Mots de Passe : Générer et vérifier la force

Partagez ici vos Trucs et vos Astuces.
Répondre
Avatar du membre
dezix
Modérateur
Modérateur
Messages : 843
Enregistré le : 04 juin 2016, 14:50
Diaspora* : dezix@framasphere.org
Status : Hors ligne

04 mars 2020, 16:14

Je reviens sur la question de la "force" d'un MdP

Notamment pour partager ce lien : FAQ · Wiki · cryptsetup : 5. Security Aspects

et

pour une question/remarque "bête" :

Bien évidemment le nombre de combinaisons possibles augmente avec la longueur du MdP et avec la taille du jeu de caractères utilisés.

Mais cela n'a vraiment de sens que pour celui qui connaît déjà ces données.

Celui qui tente de trouver la combinaison les ignore ! :021:

Je passe sur les "Mot de Pisse" ... 1234 ; etc
le pirate aura son dictionnaire adhoc
qui servira pour ces comptes d’utilisateurs défiants.... là on n'y peut rien !

Pour le reste,
il devra tester méthodiquement/logiquement toutes les combinaisons avec le jeux de caractères le plus large utilisable,
en commença par les combinaisons les plus courtes et sans en omettre
puisque le système attaqué ne va pas lui transmettre d'info sur les résultats négatifs à part qu'ils sont négatifs.
L'attaquant n'a que le choix de l'ordre pour espérer un léger gain de temps.... par chance si MdP aléatoire.

De ce point de vue (MdP aléatoire) l'influence du jeux de caractères s'annule pratiquement,
et seule la longueur du MdP fixe la durée de la recherche à -/+ une demie durée du dernier incrément de la longueur du MdP.


Où est l'erreur de résonnement ? :017:

Je ne me sentirai pas humilié si personne ne répond :dirol:
Debian testing/stable - XFCE
Avatar du membre
piratebab
Site Admin
Site Admin
Messages : 3307
Enregistré le : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors ligne

05 mars 2020, 15:45

Au plus tu as de caractéres différents à tester, au plus tu aura de combinaisons à tester pour une longueur de MDP donnée.
Un point prndre en compte: la façon dont tu as acces au mot de passe à retrouver.
Si tu passes par une unterface , tu as généralement un time out, ou un blocage aprés plusieurs echecs. Le balayage d'une liste de mot de passe peux prendre des années ....
Il ne faut évidement pas donner la moindre indication sur l'erreur (pas comme dans le jeu mastermind!)

Le cas que tu exposes est celui ou l'attaquant dispose du mot de passe chiffré (en faisant l'hypothese que l'algo de chiffrement n'a pas de biais permettant réduire le nombre de combinaison). Ce qui suppose que l'attaquant a eu acces à l'endroit ou le mot de passe est stocké. C'est donc la premiére chose à durcir et à vérifier.
Avatar du membre
dezix
Modérateur
Modérateur
Messages : 843
Enregistré le : 04 juin 2016, 14:50
Diaspora* : dezix@framasphere.org
Status : Hors ligne

05 mars 2020, 15:56

piratebab a écrit :
05 mars 2020, 15:45
l'endroit ou le mot de passe est stocké. C'est donc la première chose à durcir et à vérifier.
OUI ! C'est une excellente remarque... car on risque de passer à côté, merci :good:
Debian testing/stable - XFCE
Avatar du membre
piratebab
Site Admin
Site Admin
Messages : 3307
Enregistré le : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors ligne

05 mars 2020, 16:16

C'est critique pour les sites web. Les mot de passe chiffrés sont dans la BDD. Si l'attaquant arrive à faire un dump de la BDD (via une faille quelquonque), c'est le jackpot. Il a ensuite tout loisir de retrouver les mots de passe en clair en utilisant ses propres machines.
Tu trouveras sur internet des exemples de machines dédiées à "casser" des MDP. Leur performances sont impressionantes (à base de GPU), et tout à fait abordable pour un bricoleur averti et pas très fortuné.
Avatar du membre
dezix
Modérateur
Modérateur
Messages : 843
Enregistré le : 04 juin 2016, 14:50
Diaspora* : dezix@framasphere.org
Status : Hors ligne

05 mars 2020, 16:24

C'est effectivement pas le genre de point à négliger.

As-tu quelques pistes/liens sur les moyens à mettre en œuvre pour le renforcement de la protection des MdP en DB et DB en général ?

Mise à part la tenue à jour des logiciels... je considère que c'est acquis dans les bonnes pratiques générales.
Debian testing/stable - XFCE
marcastro
Membre actif
Membre actif
Messages : 667
Enregistré le : 22 avr. 2016, 12:05
Localisation : 83560 Saint Julien
Jappix : marcastro@xmpp.jp
Status : Hors ligne

05 mars 2020, 21:02

je crée mes MDP en créant un petit fichier .asc à l'aide de gpg en utilisant ma clé publique, fichier dans lequel je copie au pif une série de caractères successifs, 15 caractères minimum jamais moins et comprenant minuscules, majuscules, caractères spéciaux et chiffres. J'ai bon là? Tous mes MDP sont sauvegardés en clair sur une clé usb que j'utilise à la demande.
sur le forum depuis 2007.
testing 4.19-amd64#1 sid 4.19-amd64 stretch4.19- bpo nvidia-driver marcastro@xmpp.jp et climatosceptique.
Avatar du membre
dezix
Modérateur
Modérateur
Messages : 843
Enregistré le : 04 juin 2016, 14:50
Diaspora* : dezix@framasphere.org
Status : Hors ligne

06 mars 2020, 12:03

Pour info en complément de :
piratebab a écrit :
13 févr. 2020, 14:30
non, c'est pour revendre l'info!

Comment les hackers transforment en profits des mots de passe volés

Un court article qui expose les grandes lignes.
Debian testing/stable - XFCE
Avatar du membre
vv222
Modérateur
Modérateur
Messages : 385
Enregistré le : 18 avr. 2016, 20:14
Localisation : Bretagne
Contact :
Status : Hors ligne

06 mars 2020, 14:43

marcastro a écrit :
05 mars 2020, 21:02
Tous mes MDP sont sauvegardés en clair sur une clé usb que j'utilise à la demande.
Je pense que c’est le point de faiblesse principal de ta méthode.
J’utiliserais ici une clé USB chiffrée, pour anticiper le jour où je la perdrai ou me la ferai voler.
marcastro
Membre actif
Membre actif
Messages : 667
Enregistré le : 22 avr. 2016, 12:05
Localisation : 83560 Saint Julien
Jappix : marcastro@xmpp.jp
Status : Hors ligne

06 mars 2020, 19:37

vv222 a écrit :
06 mars 2020, 14:43


Je pense que c’est le point de faiblesse principal de ta méthode.
J’utiliserais ici une clé USB chiffrée, pour anticiper le jour où je la perdrai ou me la ferai voler.
bien vu, mais comme cette clé ne quitte jamais mon domicile la question de la perte ou du vol ne se pose pas.Si elle devait cesser de fonctionner je pourrais toujours retrouver mes MDP avec mon firefox qui est synchronisé. Deux sauvegardes valent mieux que une.
Mais mon principe de création de MDP basé sur un fichier .asc est il bien valable?
sur le forum depuis 2007.
testing 4.19-amd64#1 sid 4.19-amd64 stretch4.19- bpo nvidia-driver marcastro@xmpp.jp et climatosceptique.
Avatar du membre
piratebab
Site Admin
Site Admin
Messages : 3307
Enregistré le : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors ligne

08 mars 2020, 23:01

Pour répondre à Dezix, il faut déja que seul les chiffré des mots de passe soient en BDD. Pour exfiltrer ces infos de la BDD, le diable peux se cacher à tous les niveaux. Le plus courant étant un mauvais applicatif. en particulier une requête forgée malveillante que l'applicatif ne surveille pas (injection SQL)
https://openclassrooms.com/fr/courses/2 ... ection-sql
Avatar du membre
dezix
Modérateur
Modérateur
Messages : 843
Enregistré le : 04 juin 2016, 14:50
Diaspora* : dezix@framasphere.org
Status : Hors ligne

08 mars 2020, 23:04

Merci pour le lien

Bonne soirée/nuit
Debian testing/stable - XFCE
Avatar du membre
Dunatotatos
Membre
Membre
Messages : 423
Enregistré le : 11 mai 2016, 20:56
Localisation : Arabie Saoudite
Status : Hors ligne

16 mars 2020, 07:37

marcastro a écrit :
06 mars 2020, 19:37
Mais mon principe de création de MDP basé sur un fichier .asc est il bien valable?
C'est étrange comme technique, et apporte moins de sécurité théorique qu'une génération aléatoire de caractères. Puisque tous tes mots de passe partagent une caractéristique commune.
En pratique, j'imagine que ça apporte la même sécurité qu'un mot de passe aléatoire.
Never trust Windows output.
Avatar du membre
Grhim
Membre très actif
Membre très actif
Messages : 1003
Enregistré le : 30 mai 2016, 01:00
Localisation : Switzerland
Diaspora* : Grhim_Debian_Xyz@framasphere.org
Status : Hors ligne

22 mai 2020, 16:00

marcastro a écrit :
06 mars 2020, 19:37
bien vu, mais comme cette clé ne quitte jamais mon domicile la question de la perte ou du vol ne se pose pas
oui mais si tu est sous ta douche ou au toilette hein ? l'espion viens pendant que tu est occuper , fait une copie de ta clef et hop :lol:

vu ici :003: https://www.nextinpact.com/brief/travai ... -12436.htm
Avatar du membre
sv0t
Membre
Membre
Messages : 499
Enregistré le : 30 avr. 2016, 12:06
Localisation : Charente-Maritime
Status : Hors ligne

22 mai 2020, 18:25

Je créer moi moi-même mes passphrase avec chiffres et caractère spéciaux. Que je m'efforce de mémoriser. Aussi il arrive bien souvent que sur le net je n'ai plus l'accès aux comptes dont je me sers peu.
Heureusement que mes mails sont toujours accessibles ;-)
Avatar du membre
dezix
Modérateur
Modérateur
Messages : 843
Enregistré le : 04 juin 2016, 14:50
Diaspora* : dezix@framasphere.org
Status : Hors ligne

22 mai 2020, 18:38

C'est vrai qu'il y a de quoi devenir ...

:021: :030: :tease: :015: :017: :022: :033: :035: :027:


... et j'en passe

:194:
Debian testing/stable - XFCE
Répondre