Discussion :

[Traroth2]

Pas vraiment car si on prend un dictionnaire de 10 000 mots, 4 petits mots c'est 1.10^16 possibilités.
Un mot de passe "correct" de 8 caractères dépasse assez facilement 1.10^16 possibilités.
Et encore, si on utilise du code ASCII/ASCII étendu.
Si on utilise d'autres encodages (ex utf-8) avec des caractères spéciaux on peut dépasser les 1.10^19 possibilités.

Sauf que la langue française a bien plus de 10 000 mots. Plutôt de l'ordre de 250 000...

Et là, on arrive à un truc du genre 4.10^21, avec seulement 4 mots. En supposant que l'attaquant sache que c'est bien de mots français qu'il s'agit. Parce que personnellement, je pourrais m'amuser à utiliser des mots allemands. Ou anglais. Ou même à les mélanger. Et je ne parle même pas des noms propres...

Le souci d'une attaque par avec un dictionnaire, c'est que ça ne peut fonctionner que si les mots qui composent le mot de passe se trouvent dans le dictionnaire en question. Et ça, à l'évidence, c'est assez facile à contrer. Une petite faute d'orthographe, un chiffre, un mot étranger, un nom propre, un caractère spécial, et on revient à la bonne vieille attaque par force brute. Et là, sur un mot de passe de 30 caractères, bon courage ! Faut pas oublier de prévenir ses descendants pour voir si la machine aura fini par trouver, aux alentours de l'an 30 000...

[Neckara]

Sauf que la langue française a bien plus de 10 000 mots. Plutôt de l'ordre de 250 000...

Sauf que les probabilités ne seront pas équiprobable et le choix a peut de chance d'être aléatoire.
Déjà, sur 250 000 mots, combien en connaissons-nous réellement ?
Il s'agit de tester les mots qui reviendront le plus souvent.

Et là, on arrive à un truc du genre 4.10^21, avec seulement 4 mots. En supposant que l'attaquant sache que c'est bien de mots français qu'il s'agit. Parce que personnellement, je pourrais m'amuser à utiliser des mots allemands. Ou anglais. Ou même à les mélanger. Et je ne parle même pas des noms propres...

Sauf que là aussi, tu risques très fortement de choisir des mots que tu connais, ie des mots qui reviendront "souvent" dans les autres mots de passes.

Après, si on veut aller par là, un caractère en utf-8 peut avoir plus de 100 000 possibilités (il me semble que ça peut aller jusqu'à 1 000 000) donc 1.10^40 à 1.10^48 possibilités pour 8 caractères.
Mais bon, je doute très fortement qu'on acceptera tous les caractères et même que les utilisateurs sachent les taper au clavier

Le souci d'une attaque par avec un dictionnaire, c'est que ça ne peut fonctionner que si les mots qui composent le mot de passe se trouvent dans le dictionnaire en question. Et ça, à l'évidence, c'est assez facile à contrer. Une petite faute d'orthographe, un chiffre, un mot étranger, un nom propre, un caractère spécial, et on revient à la bonne vieille attaque par force brute. Et là, sur un mot de passe de 30 caractères, bon courage ! Faut pas oublier de prévenir ses descendants pour voir si la machine aura fini par trouver, aux alentours de l'an 30 000...

Pas vraiment, un dictionnaire se base sur la fréquence des mots dans une passe-phrase donc si la faute, le nom propre, le mot étranger, est fréquent, ceci n'apportera rien de plus.

De plus, il y a toujours possibilité de tester des possibilités en testant différentes "versions" du mots, c'est d'ailleurs pour cela que "LE P1GUIN" est un mauvais mot de passe.

Mais bon, si on commence à faire une "bonne" passe phrase de 4 mots de passe avec des caractères de partout au final qu'est-ce ?
Juste 4 mots de passes séparés par des espaces.
Ce n'est donc plus un mot de passe qu'il faut retenir mais 4.

[n5Rzn1D9dC]

Au passage je me demande pourquoi il n'y a pas systématiquement une limitation de tentative de mot de passe sur les serveurs.

Le remote brute-forcing est quand même à la portée de n'importe qui (non-codeur je veux dire).
A l'époque il y avait Brutus sur Windows. Il y avait aussi une version Linux en perl il me semble.
La version Windows disposait d'une gui est pouvait faire une attaque par dictionnaire, ou par brute-forcing pur, c'est à dire en testant toutes les combinaisons possibles (aa ab ac) lol !
C'était extrêmement long..

Mais alors il y a quelques mois j'avais pris connaissance de "hydra" et sa gui "xhydra" sous Linux.
Celui là est vraiment impressionnant.
D'après ce que j'ai cru comprendre il ouvre plusieurs sessions simultanément (jusque 128 je crois).
Ca va très vite..
Le problème c'est que... ça ne fonctionne pas... lol !
J'ai essayé sur mon propre mot de passe, bien évidemment, car je ne m'amuse pas à faire ce genre de chose.
Je mis mon mot de passe dans un fichier de mots de passe assez conséquent, et voyant que ça plantait à chaque fois, j'ai réduit le nombre de mot de passe à je ne sais plus, environ 100 ou 200 je crois.
Il ne le trouvait jamais.. Vraiment jamais..
Mais à la place, il marquait qu'il avait trouvé celui qui se trouvait juste au-dessus du miens, ou deux au-dessus, ça dépend. Donc dans un sens, ça fonctionnait..
Par contre dès qu'il y a trop de mots de passe dans le fichier, il ne trouve plus rien.
Bug très étrange quand même.. A croire qu'un bug a été glissé exprès pour empêcher les scripts kiddies de foutre la merde avec.
A mon avis il faut modifier un peu le code pour qu'il fonctionne.
Mais bon ça ne m'interesse pas alors je l'ai viré de mon pc.

Mais si ça fonctionnerait, ça ferait peur.. 128 mots de passe simultanément fois (nombre d'ordinateur du botnet).
D'ailleurs je dis ça mais la méthode du multi-sessions était peut être connu depuis longtemps dans le monde du hacking, dans le cas contraire elle a certainement été reprise depuis.

[Neckara]

Le problème vient de la limitation :
- si on limite par ban ip :
* on peut bannir énormément "d’innocent" (ex : réseaux universitaires) ;
* certaines personnes ont des adresses ip dynamiques ;
* si l'attaquant à beaucoup d'ordinateurs à sa disposition, il pourra quand même faire pas mal d'essais.

- si on limite par un temps d'attente entre deux essais pour un compte :
* l'attaquant va attaquer plusieurs comptes à la fois de manière "cyclique" pour que lorsqu'il fait son deuxième essais de mots de passe sur un compte A, le temps ce sera déjà écoulé.

- si on limite le nombre de tentatives maximum pour un compte :
* l'attaquant peut simplement bloquer tous les comptes.

[n5Rzn1D9dC]

Oui le ban/ip c'est sur que ça le fait pas.
En faite moi je pensais surtout à la deuxième solution.
Cette solution est d'ailleurs utilisé par ma banque, qui désactive le compte après trois essais. Il faut ensuite les appeler pour le réactiver.

Par exemple, un blocage de 24h au bout de 10 essais serait pas mal ?
Même de manière cyclique, il perdra sa motivation rapidement.
Après pour le blocage des comptes, yep c'est problèmatique.
Il faudrait un algo qui répertorie les personnes utilisant plusieurs comptes sur une même ip, afin que quand un pirate tente un brute-forcing, il soit détecté comme tel.

edit:
M'enfin je sais pas, il doit forcément y avoir une solution fiable.
Perso je n'ai jamais réfléchie à ça car je ne travail pas dans la sécurité.
Au lieu d'un blocage direct du compte, un captcha efficace par exemple.

Un problème comme celui de GitHub, ça ne devrait pas arriver : /

[Mr_Exal]

Oui le ban/ip c'est sur que ça le fait pas.
En faite moi je pensais surtout à la deuxième solution.
Cette solution est d'ailleurs utilisé par ma banque, qui désactive le compte après trois essais. Il faut ensuite les appeler pour le réactiver.

Par exemple, un blocage de 24h au bout de 10 essais serait pas mal ?
Même de manière cyclique, il perdra sa motivation rapidement.
Après pour le blocage des comptes, yep c'est problèmatique.
Il faudrait un algo qui répertorie les personnes utilisant plusieurs comptes sur une même ip, afin que quand un pirate tente un brute-forcing, il soit détecté comme tel.

edit:
M'enfin je sais pas, il doit forcément y avoir une solution fiable.
Perso je n'ai jamais réfléchie à ça car je ne travail pas dans la sécurité.
Au lieu d'un blocage direct du compte, un captcha efficace par exemple.

Un problème comme celui de GitHub, ça ne devrait pas arriver : /

Oui tu peux bannir l'ip pendant un certain temps au bout de x essais de foiré (c'est ce qu'il y a sur les Synology par exemple). Maintenant, un vrai bruteforce et pas un petit malin passera forcément par des proxy pour changer d'ip automatiquement à chaque essai.

[Neckara]

Le problème avec le ban ip, c'est qu'en bannissant une ip, on peut bannir une petite centaine d'utilisateurs si ces derniers sont derrière le même proxy que l'attaquant.

[Mr_Exal]

Le problème avec le ban ip, c'est qu'en bannissant une ip, on peut bannir une petite centaine d'utilisateurs si ces derniers sont derrière le même proxy que l'attaquant.

C'est pas faux j'y avais pas pensé. Tant pis pour ceux qui utilisent un proxy pour se connecter chez moi

[n5Rzn1D9dC]

Non moi je parlais de bloquer le compte point barre, hors ip.

Mais comme dis Neckara après il y a le problème de ceux qui s'amuseraient à bloquer tous les comptes juste histoire de faire chier le monde.

Après il y a la méthode captcha. Simplement demander un captcha avant de pouvoir accéder au login d'un compte.
Mais le problème c'est que ça ennuierait les gens de devoir rentrer un captcha à chaque fois qu'ils voudraient se connecter.

[Traroth2]

Sauf que les probabilités ne seront pas équiprobable et le choix a peut de chance d'être aléatoire.
Déjà, sur 250 000 mots, combien en connaissons-nous réellement ?

Un peu que 10.000, quand même, je pense...

Et de la même manière qu'il est possible d'écrire un système par dictionnaire pour casser une pass phrase, on peut aussi créer un générateur de pass phrase exotique. Mais de toutes façons, j'ai plus de chance d'utiliser "florilège" dans une phrase de ce genre que "chien". L'idée, c'est quand même d'essayer de faire en sorte que ça soit difficile à trouver !

Il s'agit de tester les mots qui reviendront le plus souvent.

Dans ce cas, il est très facile de se protéger contre une attaque par dictionnaire. Il suffit de mettre un mot peu usité dans ta pass phrase, et c'est blindé !

[Mr_Exal]

Dans ce cas, il est très facile de se protéger contre une attaque par dictionnaire. Il suffit de mettre un mot peu usité dans ta pass phrase, et c'est blindé !

A mon avis des dictionnaires intelligent ça existe !

[Traroth2]

A mon avis des dictionnaires intelligent ça existe !

Ce qui veut dire ?

[Mr_Exal]

Ce qui veut dire ?

Des dictionnaires qui apprennent de nouveaux mots ça doit pouvoir se faire.

[Neckara]

Des dictionnaires qui apprennent de nouveaux mots ça doit pouvoir se faire.

Je pense que ces dictionnaires sont souvent construits à partir de mot de passes existant qu'on peut par exemple récupérer par pishing.

[Mr_Exal]

Je pense que ces dictionnaires sont souvent construits à partir de mot de passes existant qu'on peut par exemple récupérer par pishing.

Oui mais un soft pourrait permettre de créer des mots de passe grâce aux données récupérées plutôt que de les exploiter brutes, enfin, je m'égare.

[Traroth2]

Replaçons cette discussion dans son contexte : je proposais d'utiliser une phrase (plusieurs mots) comme mot de passe. Si un seul de ces mots n'est pas connu du dictionnaire de l'application cherchant à deviner le mot de passe, celui-ci sera incapable de deviner le mot de passe. Exemple concret :

Mon mot de passe est champignon_autonome_léonin_3_kangourou_florilège

Si le dictionnaire ne connait pas "léonin", rien ne va venir lui dire "tu brûles, il ne te manque plus qu'un mot à deviner". De la même manière, le 3 en plein milieu pourrait être n'importe où ailleurs. Tout ça pour dire qu'un système utilisant un dictionnaire dans ce contexte me parait en fait assez facile à leurrer, contrairement à un contexte où le mot de passe serait un simple mot, genre "parapluie91". Le nombre de combinaisons croît tout simplement trop vite.

[Neckara]

De même si on utilise un caractère utf-8 très "rare".

Mais comment sais-tu quels mots sont dans le dictionnaires de l'attaquant et quels mots ne le sont pas?

[Loceka]

Mais comment sais-tu quels mots sont dans le dictionnaires de l'attaquant et quels mots ne le sont pas?

Qu'est-ce que ça change ?

Là, au lieu d'avoir une combinaison de caractères, on a une combinaison de mots, de longueur inconnue.

Donc même en considérant que notre dictionnaire est de 10000 mots, si on compare avec les mots de passe actuels qui sont composés d'environ 256 caractères possibles différents (et encore, c'est beaucoup moins que ça) on en déduit aisément qu'un mot de passe formé par une phrase de 8 mots est bien plus sécurisé qu'un mot de passe de 8 caractères.

J'ai pas envie de faire le calcul pour savoir à partir de combien de mots le mot de passe est équivalent (si on se limite aux mots présents dans le dictionnaire du hacker, qu'on considère posséder 10000 entrées) mais à vue de nez ça doit être 5 ou 6. (bon, j'ai été curieux, j'ai fait le calcul et c'est bien 5 : 10^20 possibilités pour 5 mots vs 10^19 possibilités pour 8 caractères).

A partir de là, c'est très simple, on prend un extrait de film ou de livre et le tour est joué :
"La marche du vertueux est semée d'embuches"
"Ah ben le voilà le jus d'orange !"
"Shop smart, shop S-Mart ! You got that ?"
"Les sanglots longs des violons de l'automne"

On saupoudre le tout d'un peu de leet speak, on rajoute un chiffre dedans, de la ponctuation, et même avec un dictionnaire de citations c'est impossible à trouver.

[Neckara]

Qu'est-ce que ça change ?

Beaucoup de choses.
Choisir un mot en se disant : "il est peu utilisé (dans le langage courant), donc lors d'une attaque par dictionnaire je serais protéger", c'est se mettre le doigt dans l’œil.

L'important, ce n'est pas de savoir s'il est peu utilisé dans le langage courant mais s'il est peu utilisé dans les mots de passes (et donc aurait moins de chances de se retrouver dans un dictionnaire).

Donc même en considérant que notre dictionnaire est de 10000 mots, si on compare avec les mots de passe actuels qui sont composés d'environ 256 caractères possibles différents (et encore, c'est beaucoup moins que ça) on en déduit aisément qu'un mot de passe formé par une phrase de 8 mots est bien plus sécurisé qu'un mot de passe de 8 caractères.

Si tu pars sur un encodage ASCII/ASCII étendu mais en utf-8 tu peux t'amuser à rajouter des caractères "marrants"/'"originaux" et tu auras bien plus que 256 possibilités.

Ensuite, est-il plus facile de retenir un caractère ou un mot ? Perso je ne sais pas^^

A partir de là, c'est très simple, on prend un extrait de film ou de livre et le tour est joué :
"La marche du vertueux est semée d'embuches"
"Ah ben le voilà le jus d'orange !"
"Shop smart, shop S-Mart ! You got that ?"
"Les sanglots longs des violons de l'automne"

On saupoudre le tout d'un peu de leet speak, on rajoute un chiffre dedans, de la ponctuation, et même avec un dictionnaire de citations c'est impossible à trouver.

Il faut arrêter de voir les dictionnaires comme des dictionnaires de "français" ou de "citations".
Les attaquants, ce ne sont pas des personnes qui vont prendre un dictionnaire sur leurs genoux et essayer les mots de passe un à un.
Ils vont recueillir les mots les plus fréquents, les "muter" et les tester du plus fréquents aux moins fréquents.

Ta citations, si elle est très connue, c'est une très mauvaise idée.
Après, le leet speak, les chiffres et les ponctuations, cela dépendra des "mutations" qu'effectuera le dictionnaire. Mais à un certains niveau, ce n'est plus une phrase de 8 mots qu'on a mais une phrase de 8 mots de passes.

[n5Rzn1D9dC]

http://download.openwall.net/pub/wordlists/

Bon ça c'est les plus connus.
Soit par langue, soit le all qui est un mix de toute les langues.
edit: A noter qu'il s'agit de dictionnaires pour John the ripper, donc non-remote brute-forcing.
La vitesse est donc immensément plus rapide, ce qui rend possible l'utilisation de gros dico utilisant entre autres ... les mot du dico ^

Après les dico underground (en remote), ça doit facilement se trouver. Mais ça ne doit pas représenter pour autant les dico privés.