[Sécurité] Force brut - comment s'en défaire et en faire? [Fait]

Ministar · 30/01/2007, 15h03

J'en ai entendu parler il n'y a pas longtemps du coup je me pose des questions sur l'avenir de mon site.
Comment faire pour ne pas laisser faire de la force brut?
Au delà de la protection je me suis aussi demandé comment créer un bot qui executerais de la force brut sur mon site pour que je puisse tester sa résistance?

Merci

titoumimi · 30/01/2007, 15h30

essayer de trouver un mot de passe par la force brute, ça revient à tester toutes les combinaisons possibles pour un ensemble donné de caractères...

http://www.developpez.net/forums/sho...d.php?t=271850

Pour s'en protéger, il suffit par exemple soit d'imposer un délai entre deux essais, soit bloquer le compte au bout de X essais faux...

Ministar · 30/01/2007, 15h48

Merci pour les réponses, je vais voir comment les mettres en oeuvre.
En ce qui concerne la deuxième partie de ma question, comment puis-je fabrique moi même un bot?

mathieugamin · 31/01/2007, 17h27

@Titoumimi
Est-ce que tu as un exemple de code pour mettre un délai entre 2 essais?
Quelle fonction utilises-tu?

Merci !

titoumimi · 31/01/2007, 17h59

Citation:

Envoyé par mathieugamin

@Titoumimi
Est-ce que tu as un exemple de code pour mettre un délai entre 2 essais?
Quelle fonction utilises-tu?

Merci !

on suppose que ton pass est stoqué en DB.
En cas d'erreur, tu va stoquer le timestamp dans ta base. à la prochaine tentative, tu va comparer la différence entre le timestamp stoqué et le timestamp courrant, et à ce moment là tester ou non le passord.

mathieugamin · 31/01/2007, 18h02

Mais bien sûr !
Merci, c'est en fait tout simple !

Ben je vais essayer ça tout de suite !

Merci

balu · 01/02/2007, 17h10

Citation:

Envoyé par titoumimi

on suppose que ton pass est stoqué en DB.
En cas d'erreur, tu va stoquer le timestamp dans ta base. à la prochaine tentative, tu va comparer la différence entre le timestamp stoqué et le timestamp courrant, et à ce moment là tester ou non le passord.

Tu pourrais aussi doublé le délai d'attente entre chaque tentative.

bigsister · 04/02/2007, 22h42

effectivement je n'y avais pas pensé... pas bête si ce n'est que ça peut embêter le vrai détenteur du compte. Moi je loggue l'IP si erreur. Au bout de 3 logs je bloque l'accès pour cette IP pendant X temps... Ce n'est pas parfait mais bon. Je me demande lequel des 2 systèmes est le mieux ?

balu · 04/02/2007, 23h51

Citation:

Envoyé par bigsister

si ce n'est que ça peut embêter le vrai détenteur du compte.

À mon sens, le vrai détenteur du compte ne s'amusera pas à essayer 20 mots de passe, il va normalement utiliser la procédure de récupération de mot de passe.

bigsister · 05/02/2007, 12h17

Citation:

À mon sens, le vrai détenteur du compte ne s'amusera pas à essayer 20 mots de passe, il va normalement utiliser la procédure de récupération de mot de passe.

-> oui mais s'il passe juste après le hacker, il ne pourra pas se connecter à son compte car celui-ci l'aura bloqué...

yjuliet · 08/02/2007, 15h34

Pour ma part, je suis plus favorable au blocage par IP, éventuellement combinée au blocage de compte, mais rien n'est parfait dans le domaine. Juste pour rappel, les attaques par force brute ne sont pas aussi fréquentes que les attaques par social engineering, sans compter que meilleur est le mot de passe, plus l'attaque par force brute est inefficace.

Il est donc, à mon avis, plus intéressant de lutter pour avoir des mots de passe "sérieux" que pour éviter toutes les attaques qui seront statistiquement trop longues (peu de sites permettent par le débit de faire plus de 50 tentatives par seconde. Si tu as des mots de passe suffisamment complexes (au moins 8 chiffres + lettres Maj + Lettres Min + Caractères spéciaux)), le nombre de combinaisons à tester pour trouver un mot de passe (en supposant qu'un nom d'utilisateur soit connu) avoisine les 1,7 millions de milliards de possibilités et donc, même en considérant 1000000 de tentatives par seconde, tu peux attendre 53000 années pour être certain que le hacker ait trouvé ton mot de passe. Je ne chercherai donc pas à calculer si tu ajoutes quelques caractères aux mots de passe.

Le seul site qui sera vraiment sécurisé est un site sur un serveur qui n'est pas connecté physiquement et éteint.

Amnesiak · 20/02/2007, 10h16

Citation:

Envoyé par bigsister

-> oui mais s'il passe juste après le hacker, il ne pourra pas se connecter à son compte car celui-ci l'aura bloqué...

Exactement, c'est le principe de l'attaque du Deny of Service (DoS), faille souvent exploitée pour nuire à un utilisateur particulier.

30/01/2007, 15h03	#1
Ministar Nouveau Membre du Club Inscription : septembre 2006 Messages : 143 Détails du profil Informations personnelles : Âge : 25 Informations forums : Inscription : septembre 2006 Messages : 143 Points : 25 Points : 25	[Sécurité] Force brut - comment s'en défaire et en faire? J'en ai entendu parler il n'y a pas longtemps du coup je me pose des questions sur l'avenir de mon site. Comment faire pour ne pas laisser faire de la force brut? Au delà de la protection je me suis aussi demandé comment créer un bot qui executerais de la force brut sur mon site pour que je puisse tester sa résistance? Merci
	00

30/01/2007, 15h30	#2
titoumimi Expert Confirmé Inscription : décembre 2003 Messages : 3 717 Détails du profil Informations personnelles : Âge : 31 Informations forums : Inscription : décembre 2003 Messages : 3 717 Points : 3 082 Points : 3 082	essayer de trouver un mot de passe par la force brute, ça revient à tester toutes les combinaisons possibles pour un ensemble donné de caractères... http://www.developpez.net/forums/sho...d.php?t=271850 Pour s'en protéger, il suffit par exemple soit d'imposer un délai entre deux essais, soit bloquer le compte au bout de X essais faux... __________________ Globalement inoffensif Merci de respecter les règles du forum. Aucune question technique par MP ! _______________________________________________________________________ La rubrique Ruby / Rails recrute. Contactez moi ! _______________________________________________________________________ Cours Ruby et Ruby on Rails (RoR) - FAQ Ruby / Rails - Livres Ruby / Rails Ajax facile avec Ruby on Rails, Prototype, script.aculo.us et les RJS Tutoriaux HTML/CSS et PHP
	00

31/01/2007, 17h27	#4
mathieugamin Membre expérimenté Inscription : octobre 2006 Messages : 572 Détails du profil Informations personnelles : Âge : 32 Informations forums : Inscription : octobre 2006 Messages : 572 Points : 562 Points : 562	@Titoumimi Est-ce que tu as un exemple de code pour mettre un délai entre 2 essais? Quelle fonction utilises-tu? Merci ! __________________ GAMIN !!!! _______________________________________________ PHP 5.2 \| Apache 2 \| MySQL 5 \| WinXP Pro \| Mac OSX
	00

31/01/2007, 18h02	#6
mathieugamin Membre expérimenté Inscription : octobre 2006 Messages : 572 Détails du profil Informations personnelles : Âge : 32 Informations forums : Inscription : octobre 2006 Messages : 572 Points : 562 Points : 562	Mais bien sûr ! Merci, c'est en fait tout simple ! Ben je vais essayer ça tout de suite ! Merci __________________ GAMIN !!!! _______________________________________________ PHP 5.2 \| Apache 2 \| MySQL 5 \| WinXP Pro \| Mac OSX
	00

30/01/2007, 15h48	#3
Ministar Nouveau Membre du Club Inscription : septembre 2006 Messages : 143 Détails du profil Informations personnelles : Âge : 25 Informations forums : Inscription : septembre 2006 Messages : 143 Points : 25 Points : 25	Merci pour les réponses, je vais voir comment les mettres en oeuvre. En ce qui concerne la deuxième partie de ma question, comment puis-je fabrique moi même un bot?
	00

04/02/2007, 22h42	#8
bigsister Membre actif OLE MAIN() Développeur Web Inscription : octobre 2002 Messages : 296 Détails du profil Informations personnelles : Nom : OLE MAIN() Localisation : France Informations professionnelles : Activité : Développeur Web Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : octobre 2002 Messages : 296 Points : 191 Points : 191	effectivement je n'y avais pas pensé... pas bête si ce n'est que ça peut embêter le vrai détenteur du compte. Moi je loggue l'IP si erreur. Au bout de 3 logs je bloque l'accès pour cette IP pendant X temps... Ce n'est pas parfait mais bon. Je me demande lequel des 2 systèmes est le mieux ?
	00

08/02/2007, 15h34	#11
yjuliet Membre éprouvé Yvan Consultant informatique Inscription : août 2006 Messages : 360 Détails du profil Informations personnelles : Nom : Yvan Âge : 32 Localisation : France Informations professionnelles : Activité : Consultant informatique Secteur : High Tech - Produits et services télécom et Internet Informations forums : Inscription : août 2006 Messages : 360 Points : 402 Points : 402	Pour ma part, je suis plus favorable au blocage par IP, éventuellement combinée au blocage de compte, mais rien n'est parfait dans le domaine. Juste pour rappel, les attaques par force brute ne sont pas aussi fréquentes que les attaques par social engineering, sans compter que meilleur est le mot de passe, plus l'attaque par force brute est inefficace. Il est donc, à mon avis, plus intéressant de lutter pour avoir des mots de passe "sérieux" que pour éviter toutes les attaques qui seront statistiquement trop longues (peu de sites permettent par le débit de faire plus de 50 tentatives par seconde. Si tu as des mots de passe suffisamment complexes (au moins 8 chiffres + lettres Maj + Lettres Min + Caractères spéciaux)), le nombre de combinaisons à tester pour trouver un mot de passe (en supposant qu'un nom d'utilisateur soit connu) avoisine les 1,7 millions de milliards de possibilités et donc, même en considérant 1000000 de tentatives par seconde, tu peux attendre 53000 années pour être certain que le hacker ait trouvé ton mot de passe. Je ne chercherai donc pas à calculer si tu ajoutes quelques caractères aux mots de passe. Le seul site qui sera vraiment sécurisé est un site sur un serveur qui n'est pas connecté physiquement et éteint.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email