Ce programmeur ne connais apparemment pas les rainbow tables v.v
EDIT :
Si la nécessité se fait sentir, je ne doute pas que des rainbow tables concaténant les mots seront créées (s'il n'en existe pas déjà).
(C'est pas comme si c'était difficile de concaténer des chaines de caractères).
et ça fait quel effet à la table d'y concaténer des mdps de 10+ caractères de long sur 52 combinaisons ?
Et au pire, tu rajoutes un peu de sel
C'est sans doute que je suis pas un vrai "g33k" mais je suis convaincu qu'un logiciel bien programmé aura mois de mal a traiter du leet que mon pauvre cerveau, qui bug dès qu'il est confronté à cette notation barbare.
C'est un peu comme ces Captcha que les robot arrivent à lire alors que même les humains se trompent régulièrement.
Heu, les gens... xkcd c'est un blog humoristique. Il s'agit juste d'une blague trollesque, pas d'une véritable démonstration. ^^'
D'ailleurs, comme sur toutes les planches d' xkcd, si vous allez sur l'originale et que vous faites un mouseover, vous aurez un petit message...
qui, pour celle-ci, dit:
To anyone who understands information theory and security, and is in an infuriating argument with someone who does not (possibly involving mixed cases), I sincerely apologize.Souriez, vous êtes trollésÀ quiconque comprenant la théorie de l'information et la sécurité, et se trouvant [maintenant] pris dans un débat irritant avec quelqu'un qui ne la connaît pas (pouvant impliquer des cas entre les deux), je m'excuse sincèrement.
@Fenn_
Bien vu, comme quoi les choses sorties de leur contexte peuvent produire des réactions "disproportionnées"
C'est un bon compromis entre simplicite et securite. Surtout si on choisis des mots non communs.
Un mot de passe ne doit pas etre forcemment difficile a retenir, il doit etre adapte a l'usage qu'on en fait.
Je pense que si on avait décidé à l'époque que les "mots de passes" soient des "phrases de passes" on aurait pas autant de problèmes de sécurité.
Si on prend une phrase de 5 mots, sachant que la langue française compte environ 200'000 mots et que nous faisons des combinaisons de mots en énumérant toutes les possibilités nous avons :
200'000^5 possibilités... (et encore, là ce n'est qu'avec des minuscules).
Si on ajoute les caractères spéciaux, les chiffres et les autres langues...
les algorithmes qui oublient leur histoire sont condamnés à la répéter
Moi je dis : de toute façon c'est tres bien d'avoir balancer toute cette psychose sur les mots de passe compliqués car un hacker ira finalement vers des solutions de brute force utilisants les caracteres + les chiffres + les caractere spéciaux alors qu'on prend il y as 10 ans, les gens mettais tous un vieux mot de passe bidon designant le premier objet qu'il avait sous les yeux y'a donc du progrés !!
Apres a propos de l'ilustration, n'en voulez pas a l'auteur si il a pas pu implémenter les rainbow table, on peu pas mettre toute la cryptanalyse en satire humouriste en 6 bulles. roooo
Vous me faites marrer avec vos rainbow table vous savez qu'en général les Rainbow table dépassent rarement +/- 14 caractères ? (par pass) car après il est impossible de gerer la taille de la table
un mot c'est souvent plus de 4 caractères, tu prends 4 mots, boom, toutes les Rainbow table ou autres tables associatives hash / pass peuvent aller se rhabiller
D'accord à 10000000000000000% : la "phrase de passe" est beaucoup plus efficace contre une attaque brute force qu'un mot de passe "minimum 8 caractères, avec au moins une majuscule, un chiffre, et un signe spécial", comme le réclament tant de DSI, visiblement peu portés sur les calculs de probabilités.............
Bonjour,
Je pense qu'il existera toujours un moyen de casser un mot de passe. C'est l'éternelle course entre le voleur et le gendarme. Tantôt l'un est en avance, tantôt c'est l'autre.
A mon sens, ce qu'il faut limiter pour éviter le crack d'un mot de passe c'est la puissance de la machine attaquante. Comment faire ? Pour ma part je n'autorise que 5 essais pour la saisie du mot de passe. Après 5 tentatives infructueuses, le compte est bloqué pour 5 minutes.
Je n'ai pas fait le calcul du temps que prendrai un crack pour 2<44 essais en intercalant 5 minutes de pause tous les 5 essais. Si quelqu'un veut s'y essayer, bravo.
Mais peut être fais je fausse route.
Bonne journée à vous.
Donnes un poisson à un homme tu le nourris un jour, apprends lui à pécher tu le nourris toute sa vie.
Bonne piste, mais qui laisse encore une chance à la brute force.
Une solution plus efficace encore, que j'avais employée à la glorieuse époque du Minitel dans des applications professionnelles (ou, il y en a eu !) : au bout de 5 tentatives je ne testais même plus le mot de passe, je répondais toujours "faux".
MAIS..... La brute force ou les dictionnaires restent possible si un fichier contenant les mots de passe a été récupéré...... d'où l'intérêt des "phrases de passe" !
Concernant les rainbowtables, je rapelle que ça n'est pas un simple dico. ça sert à retrouver rapidement un mot de passe à partir de son hash. Mais pour ça il faut déjà disposer du hash en question, ce qui n'est effectivement pas le cas le plus courant.
Concerant les mots de passe, il est nettement plus facile de retenir (et de taper sans faute) un mot de passe plus long mais sans trop de mix case ni de symboles bizares. Sinon, on va devoir l'écrire quelque part, (au hasard un post-it en bas de l'écran où sous le clavier)
quelque chose comme "&GenkorKC1PC7semN" (hé j'ai encore cassé un PC cette semaine) est nettement plus facile à retenir que Wh$;7g&k€ et est tout aussi resistant au bruteforce.
Enfin tout dépends l'importance de ce que l'on protège. un truc aussi simple que "toto" peut être suffisant pour pas mal de choses. et quelque chose de tordu comme "woKyah2ohQu5meLthae2" insuffisent pour d'autres...
Voici un lien qui renvoie sur Wikipedia. Au delà de la définition de ce qu'est la force brute, l'article m'a paru très intéressant car il fait une synthèse sur l'état de l'art.
http://fr.wikipedia.org/wiki/Attaque_par_force_brute
Donnes un poisson à un homme tu le nourris un jour, apprends lui à pécher tu le nourris toute sa vie.
Et pourquoi pas ajouter à chaque essaie X temps (par ex 10'') avant une nouvelle tentative. Je peux vous assurer qu'avec cette méthode le temps pour casser un mot de passe par force brute augmente de façon très importante .A mon sens, ce qu'il faut limiter pour éviter le crack d'un mot de passe c'est la puissance de la machine attaquante. Comment faire ? Pour ma part je n'autorise que 5 essais pour la saisie du mot de passe. Après 5 tentatives infructueuses, le compte est bloqué pour 5 minutes.
Obvious conclusion is obvious.
Heu non justement, si tu connaissais un peu la théorie de l'information et que tu prenais un peu le temps de faire quelques calculs tu verrais qu'il ne trolle pas et à bien raison.
Il faut savoir que Randall Munroe (l'auteur de xkcd) est un expert reconnu en cryptographie, et qu'il s'y connais surement 100 fois plus que toutes les personnes ayant posté ici réunies.
Non une attaque par dictionnaire ne serait ici pas plus efficace, la preuve en 5 secondes avec une simple multiplication :
2^28 = 275 millions env.
En admettant environ 2000 mots anglais courants (très loin des 200 à 300 000 mots réels)
2000^4 = 16 000 milliards env.
Soit 58000 fois plus, et c'est sans compter les combinaisons, et l'espace mémoire infiniment plus grand que cela nécessiterai.
La palme allant quand même à Fanvan qui poste comme argument un lien qui lui donne totalement tort...
Je ne suis pas d'accord.
Si tout le monde commençait à utiliser ce genre de phrases, les mots de passes seraient quand même simple à deviner. Il faudrait des phrases plus longues.
Cependant la remarque est intéressante.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager