Mots de Passe : Générer et vérifier la force

[dezix]

Je reviens sur la question de la "force" d'un MdP

Notamment pour partager ce lien : FAQ · Wiki · cryptsetup : 5. Security Aspects

et

pour une question/remarque "bête" :

Bien évidemment le nombre de combinaisons possibles augmente avec la longueur du MdP et avec la taille du jeu de caractères utilisés.

Mais cela n'a vraiment de sens que pour celui qui connaît déjà ces données.

Celui qui tente de trouver la combinaison les ignore !

Je passe sur les "Mot de Pisse" ... 1234 ; etc
le pirate aura son dictionnaire adhoc
qui servira pour ces comptes d’utilisateurs défiants.... là on n'y peut rien !

Pour le reste,
il devra tester méthodiquement/logiquement toutes les combinaisons avec le jeux de caractères le plus large utilisable,
en commença par les combinaisons les plus courtes et sans en omettre
puisque le système attaqué ne va pas lui transmettre d'info sur les résultats négatifs à part qu'ils sont négatifs.
L'attaquant n'a que le choix de l'ordre pour espérer un léger gain de temps.... par chance si MdP aléatoire.

De ce point de vue (MdP aléatoire) l'influence du jeux de caractères s'annule pratiquement,
et seule la longueur du MdP fixe la durée de la recherche à -/+ une demie durée du dernier incrément de la longueur du MdP.


Où est l'erreur de résonnement ?

Je ne me sentirai pas humilié si personne ne répond

[piratebab]

Au plus tu as de caractéres différents à tester, au plus tu aura de combinaisons à tester pour une longueur de MDP donnée.
Un point prndre en compte: la façon dont tu as acces au mot de passe à retrouver.
Si tu passes par une unterface , tu as généralement un time out, ou un blocage aprés plusieurs echecs. Le balayage d'une liste de mot de passe peux prendre des années ....
Il ne faut évidement pas donner la moindre indication sur l'erreur (pas comme dans le jeu mastermind!)

Le cas que tu exposes est celui ou l'attaquant dispose du mot de passe chiffré (en faisant l'hypothese que l'algo de chiffrement n'a pas de biais permettant réduire le nombre de combinaison). Ce qui suppose que l'attaquant a eu acces à l'endroit ou le mot de passe est stocké. C'est donc la premiére chose à durcir et à vérifier.

[dezix]

l'endroit ou le mot de passe est stocké. C'est donc la première chose à durcir et à vérifier.

OUI ! C'est une excellente remarque... car on risque de passer à côté, merci

[piratebab]

C'est critique pour les sites web. Les mot de passe chiffrés sont dans la BDD. Si l'attaquant arrive à faire un dump de la BDD (via une faille quelquonque), c'est le jackpot. Il a ensuite tout loisir de retrouver les mots de passe en clair en utilisant ses propres machines.
Tu trouveras sur internet des exemples de machines dédiées à "casser" des MDP. Leur performances sont impressionantes (à base de GPU), et tout à fait abordable pour un bricoleur averti et pas très fortuné.

[dezix]

C'est effectivement pas le genre de point à négliger.

As-tu quelques pistes/liens sur les moyens à mettre en œuvre pour le renforcement de la protection des MdP en DB et DB en général ?

Mise à part la tenue à jour des logiciels... je considère que c'est acquis dans les bonnes pratiques générales.

[marcastro]

je crée mes MDP en créant un petit fichier .asc à l'aide de gpg en utilisant ma clé publique, fichier dans lequel je copie au pif une série de caractères successifs, 15 caractères minimum jamais moins et comprenant minuscules, majuscules, caractères spéciaux et chiffres. J'ai bon là? Tous mes MDP sont sauvegardés en clair sur une clé usb que j'utilise à la demande.

[dezix]

Pour info en complément de :

non, c'est pour revendre l'info!

Comment les hackers transforment en profits des mots de passe volés

Un court article qui expose les grandes lignes.

[vv222]

Tous mes MDP sont sauvegardés en clair sur une clé usb que j'utilise à la demande.

Je pense que c’est le point de faiblesse principal de ta méthode.
J’utiliserais ici une clé USB chiffrée, pour anticiper le jour où je la perdrai ou me la ferai voler.

[marcastro]

Je pense que c’est le point de faiblesse principal de ta méthode.
J’utiliserais ici une clé USB chiffrée, pour anticiper le jour où je la perdrai ou me la ferai voler.

bien vu, mais comme cette clé ne quitte jamais mon domicile la question de la perte ou du vol ne se pose pas.Si elle devait cesser de fonctionner je pourrais toujours retrouver mes MDP avec mon firefox qui est synchronisé. Deux sauvegardes valent mieux que une.
Mais mon principe de création de MDP basé sur un fichier .asc est il bien valable?

[piratebab]

Pour répondre à Dezix, il faut déja que seul les chiffré des mots de passe soient en BDD. Pour exfiltrer ces infos de la BDD, le diable peux se cacher à tous les niveaux. Le plus courant étant un mauvais applicatif. en particulier une requête forgée malveillante que l'applicatif ne surveille pas (injection SQL)
https://openclassrooms.com/fr/courses/2 ... ection-sql

[dezix]

Merci pour le lien

Bonne soirée/nuit

[Dunatotatos]

Mais mon principe de création de MDP basé sur un fichier .asc est il bien valable?

C'est étrange comme technique, et apporte moins de sécurité théorique qu'une génération aléatoire de caractères. Puisque tous tes mots de passe partagent une caractéristique commune.
En pratique, j'imagine que ça apporte la même sécurité qu'un mot de passe aléatoire.

[Grhim]

bien vu, mais comme cette clé ne quitte jamais mon domicile la question de la perte ou du vol ne se pose pas

oui mais si tu est sous ta douche ou au toilette hein ? l'espion viens pendant que tu est occuper , fait une copie de ta clef et hop

vu ici https://www.nextinpact.com/brief/travai ... -12436.htm

[sv0t]

Je créer moi moi-même mes passphrase avec chiffres et caractère spéciaux. Que je m'efforce de mémoriser. Aussi il arrive bien souvent que sur le net je n'ai plus l'accès aux comptes dont je me sers peu.
Heureusement que mes mails sont toujours accessibles ;-)

[dezix]

C'est vrai qu'il y a de quoi devenir ...




... et j'en passe