Discussion :

[remi.gaubert]

Bonjou,

J'ai lu un tres bon cour developpez sur la sécurité et le vol de mot de passe.
J'aurai une question sur la technique du Grain De Sel (GDS), en particulier sur la partie GDS par utilisateur

Peut-on utiliser, en guise de GDS, le login de l'utilisateur ?

Je m'explique :
Dans cette technique on génere un GDS par utilisateur qu'on sauvegarde en base. On à donc l'avantage d'etre bien "protégé contre les attaques par dictionnaire car le hacker doit constituer un dictionnaire par membre, ce qui est fastidieux et décourageant.". Par contre cette technique à l'inconvénient de faire appelle a la base de donnée pour récupérer le GDS de l'utilisateur, une fois que celui ci à rentré son login.
Je propose donc d'utiliser le login de l'utilisateur en guise de GDS. On économise ainsi un appelle à la base de données, mais on garde l'avantage d'avoir un GDS par utilisateur.

J'ai peut-être raté un truc, ca me parait trop simple...
La seul inconvénient que je vois ça serait que le GDS est connu de tous. Mais c'est pas vraiment gênant car, comme cela est tres bien dit dans le cour, le GDS "transite à chaque connexion", donc le hacker le récuperera en même temps que le mot de passe crypté.


Merci pour vos réponses !

[wamania]

Salut

Effectivement, ce n'est pas une mauvaise idée.
En fait, GDS et pseudo ont la même visibilité d'un point de vue extérieur. Comme tu l'as dit, le GDS n'est pas secret. Son unique but est de rendre la constitution de dictionnaire très très pénible.
Utiliser le pseudo n'enlèvera aucune étape pour un éventuel hacker, il lui faudra de toute façon constituer son dictionnaire avec un gds par user.

La seule ombre que je vois la dedans, mais ça ne me semble un peu négligeable en fait, c'est que certains couples pseudo/mdp mis bout à bout pourraient éventuellement être cassés par force brute si ceux-ci sont trop simples.

[remi.gaubert]

Ok merci!

Je vais donc faire ca. Ca me plait bien de ne pas avoir à stocké un GDS puis de ne pas avoir à l'envoyer au moment ou le login est tapé. (Si tu peux, je pense que mettre une note dans ton cours serait pratique pour les prochains)

Je pense que si on veux vraiment se protéger des attaques par force brute, il faut prévoir un capcha et un système de blocage au delà d'un nombre maximum de tentative de connexion (d'ailleurs va falloir que je me trouve un truc pour ca ! )

EDIT: oups j'avais pas compris, tu parlais d'attaques par force brute pour casser le hash.
Je propose alors de combiné la solution du login avec un GDS global pour eviter la force brut : sha1(login+mdp+GDSglobal). Qu'en pense tu ?

Encore merci pour ton cours.

[Invité]

Ok merci!
Je pense que si on veux vraiment se protéger des attaques par force brute, il faut prévoir un capcha et un système de blocage au delà d'un nombre maximum de tentative de connexion (d'ailleurs va falloir que je me trouve un truc pour ca ! )
Encore merci pour ton cours.

Oui je penses complétement cela, avec bien sur un vrais capcha
avec fonte tordue, et deux mots a saisir !

[wamania]

Je propose alors de combiné la solution du login avec un GDS global pour eviter la force brut : sha1(login+mdp+GDSglobal). Qu'en pense tu ?

Ça me semble complet comme idée.

[remi.gaubert]

Ok merci ...bon c'est pas le tout, mais faut que je m'occupe de le codé maintenant

[spawntux]

Bonjour,

Moi je voix une ombre au tableau
Tu empeches l'utilisateur de modifier son login au cour du temps (sauf si a la modification de login tu regeneres le pass dans ce cas tu lui redemande de saisir le login).
Perso j'ai plus tendance a faire un GDS sur la date d'inscription de l'utilisateur par exemple ou plus precisement date d'inscription + 1h, ca te permet de ne pas faire connaitre ton GDS et derriere tu peux en remettre un autre.

Bien cordialement

[remi.gaubert]

Bien vu, mais comme tu le dit, ça ne me posera pas de problème car je recalcule le mot de passe lorsque l'utilisateur modifie son compte. (je ne demande pas a l'utilisateur de retaper deux fois son login, juste de taper deux fois son mot de passe car c'est un champ caché.)