Discussion :

[poussinphp]

Bonjour à tous !

Je doit faire un générateur de mot de passe en entreprise. Le programme doit générer un mot de passe sur une longueur de 8 caractères et le mot de passe peut contenir des chiffres et des lettres. Il doit être généré depuis un mot qui peut être indéfini.

Le but de ce logiciel et de pouvoir fournir un mot de pass de base (ou de reinitialisation) à nos clients d'après leurs nom.

J'ai cherché un peut partout mais je n'ai rien trouvé de bien Je me suis cassé la tête en me disant de de couper ou ajouter des bout de mot si le login etais trop grand ou trop petit mais j'arrive pas.

Quelqu'un aurais une piste d'algo à faire?

[jobherzt]

je ne comprends pas bien le probleme... s'il suffit d'obtenir un MDP a partir d'un nom, suffit de couper si ca fait plus de 8, et d'ajouter un caractere donné si c'est trop court... ou alors je n'ai pas compris !

[homeostasie]

J'ai cherché un peut partout mais je n'ai rien trouvé de bien Je me suis cassé la tête en me disant de de couper ou ajouter des bout de mot si le login etais trop grand ou trop petit mais j'arrive pas.

Tu n'arrives pas à faire quoi?
A programmer le code pour pouvoir découper la chaine de saisie?

Une fois que tu as ton mot de 8 caractères, tu appliques un algo de chiffrement. Soit tu te fais ta sauce soit t'en recherches un existant dont le principe est décrit.

[®om]

Et pourquoi tu veux absolument que le mot de passe dépende du pseudo (et pas un mot de passe aléatoire)?

[homeostasie]

Et pourquoi tu veux absolument que le mot de passe dépende du pseudo (et pas un mot de passe aléatoire)?

Et si le pseudo hasard fait qu'il se retrouve avec deux codes identiques pour deux personnes différentes...

L'algo devra tenir compte de la possiblité de deux noms identiques pour éviter ce même cas.

[®om]

Et si le pseudo hasard fait qu'il se retrouve avec deux codes identiques pour deux personnes différentes...

L'algo devra tenir compte de la possiblité de deux noms identiques pour éviter ce même cas.

Un mot de passe, même si 2 personnes ont le même, ça n'est pas génant (d'ailleurs, si c'est limité à un nombre de caractères, ici 8, que tu fasses de l'aléatoire ou un mot de passe basé sur le pseudo, tu peux quand même avoir 2 mots de passes identiques pour 2 noms différents)

PS: Et d'ailleurs, c'est plus sécurisé de faire de l'aléatoire, sinon si qqn met la main sur ton algo de correspondance pseudo-mot de passe, c'est pas dur de trouver le mdp de n'importe qui

[homeostasie]

Un mot de passe, même si 2 personnes ont le même, ça n'est pas génant (d'ailleurs, si c'est limité à un nombre de caractères, ici 8, que tu fasses de l'aléatoire ou un mot de passe basé sur le pseudo, tu peux quand même avoir 2 mots de passes identiques pour 2 noms différents)

Disons que je me disais que le mot de passe devait être indépendant du nom une fois qu'il a été généré.
J'entends par là, que l'utilisteur a besoin de saisir seulement son MDP sans spécifier son pseudo pour accéder à ses données perso.

Et d'ailleurs, c'est plus sécurisé de faire de l'aléatoire, sinon si qqn met la main sur ton algo de correspondance pseudo-mot de passe, c'est pas dur de trouver le mdp de n'importe qui

Bien, les algos de chiffrement possèdent souvent une partie pseudo aléatoire. Notamment lorsqu'on utilise un vecteur d'initialisation. Celui ci peut être généré à base d'un rand() qui sera lui même initialisé au départ par l'heure du système afin de rendre tout cela un peu plus aléatoire.
A partir de là, ca devient bien plus dur de déchiffrer l'algo...

Il faut noter qu'en informatique, on n'a pas réellement de moyen de générer des sorties purement aléatoire...D'ou la necessité de générer un chiffrement.

De plus il y a des fonctions/algos de hashage qui rend impossible ou très difficile le retour au nom d'origine. Ce sont des fonctions à sens unique!

D'ailleurs, par rapport à ton post de reverse engeneering, j'espère que ce n'est pas un algo de ce genre....

[®om]

Disons que je me disais que le mot de passe devait être indépendant du nom une fois qu'il a été généré.
J'entends par là, que l'utilisteur a besoin de saisir seulement son MDP sans spécifier son pseudo pour accéder à ses données perso.


Bien, les algos de chiffrement possèdent souvent une partie pseudo aléatoire. Notamment lorsqu'on utilise un vecteur d'initialisation. Celui ci peut être généré à base d'un rand() qui sera lui même initialisé au départ par l'heure du système afin de rendre tout cela un peu plus aléatoire.
A partir de là, ca devient bien plus dur de déchiffrer l'algo...

Il faut noter qu'en informatique, on n'a pas réellement de moyen de générer des sorties purement aléatoire...D'ou la necessité de générer un chiffrement.

De plus il y a des fonctions/algos de hashage qui rend impossible ou très difficile le retour au nom d'origine. Ce sont des fonctions à sens unique!

D'ailleurs, par rapport à ton post de reverse engeneering, j'espère que ce n'est pas un algo de ce genre....

Si tu utilises un algo qui utilise une partie aléatoire, tu ne seras donc pas sûr que tu auras une application pseudo->mot de passe.

Et même si tu en prends une qui n'est pas aléatoire (genre hash MD5), tu as juste la détermination pseudo->mot de passe (et non mot de passe->pseudo), donc ça ne garantit en aucun cas l'unicité du mot de passe pour des pseudos différents.

D'ailleurs, n'importe quelle fonction que tu trouverais ne pourra te garantir cela, étant donné que le cardinal de l'ensemble des pseudos est plus grand que le cardinal de l'ensemble des mots de passes de 8 caractères.

Le mieux pour générer ce genre de chose, d'après moi, c'est de faire les 8 caractères consécutivement, en piochant dans [A-Za-z0-9] avec une loi uniforme (un rand())...

Il faut noter qu'en informatique, on n'a pas réellement de moyen de générer des sorties purement aléatoire...D'ou la necessité de générer un chiffrement.

Tant qu'on a une fonction qui te donne une loi qui se comporte comme une loi uniforme sur [0;1], on peut appeler ça de l'aléatoire

[homeostasie]

Si tu utilises un algo qui utilise une partie aléatoire, tu ne seras donc pas sûr que tu auras une application pseudo->mot de passe.

Muais, c'est vrai...

Et même si tu en prends une qui n'est pas aléatoire (genre hash MD5), tu as juste la détermination pseudo->mot de passe (et non mot de passe->pseudo), donc ça ne garantit en aucun cas l'unicité du mot de passe pour des pseudos différents

C'est clair! Je voulais souligné le fait que dans ce cas, très très dur de déchiffrer.

D'ailleurs, n'importe quelle fonction que tu trouverais ne pourra te garantir cela, étant donné que le cardinal de l'ensemble des pseudos est plus grand que le cardinal de l'ensemble des mots de passes de 8 caractères.

Oui sauf si comme il est dit dans le premier post, il coupe ou élargit le pseudo saisi afin qu'il soit sur 8 caractères.

Le mieux pour générer ce genre de chose, d'après moi, c'est de faire les 8 caractères consécutivement, en piochant dans [A-Za-z0-9] avec une loi uniforme (un rand())...

Ca me semble pas mal, en effet.

[®om]

Oui sauf si comme il est dit dans le premier post, il coupe ou élargit le pseudo saisi afin qu'il soit sur 8 caractères.

S'il coupe le pseudo pour la génération du mot de passe, abcdefghijkl et abcdefghzzzz auront le même mot de passe...

[lyxthe]

J'entends par là, que l'utilisteur a besoin de saisir seulement son MDP sans spécifier son pseudo pour accéder à ses données perso.

hein? c'est bizarre j'ai rarement vu ça pour ne pas dire jamais. L'interet d'un mot de passe c'est d'accéder à un compte, et le compte prend pour référence le nom d'utilisateur, ou son pseudo ou son login. Et le login et le mot de passes sont deux choses différentes.

Relier les deux en faisant d'un mot de passe à la fois une sécurité mais aussi une référence à un compte est assez tordu je trouve.

Enfin c'est mon avis.

[2Eurocents]

L'interet d'un mot de passe c'est d'accéder à un compte, et le compte prend pour référence le nom d'utilisateur, ou son pseudo ou son login. Et le login et le mot de passes sont deux choses différentes.

Relier les deux en faisant d'un mot de passe à la fois une sécurité mais aussi une référence à un compte est assez tordu je trouve.

En fait, il y a, ici, confusion entre deux rôles du couple "login/passwd".

Cette paire d'information assure deux fonctions :

1. L'identification par le login -> je dis qui je suis.
2. L'authentification par le mot de passe -> Je confirme qui je suis par une information connue de moi-seul.

Cette confusion entre les deux rôles est à la mode actuellement. C'est dessus que reposent de trop nombreuses applications pseudo-sécuritaires basées sur la biométrie par exemple.

La paire identification/authentification est indispensable et indissociable. Toute solution reposant sur une seule des deux parties - ou sur une fonction unissant les deux - est FAIBLE sécuritairement.

[homeostasie]

hein? c'est bizarre j'ai rarement vu ça pour ne pas dire jamais.

J'ai déjà vu sur un site WEB où il était demandé seulement un mot de passe pour accéder aux informations de ce site.

Relier les deux en faisant d'un mot de passe à la fois une sécurité mais aussi une référence à un compte est assez tordu je trouve.

Je trouve aussi mais je répondais aussi en fonction de la question du posteur!

[JeitEmgie]

Bonjour à tous !

Je doit faire un générateur de mot de passe en entreprise. Le programme doit générer un mot de passe sur une longueur de 8 caractères et le mot de passe peut contenir des chiffres et des lettres. Il doit être généré depuis un mot qui peut être indéfini.

Le but de ce logiciel et de pouvoir fournir un mot de pass de base (ou de reinitialisation) à nos clients d'après leurs nom.

J'ai cherché un peut partout mais je n'ai rien trouvé de bien Je me suis cassé la tête en me disant de de couper ou ajouter des bout de mot si le login etais trop grand ou trop petit mais j'arrive pas.

Quelqu'un aurais une piste d'algo à faire?

APG (Automated Password Generator)
http://www.adel.nursat.kz/apg/

OpenSource et multi-OS…