IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Utilisons-nous des mots de passe difficiles à retenir, mais inefficaces ?


Sujet :

Sécurité

  1. #21
    Membre habitué
    Homme Profil pro
    Étudiant
    Inscrit en
    Janvier 2009
    Messages
    86
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Janvier 2009
    Messages : 86
    Points : 180
    Points
    180
    Par défaut
    Citation Envoyé par Freem Voir le message
    C'est complètement faux.

    A ce que je me souviens du moment ou je m'amusais a fouiller les techniques du côté obscur du net (mais j'ai jamais été super bon, j'ai toujours préféré le offline), on utilise d'abord une attaque par dico avant l'attaque en force brute.

    D'ailleurs, les soft de brute force, il me semble, intègrent le dico avant.
    Il me semble également qu'il est possible de régler une "priorité" sur les caractères utilisés, ce qui fait que selon la personne que l'on attaque, on va régler tout ça différemment. Si c'est pas un geek (majorité des gens tout de même) on peut être quasi sûr qu'il y aura peu de caractères exotiques, et on peut donc les mettre en priorité faible.
    Les algo s'appliquent aussi au brute force...

    Je me trompe peut-être, je n'ai jamais aimé le brute force, ou l'attaquant ne fais rien... ni côté artistique ni côté technique, tant qu'a faire bosser mon pc, autant que ce soit pour compiler...
    Sauf que les dictionnaires permettent de trouver des mots, pas des combinaisons absurdes de mots, d'où le raisonnement qu'il expose dans ses dessins.

  2. #22
    Membre du Club
    Profil pro
    Inscrit en
    Novembre 2010
    Messages
    43
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2010
    Messages : 43
    Points : 58
    Points
    58
    Par défaut
    Ce programmeur ne connais apparemment pas les rainbow tables v.v

    EDIT :
    Citation Envoyé par Louhike Voir le message
    Sauf que les dictionnaires permettent de trouver des mots, pas des combinaisons absurdes de mots, d'où le raisonnement qu'il expose dans ses dessins.
    Si la nécessité se fait sentir, je ne doute pas que des rainbow tables concaténant les mots seront créées (s'il n'en existe pas déjà).
    (C'est pas comme si c'était difficile de concaténer des chaines de caractères).

  3. #23
    Membre confirmé
    Profil pro
    Inscrit en
    Novembre 2003
    Messages
    114
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2003
    Messages : 114
    Points : 618
    Points
    618
    Par défaut
    Citation Envoyé par Totony Voir le message
    Ce programmeur ne connais apparemment pas les rainbow tables v.v

    EDIT :


    Si la nécessité se fait sentir, je ne doute pas que des rainbow tables concaténant les mots seront créées (s'il n'en existe pas déjà).
    (C'est pas comme si c'était difficile de concaténer des chaines de caractères).
    et ça fait quel effet à la table d'y concaténer des mdps de 10+ caractères de long sur 52 combinaisons ?

    Et au pire, tu rajoutes un peu de sel

  4. #24
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 552
    Points : 15 463
    Points
    15 463
    Par défaut
    Citation Envoyé par gagaches Voir le message

    Au contraire, une attaque par dico est compliquée quand elle ne connait pas toutes les règles de permutations appliquées.

    Exple :
    - permutation partielle des voyelles en leet
    - permutation des e et des s en leet
    - permutation des e en z (pas de leet, juste un choix de permutation connu)
    - etc

    Ce sont des règles que notre cerveau fera facilement :
    " phrase simple" + "règle de permutation"
    c'est bcp plus facile à retenir qu'un !%*45au#pùk£nou%$
    C'est sans doute que je suis pas un vrai "g33k" mais je suis convaincu qu'un logiciel bien programmé aura mois de mal a traiter du leet que mon pauvre cerveau, qui bug dès qu'il est confronté à cette notation barbare.
    C'est un peu comme ces Captcha que les robot arrivent à lire alors que même les humains se trompent régulièrement.

  5. #25
    Membre averti
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Mai 2010
    Messages
    86
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mai 2010
    Messages : 86
    Points : 304
    Points
    304
    Par défaut
    Heu, les gens... xkcd c'est un blog humoristique. Il s'agit juste d'une blague trollesque, pas d'une véritable démonstration. ^^'
    D'ailleurs, comme sur toutes les planches d' xkcd, si vous allez sur l'originale et que vous faites un mouseover, vous aurez un petit message...

    qui, pour celle-ci, dit:

    To anyone who understands information theory and security, and is in an infuriating argument with someone who does not (possibly involving mixed cases), I sincerely apologize.
    À quiconque comprenant la théorie de l'information et la sécurité, et se trouvant [maintenant] pris dans un débat irritant avec quelqu'un qui ne la connaît pas (pouvant impliquer des cas entre les deux), je m'excuse sincèrement.
    Souriez, vous êtes trollés

  6. #26
    Expert éminent sénior

    Homme Profil pro
    Développeur Web
    Inscrit en
    Septembre 2010
    Messages
    5 380
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Septembre 2010
    Messages : 5 380
    Points : 10 410
    Points
    10 410
    Par défaut
    @Fenn_
    Bien vu, comme quoi les choses sorties de leur contexte peuvent produire des réactions "disproportionnées"

  7. #27
    Membre à l'essai
    Inscrit en
    Décembre 2008
    Messages
    16
    Détails du profil
    Informations forums :
    Inscription : Décembre 2008
    Messages : 16
    Points : 11
    Points
    11
    Par défaut
    C'est un bon compromis entre simplicite et securite. Surtout si on choisis des mots non communs.

    Un mot de passe ne doit pas etre forcemment difficile a retenir, il doit etre adapte a l'usage qu'on en fait.

  8. #28
    Membre confirmé
    Homme Profil pro
    Inscrit en
    Octobre 2010
    Messages
    83
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : Octobre 2010
    Messages : 83
    Points : 536
    Points
    536
    Par défaut
    Je pense que si on avait décidé à l'époque que les "mots de passes" soient des "phrases de passes" on aurait pas autant de problèmes de sécurité.

    Si on prend une phrase de 5 mots, sachant que la langue française compte environ 200'000 mots et que nous faisons des combinaisons de mots en énumérant toutes les possibilités nous avons :

    200'000^5 possibilités... (et encore, là ce n'est qu'avec des minuscules).

    Si on ajoute les caractères spéciaux, les chiffres et les autres langues...

    les algorithmes qui oublient leur histoire sont condamnés à la répéter

  9. #29
    Membre averti Avatar de thorium90
    Homme Profil pro
    Technicien réseaux et télécoms
    Inscrit en
    Juillet 2008
    Messages
    120
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Technicien réseaux et télécoms
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Juillet 2008
    Messages : 120
    Points : 328
    Points
    328
    Par défaut
    Moi je dis : de toute façon c'est tres bien d'avoir balancer toute cette psychose sur les mots de passe compliqués car un hacker ira finalement vers des solutions de brute force utilisants les caracteres + les chiffres + les caractere spéciaux alors qu'on prend il y as 10 ans, les gens mettais tous un vieux mot de passe bidon designant le premier objet qu'il avait sous les yeux y'a donc du progrés !!

    Apres a propos de l'ilustration, n'en voulez pas a l'auteur si il a pas pu implémenter les rainbow table, on peu pas mettre toute la cryptanalyse en satire humouriste en 6 bulles. roooo

  10. #30
    Nouveau membre du Club
    Inscrit en
    Janvier 2011
    Messages
    35
    Détails du profil
    Informations forums :
    Inscription : Janvier 2011
    Messages : 35
    Points : 26
    Points
    26
    Par défaut
    Vous me faites marrer avec vos rainbow table vous savez qu'en général les Rainbow table dépassent rarement +/- 14 caractères ? (par pass) car après il est impossible de gerer la taille de la table

    un mot c'est souvent plus de 4 caractères, tu prends 4 mots, boom, toutes les Rainbow table ou autres tables associatives hash / pass peuvent aller se rhabiller

  11. #31
    Membre habitué
    Homme Profil pro
    Architecte de système d'information
    Inscrit en
    Juin 2006
    Messages
    87
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 59
    Localisation : France

    Informations professionnelles :
    Activité : Architecte de système d'information
    Secteur : Conseil

    Informations forums :
    Inscription : Juin 2006
    Messages : 87
    Points : 144
    Points
    144
    Par défaut
    D'accord à 10000000000000000% : la "phrase de passe" est beaucoup plus efficace contre une attaque brute force qu'un mot de passe "minimum 8 caractères, avec au moins une majuscule, un chiffre, et un signe spécial", comme le réclament tant de DSI, visiblement peu portés sur les calculs de probabilités.............

  12. #32
    Membre régulier Avatar de alain78
    Homme Profil pro
    retraité
    Inscrit en
    Mai 2008
    Messages
    160
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 71
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : retraité
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2008
    Messages : 160
    Points : 97
    Points
    97
    Par défaut Time limit
    Bonjour,

    Je pense qu'il existera toujours un moyen de casser un mot de passe. C'est l'éternelle course entre le voleur et le gendarme. Tantôt l'un est en avance, tantôt c'est l'autre.

    A mon sens, ce qu'il faut limiter pour éviter le crack d'un mot de passe c'est la puissance de la machine attaquante. Comment faire ? Pour ma part je n'autorise que 5 essais pour la saisie du mot de passe. Après 5 tentatives infructueuses, le compte est bloqué pour 5 minutes.

    Je n'ai pas fait le calcul du temps que prendrai un crack pour 2<44 essais en intercalant 5 minutes de pause tous les 5 essais. Si quelqu'un veut s'y essayer, bravo.

    Mais peut être fais je fausse route.

    Bonne journée à vous.
    Donnes un poisson à un homme tu le nourris un jour, apprends lui à pécher tu le nourris toute sa vie.

  13. #33
    Membre habitué
    Homme Profil pro
    Architecte de système d'information
    Inscrit en
    Juin 2006
    Messages
    87
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 59
    Localisation : France

    Informations professionnelles :
    Activité : Architecte de système d'information
    Secteur : Conseil

    Informations forums :
    Inscription : Juin 2006
    Messages : 87
    Points : 144
    Points
    144
    Par défaut
    Citation Envoyé par alain78 Voir le message
    A mon sens, ce qu'il faut limiter pour éviter le crack d'un mot de passe c'est la puissance de la machine attaquante. Comment faire ? Pour ma part je n'autorise que 5 essais pour la saisie du mot de passe. Après 5 tentatives infructueuses, le compte est bloqué pour 5 minutes.
    Bonne piste, mais qui laisse encore une chance à la brute force.

    Une solution plus efficace encore, que j'avais employée à la glorieuse époque du Minitel dans des applications professionnelles (ou, il y en a eu !) : au bout de 5 tentatives je ne testais même plus le mot de passe, je répondais toujours "faux".

    MAIS..... La brute force ou les dictionnaires restent possible si un fichier contenant les mots de passe a été récupéré...... d'où l'intérêt des "phrases de passe" !

  14. #34
    lvr
    lvr est déconnecté
    Membre extrêmement actif Avatar de lvr
    Profil pro
    Responsable de projet fonctionnel
    Inscrit en
    Avril 2006
    Messages
    909
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Responsable de projet fonctionnel
    Secteur : Arts - Culture

    Informations forums :
    Inscription : Avril 2006
    Messages : 909
    Points : 1 360
    Points
    1 360
    Par défaut
    Citation Envoyé par iznogoudmc Voir le message
    D'accord à 10000000000000000% : la "phrase de passe" est beaucoup plus efficace contre une attaque brute force qu'un mot de passe "minimum 8 caractères, avec au moins une majuscule, un chiffre, et un signe spécial", comme le réclament tant de DSI, visiblement peu portés sur les calculs de probabilités.............
    Quant à ceux qui limitent à 8 caractères maximum sans utiliser tous les caractères possibles (ex sur Mainframe),

  15. #35
    Membre éprouvé Avatar de pcdwarf
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Février 2010
    Messages
    267
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Février 2010
    Messages : 267
    Points : 964
    Points
    964
    Par défaut
    Concernant les rainbowtables, je rapelle que ça n'est pas un simple dico. ça sert à retrouver rapidement un mot de passe à partir de son hash. Mais pour ça il faut déjà disposer du hash en question, ce qui n'est effectivement pas le cas le plus courant.
    Concerant les mots de passe, il est nettement plus facile de retenir (et de taper sans faute) un mot de passe plus long mais sans trop de mix case ni de symboles bizares. Sinon, on va devoir l'écrire quelque part, (au hasard un post-it en bas de l'écran où sous le clavier)
    quelque chose comme "&GenkorKC1PC7semN" (hé j'ai encore cassé un PC cette semaine) est nettement plus facile à retenir que Wh$;7g&k€ et est tout aussi resistant au bruteforce.
    Enfin tout dépends l'importance de ce que l'on protège. un truc aussi simple que "toto" peut être suffisant pour pas mal de choses. et quelque chose de tordu comme "woKyah2ohQu5meLthae2" insuffisent pour d'autres...

  16. #36
    Membre régulier Avatar de alain78
    Homme Profil pro
    retraité
    Inscrit en
    Mai 2008
    Messages
    160
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 71
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : retraité
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2008
    Messages : 160
    Points : 97
    Points
    97
    Par défaut définition de la force brute
    Voici un lien qui renvoie sur Wikipedia. Au delà de la définition de ce qu'est la force brute, l'article m'a paru très intéressant car il fait une synthèse sur l'état de l'art.


    http://fr.wikipedia.org/wiki/Attaque_par_force_brute

    Donnes un poisson à un homme tu le nourris un jour, apprends lui à pécher tu le nourris toute sa vie.

  17. #37
    Membre du Club
    Profil pro
    Inscrit en
    Juillet 2006
    Messages
    43
    Détails du profil
    Informations personnelles :
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations forums :
    Inscription : Juillet 2006
    Messages : 43
    Points : 46
    Points
    46
    Par défaut
    A mon sens, ce qu'il faut limiter pour éviter le crack d'un mot de passe c'est la puissance de la machine attaquante. Comment faire ? Pour ma part je n'autorise que 5 essais pour la saisie du mot de passe. Après 5 tentatives infructueuses, le compte est bloqué pour 5 minutes.
    Et pourquoi pas ajouter à chaque essaie X temps (par ex 10'') avant une nouvelle tentative. Je peux vous assurer qu'avec cette méthode le temps pour casser un mot de passe par force brute augmente de façon très importante .

  18. #38
    Membre à l'essai
    Inscrit en
    Décembre 2008
    Messages
    16
    Détails du profil
    Informations forums :
    Inscription : Décembre 2008
    Messages : 16
    Points : 11
    Points
    11
    Par défaut
    Obvious conclusion is obvious.

  19. #39
    Membre actif
    Profil pro
    Inscrit en
    Décembre 2007
    Messages
    128
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2007
    Messages : 128
    Points : 210
    Points
    210
    Par défaut
    Citation Envoyé par Fenn_ Voir le message
    Heu, les gens... xkcd c'est un blog humoristique. Il s'agit juste d'une blague trollesque, pas d'une véritable démonstration. ^^'
    D'ailleurs, comme sur toutes les planches d' xkcd, si vous allez sur l'originale et que vous faites un mouseover, vous aurez un petit message...

    qui, pour celle-ci, dit:

    Souriez, vous êtes trollés
    Heu non justement, si tu connaissais un peu la théorie de l'information et que tu prenais un peu le temps de faire quelques calculs tu verrais qu'il ne trolle pas et à bien raison.

    Il faut savoir que Randall Munroe (l'auteur de xkcd) est un expert reconnu en cryptographie, et qu'il s'y connais surement 100 fois plus que toutes les personnes ayant posté ici réunies.

    Non une attaque par dictionnaire ne serait ici pas plus efficace, la preuve en 5 secondes avec une simple multiplication :

    2^28 = 275 millions env.

    En admettant environ 2000 mots anglais courants (très loin des 200 à 300 000 mots réels)
    2000^4 = 16 000 milliards env.

    Soit 58000 fois plus, et c'est sans compter les combinaisons, et l'espace mémoire infiniment plus grand que cela nécessiterai.

    La palme allant quand même à Fanvan qui poste comme argument un lien qui lui donne totalement tort...

  20. #40
    Membre régulier
    Profil pro
    Inscrit en
    Mars 2010
    Messages
    52
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2010
    Messages : 52
    Points : 80
    Points
    80
    Par défaut
    Je ne suis pas d'accord.

    Si tout le monde commençait à utiliser ce genre de phrases, les mots de passes seraient quand même simple à deviner. Il faudrait des phrases plus longues.

    Cependant la remarque est intéressante.
    Nek, développeur amateur.
    Wiki (Symfony2) - Nekland - Minecraft

Discussions similaires

  1. [WebForms][2.0] Règle de sécurité des mots de passe
    Par oli_carbo dans le forum Général Dotnet
    Réponses: 5
    Dernier message: 20/03/2006, 13h07
  2. fichier des mots de passe
    Par Isabella dans le forum Oracle
    Réponses: 6
    Dernier message: 25/02/2006, 09h52
  3. Sauvegarde des Mots de passe de connexion Web
    Par zakuli dans le forum Windows XP
    Réponses: 5
    Dernier message: 08/12/2005, 20h05
  4. enregistrer et masquer des mots de passe
    Par champion dans le forum PostgreSQL
    Réponses: 2
    Dernier message: 30/08/2004, 21h10
  5. Au sujet des mots de passe
    Par FranT dans le forum Langage
    Réponses: 6
    Dernier message: 17/09/2002, 23h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo