiquer au tiers (files,nis,ldap,...) qui se chargera de la sauvegarder.
Cordialement.
ok merci pour l'explication.
Du coup si j'ai un serveur quelconque, admettons un dns et je veux m'authentifier à l'aide d'un compte ldap.
ça veut dire que mes 2 serveurs créé la même empreinte? si ce n'est pas le cas quand mon dns va vérifier le mdp saisie ça ne sera pas le même et je n'arriverais pas à m'authentifier. Mais si c'est le cas ce n'est pas une faille de sécurité que tous les serveurs fasse la même empreinte pour un même mot de passe?
Dans l'empreinte stocker sur le server nis ou ldap ou file, il y a la salt de rattaché qui permet au serveur de recréer l'empreinte du mot de passe dans les mêmes conditions ensuite il compare les empreintes.
si tu veux comprendre comment il crypte, fait un:
Code : Sélectionner tout - Visualiser dans une fenêtre à part man 3 crypt
Cordialement.
La première chose à dire est qu'une loi de Kerchoff dit que la sécurité ne doit pas être dans l'algorithme. Si le secret est dans l'algo, le crypto-système est mauvais.Mais si c'est le cas ce n'est pas une faille de sécurité que tous les serveurs fasse la même empreinte pour un même mot de passe?
La sécurité de l'empreinte vient de sa longueur, car il faudrait faire tous les cas possibles pour la craquer.
C'est à ce moment là qu'il faut parler de la faille des anniversaires. Elle-même tirée du paradoxe des anniversaires.
Si tu cherches, dans une foule de 50 personnes, une personne qui a le même anniversaire que toi, la probabilité de réussir est très faible. Mais si tu cherches 2 personnes dans cette foule qui ont le même anniversaire, la probabilité est très forte
.
Il en découle que qqun peut fabriquer 2 fichiers ayant la même empreinte pour faire une arnaque. (Avec de gros moyen, du temps et peu de contrainte sur le document).
Mais si on a une empreinte seule et que qqun cherche un fichier donnant la même empreinte, il échouera.
Donc, non, ce n'est pas une faille que tout le monde utilise le même système d'empreinte.
Et j'enfonce le clou en rappelant que tout le monde utilise RSA (même algo connu et clé différente) comme on utilise SHA-256 (même algo connu et mot de passe différent)
Cette réponse vous apporte quelque chose ? Cliquez sur
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager