Je ne sais pas, je ne suis pas convaincu. L'article tend à démontrer que la famille Michou peut se procurer un outil pour cracker un fichier qui contient des mots de passe hachés en MD5. Déjà la famille Michou, elle pense que le MD5 c'est un type d'avion russe et que le hachage s'applique uniquement au steak. Franchement, les gens 'normaux' que je côtoie n'on vraiment aucune culture informatique, ma femme se fait 'avoir' en pensant que le popup qui s'ouvre devant son site web avec une pub pour un livre 'superbe sur comment avoir <mettre ici tout ce que vous désirez avoir> en 10 jours' est une chance et qu'elle me demande comment il faut faire pour le commander.. Enfin bref, même des ingénieurs dans d'autre domaine qui m'explique qu'ils ont acheté un nouveau pc portable avec 8 gigas de mémoire, et que ducoup ça va beaucoup plus vite... , Non, franchement, ça demande déjà une culture informatique assez importante pour commencer à lancer du brute force sur un fichier hacher, même si oui, c'est assez 'simple'...
Après, le débat sur les mots de passe, c'est encore une autre histoire. On trouvera toujours un moyen de cracker un mot de passe, à partir de là, il n'y a aucun 'bon' mot de passe.
J'ai remarqué que la plupart du temps le problème vient du manque d' "éducation" de l'utilisateur.
Si on laisse le choix à l'utilisateur non informé, il choisira des mots de passe comme "Lucas" (Nom de son fils) ou "21052005" (Date de naissance) etc ...
Si on lui demande de mettre un mot de passe compliqué il choisira une combinaison chaotique impossible à retenir (Genre: Ax0qhf1_23) et il reviendra toutes les semaines avec des "j'ai oublié mon mot de passe"
Si on lui donne des trucs comme "Penser aux initiales d'une phrase et aux nombre de mots", il peut créer son propre mot de passe "compliqué" MAIS simple à retenir. Ex:
Ma belle mère est une emmerdeuse ! =>
Mbmeue!6 (Les initiales + les ponctuations + le nombre de mots !)
Et on a pas forcément besoin d'une grande mémoire pour se souvenir d'une phrase si simple
On peut aussi virer les voyelles des mots ... mais ca demande un plus grand entrainement
=>Mbllmrstnmmrds!6
Ou les "E"
=>Mabllmrstunmmrdus!6
Il suffit de se rappeler de la "règle" qu'on utilise (tout le temps) et de la phrase correspondant au mot de passe (qu'on change selon le site ... ou pas)
Moi j'ai appris ça à mes utilisateurs dans mon ancienne boîte => Zéro problème depuis !!
Si tu ne sais pas faire, apprends. Si tu fais, fais bien. Si tu sais bien faire, enseigne.
Mieux vaut paraître stupide quelques temps que rester stupide toute sa vie.
Sur le principe, je suis d'accord. Mais je voudrais nuancer. Même si on n'a que 8 caractères ASCII, si on génère le mot de passe aléatoirement, cela fait tout de même 256 puissance 8 combinaisons. Ce qui est difficilement crackable en force brute. Maintenant, bien sûr, mieux vaut encore plus de combinaisons possibles.
Pour vivre heureux, vivons cachés. Proverbe alien.
« Only wimps use tape backup: _real_ men just upload their important stuff on ftp, and let the rest of the world mirror it. » – Linus Torvalds
C'est un bon systeme, a condition d'appliquer un certain nombre de contraintes, notamment sur la longueure du mot de passe : 8 caracteres, c'est un niveau de securite qui est devenu faible, meme avec maj/min/chiffres/ponctuation. Certes, le nombre de combinaisons semble eleve pour un humain normal, mais pensez au nombre d'operations qu'un cluster de calcul peut faire par seconde, et vous verrez que 4.10^14 possibilites, ce n'est pas si long a trouver. Pour 12 caracteres, on est a 8.10^21, c'est a dire 20 000 000 fois plus de possibilites, ce qui est considerable.
Donc oui aux moyens mnemotechniques, mais avec contraintes
Le plus robuste c'est encore d'encoder ses mots de passe soi-même.
MasterPassword = lazydog
Site Password = MD5("username:MasterPassword@site")
site: developpez
username: cowboy24
password: 909D1EF6F3E9D569A36C131D19CE4617
site: google
username: cowboy24
password: DDA755C8F609D57C97A68D5C39ACB257
site: blabla
username: cowboy24
password: MD5("cowboy24:lazydog@blabla") = FBE2AD97C5FA7AEC8B3930D050F92B99
...
Entropie: 128 bits (3.4E+38 combinaisons possibles)
ALGORITHME (n.m.): Méthode complexe de résolution d'un problème simple.
Less Is More
Pensez à utiliser les boutons , et les balises code
Desole pour l'absence d'accents, clavier US oblige
Celui qui pense qu'un professionnel coute cher n'a aucune idee de ce que peut lui couter un incompetent.
Moi j'utilise cette forme. xXx-111+xXx-=,111
- et + et , peuvent être n'importe quel symbole.
Oui mais en pratique ça sert à rien une attaque par dictionnaire ? Je veux dire le "pirate" , il veut pouvoir consulter les mails de sa cible donc accéder à un compte gmail ou yahoo , ou encore prendre le contrôle d'un compte facebook. Il n'est pas possible de tenter plus d'un certain nombre d'essais sans bloquer le compte donc une attaque par dico ça ne sert pas à grand chose.
Après l'idée si c'est juste de déchiffrer des données sur un disque dur oui c'est sur la c'est utile mais chez les particulier qui encrypte ses données ?
Bref même si on choisit un prénom pour son compte mail je ne vois pas trop le danger.
Sauf si les sites webs se font pirater, et que les attaquants repartent avec une grosse liste de user/password (chiffrés) sous le bras.
Juste pour ce début d'année 2013, et juste pour les attaques qui sont publiquement dévoilées:
May 2, 2013: Reputations.com
Reputation.com experienced a hack that exposed customer names, email addresses, mailing addresses, date of birth, and employment information. Additionally, some customers had their encrypted passwords stolen. Reputation.com immediately reset all customer passwords after learning about the breach. Customers are encouraged to change their passwords on other sites if they reused their Reputation.com password.May 1, 2013: U.S. Army Corps of Engineers' National Inventory of Dams
Users of the National Inventory of Dams received notification that their information was reset after a hack may have compromised usernames and passwords. Hackers obtained non-public information of around 8,100 major dams in the United States by breaching the database. The information included dam vulnerabilities and could be used by cyber terrorists.April 26, 2013: LivingSocial
As many as 50 million LivingSocial members may have had their names, email addresses, dates of birth, and encrypted passwords exposed by a cyber attack. Customer credit card information was not compromised. Customers were encouraged to change their passwords on any other sites on which they used the same or similar passwords.April 5, 2013: Scribd
A hack affected less than 1% of Scribd's 50 million users. "A few hundred thousand" users had their passwords stolen. Users who were affected received instructions for resetting passwords. The passwords were encrypted and it is unlikely that hackers were able to decrypt and use the passwords before Scribd and Scribd users learned of the breach.March 7, 2013: Uniontown Hospital
A hacker or hackers accessed patient information and posted it online. The breach was discovered by a data privacy expert. Uniontown indirectly notified the public of the breach and breach containment after the privacy expert attempted to reach Uniontown Hospital for several days. Names, encrypted passwords, contact names, email addresses, and usernames may have been exposed. It is unclear how long the information was available.March 3, 2013: Evernote
A hacker or hackers attacked and may have accessed Evernote's online system. Evernote reset all user passwords as a precaution. User names, email addresses, and encrypted passwords may have been exposed. A total of 50 million users were told to reset their passwords.February 22, 2013: NBC.com
NBC's website was attacked by malware in the form of a Citadel Trojan. The purpose of the attack was most likely to steal usernames, passwords, and other personal information. NBC is unclear on how the malware entered their system.February 13, 2013: Jawbone
Hackers were able to access Jawbone's MyTALK customer accounts for several hours. Names, email addresses, and encrypted passwords were exposed. Any customers who were affected received an email warning them to reset their passwords.February 2, 2013: Twitter
Online attackers were able to access the usernames, email addresses, session tokens, and encrypted passwords of 250,000 users. Twitter notified affected users and told them to create a new password. Anyone who used the same password and username or email combination for other sites is encouraged to change the password on other sites as well.January 30, 2013: The New York Times
The New York Times' computer system was hacked after Chinese government officials warned the Times about consequences for investigating the wealth of government family members. The breach began on September 13 and was allowed to continue until January so that the hackers' behavior could be studied. It appears that the passwords of every Times employee were compromised and 53 Times employees had their personal computers accessed.January 2, 2013: Rosenthal Collins Group
An unauthorized intrusion was detected on the morning of Tuesday November 27. The unauthorized access began on November 26 and access to the breached web application was immediately shut down upon discovery. Customers who completed Rosenthal Collins Group account forms online may have had their names, Social Security numbers, addresses, dates of birth, range of net worth and income, bank names, passwords for accessing the web application, and email addresses exposed.
ALGORITHME (n.m.): Méthode complexe de résolution d'un problème simple.
Je suis assez d'accord. Je me demande s'il y'a eu de vrais analyse sur la problématique exposté par ce dessin ? Parce qu'à chaque débat on me le sort comme une vérité absolu. Mais je suis pas sûr.
Déjà le dessin part du principe qu'un utilisateur va choisir chaque mot dans un ensemble de 2^11. Ca me parait un peu hâtif comme supposition. En générant le mot de passe avec un outil contenant une BDD suffisamment grande oui peut être.
De plus est ce qu'un utilisateur va vraiment choisir les mots hasards ? Est on sûr qu'il ne va il y'avoir aucun lien sémantique entre les mots ? Je ne sais pas si ce genre de mot de passe résiste à une attaque ciblée.
Sinon la généralisation de l'authentification par double facteur peut limiter grandement les risques.
C'est parce que tu prends comme hypotheses des informations que tu n'as qu'a posteriori.
Ce que connait l'attaquant : le login. Et c'est tout. C'est a dire que tu peux faire toutes les suppositions que tu veux, mais chaque supposition, en meme temps que de reduire le champs de recherche, peut rendre l'attaque vaine si elle n'est pas vraie.
Prenons un cas precis, ca sera plus simple :
Un attaquant A veut pirater mon compte sur developpez.net. Il a le login, et cherche le mot de passe.
Tu peux supposer, par exemple, que je suis sensibilise a la securite, et donc que mon mot de passe n'est pas simple. Et donc tu ne fais pas d'attaque dictionnaire "basique".
Sauf que si je n'ai pas grand interet pour les informations de ce compte, je peux tres bien avoir mis un mot de passe bateau.
Tu peux suppposer que, comme je suis Bac+5, si j'ai pris une phrase, elle est orthographiee correctement.
Sauf que pas de chance, mon mot de passe est "JeVaisCourrir", car je ne sais pas ecrire "courir"...
A l'inverse, si je te donne mon mot de passe, toutes les conclusions que tu en tireras seront "logiques", et "j'aurai pu te le dire".
Bon, je n'arrive pas bien a l'expliquer, donc tu trouveras plus d'informations ici : http://fr.wikipedia.org/wiki/Biais_rétrospectif
Gangsoleil ton explication est claire. Je suis d'accord avec toi. Mais je t'avoue être un peu embêter avec cette hsitoire de mot de passe.
Je m'occupe d'un système de management de la sécurité ISO 270001. Ce système est audité. Nous avons une politique des mots de passe qui suit clairement les recommandations ISO ( Pas de mot du dico, longueur minimum, au moins une lettre, un chiffre , un caractere spéciaux .... ). Franchement les utilisateurs sont emmerdés. Cette méthode ( que je nommerai XKCD) faciliterait la vie des utilisateurs et je n'aurai pas peur de faire une politique un peu plus strict sur la rotation des mots de passe en contrepartie.
Mais justifier la mise en place de cette méthode XKCD en audit me semble un poil compliqué. Je me vois pas montrer la BD à l'auditeur. Je me demandais donc s'il y'avait une littérature un peu plus complète sur cette méthode ou des débats d'expert.
Bonjour,
Je ne connais pas cette norme, ni la maniere dont elle est faite. Par contre, je sais que ce qui est important dans la securite en entreprise, c'est de communiquer.
On pourrait donc imaginer le cas d'un administrateur reseau qui oblige a avoir une certaine longueur de mot de passe -- mettons 12, et qui communique sur ce sujet aux employes. Rien n'interdit par ailleurs de leur donner des conseils pour avoir des mots de passe securises, en leur donnant par exemple le cas du mot de passe "Bonjour_comment_vas_tu" qui est plus securise que "T0t042;hAz.0", car plus long.
Bien sur, le mail indiquerait que l'entreprise fait des simulations d'attaque, et que tout mot de passe qui serait trouve lors de ces simulations sera modifie automatiquement.
De ton cote, tu trouves un dictionnaire basique, tu rajoutes dedans "Bonjour_comment_vas_tu" pour etre certain que l'exemple que tu donnes n'est pas pris au pied de la lettre, et hop, tu es bon pour passer l'audit.
Sinon, tu peux toujours aller faire des recherches sur le blog de B. Schneier, voir lui poser la question directement si besoin.
je pense que je dois avoir une appli correspondant à cette iso27001 car les règles énoncées collent bien avec ce que mon client me demande (institutionnel français)
moi en plus j'ai rotation sur 45 jours des mdp, et désactivation du compte au bout de 3 essais infructueux.
je stocke en sha-1, je monterais bien en sha-256 mais une partie tierce de l'appli ne le supporte pas pour l'heure.
je vois des attaques opportunistes sur mes services SSH qui n'ont pas ces règles aussi fines: la plupart sont basiques "root" ou "admin" avec une 10 aine de passwords derrière
Sur 4 milliards d'IPs, il est assez sur que ce genre de truc systématique robotisé suffit à exploiter pas mal d'ordis sur la planète.
Émotion
Infantilisation
Culpabilisation
Christophe Alévèque - 18 Mars 2021
Réponse à un message de 10 jours, mais il est bon de rappeler qu'afin d'éviter les attaques par bruteforce actuelles ET DE DEMAIN, il est recommandé d'effectuer des boucles de hash. Pour ce qui est de md5 l'itération est de 128'000 fois (de mémoire).Je ne vois pas où est le problème de sauver md5(password + sel) contrairement à ce que certains abordent. Ce genre de developpement n'est pas mon pain quotidien mais tout de meme
En effet le md5 devient très rapide à attaquer. Le sel ne protège pas du bruteforce mais uniquement des attaques par dictionnaires [EDIT] (liste pré-généré de mdp -> hash [/EDIT] .
Depuis quand ?
Le sel protège uniquement de la récupération du mot de passe à partir du hash (quand on possède une base inversée MD5 -> mot de passe).
Le sel n'est n'apporte strictement rien (ni en bien, ni en mal) concernant les attaques sur le mot de passe lui-même, ça protège juste la valeur du hash.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager