"Gbd1m2p, qui tire son nom de la phrase "J’ai besoin d’un mot de passe", est une application qui permet de générer un mot de passe sécurisé et facile à retenir en utilisant une phrase fournie par l’utilisateur."
Par exemple, la phrase :
"J'ai besoin d'un mot de passe et vite !"
donne : Gbd1m2p&v!
Perso je préfère utiliser la phrase directement, comme "mot de passe", c’est bien plus facile à retenir, et bonne chance pour tester toutes les possibilités d’un mdp de 30 lettres…
Le seul soucis, c’est les restrictions (e.g demandes de caractères spéciaux).
@tshirtman
Il me semble que les longs mots de passe avec des mots sont plus facile à casser que de court avec des caractères... Mais peut être que je me trompe.
@nicolay_lilicre@ThierryJoffredo@arnaudchampollion@apps@lelibreedu certaines personnes affirment que 4-5 mots représentent moins de possibilités que 8 lettres, ça dépend du nombre de mot dans le vocabulaire, mais avec des milliers de mots, ça monte vite (1000^5 > 40^8…)… D’un autre coté, une phrase connue, pourrait être testé dans une attaque par dictionnaire (si quelqu’un teste toutes les strophes de chanson, ou de livres, connus, mais quand même, ça fait beaucoup à tester).
@tshirtman@nicolay_lilicre@ThierryJoffredo@arnaudchampollion@apps@lelibreedu Bah tu lances Jack The Ripper avec tous les dictionnaires dans la langue souhaitée et tu laisses faire. Le Brute Force fonctionne assez bien sur les phrases et mots … si tu as le temps. Mais la patience est une des qualités du hacker.
@Belganon@nicolay_lilicre@ThierryJoffredo@arnaudchampollion@apps@lelibreedu oui mais genre le dico fr a des dizaines de milliers de mots, si ta phrase en a plus de 5, même s'il priorise les les plus communs, si un seul est modérément rare, je pense que t'es bien plus a l'abri qu'avec dix lettres/symboles aléatoires, surtout que le hacker ne sait pas que tu utilise cette stratégie, et va bien plus probablement tester d'autres patterns en premier.
@Belganon@nicolay_lilicre@ThierryJoffredo@arnaudchampollion@apps@lelibreedu c'est toujours un mélange des deux, brute force avec priorité a des dicos/patterns populaires, genre variation sur un ou deux mots avec des remplacements, toute une phrase, ça demanderait des figures de toutes les littérature, et le nombre de variations est juste démentiel.
Question de béotien en matière de sécurité :
le hacker qui utilise la force brute pour casser un mot de passe, ça veut bien dire qu'il tente tous les mots de passe les uns après les autres.
Il ne se fait pas éjecter par le serveur au bout de la 100ème tentative dès les 10 premières secondes (genre ban d'IP) ?
@arnaudchampollion@Belganon@nicolay_lilicre@ThierryJoffredo@apps@lelibreedu en général c'est plus quand on a une base de donnée de mots de passes chiffrés qu'on peut faire ce genre d'attaques, quand un site est piraté et que cette base est leaké ou revendue, comme c'est une très mauvaise pratique les mots de passe en clair dans celle ci, c'est un "hash" que l'attaquant cherche a reproduire en testant les mots de passes avec le même algo, cher pour ça qu'il ne faut pas réutiliser 1 mdp.
@tshirtman@Belganon@nicolay_lilicre@ThierryJoffredo@apps@lelibreedu OK merci je crois comprendre.
Et s'il arrive à reconstituer l'algorithme qui transforme les mots de passe en hash il peut retrouver tous les mots de passe de la base de données ou bien c'est asymétrique comme dans le cas des clés SSH ?
@arnaudchampollion@Belganon@nicolay_lilicre@ThierryJoffredo@apps@lelibreedu non, c'est des algos a sens unique, mais chaque tentative de mdp peut être comparé a toute la base, donc tous les mdp dans l'espace de recherche du brut force seront décodés en une passe dans celui-ci. Après, ça demande de connaître l'algo de hash utilisé, mais c'est souvent les mêmes, et si l'attaquant connait un mdp dans la base (un compte a lui) il peut le vérifier facilement.
@arnaudchampollion@Belganon@nicolay_lilicre@ThierryJoffredo@apps@lelibreedu idéalement le site utilisent un algo de hash le plus lent possible (et dur a optimiser) pour que le brut force pense le plus de temps possible.
Il y a aussi des algos qui ne donnent pas un résultat identique a chaque fois, mais dont on peut vérifier si les résultats sont équivalents, ce qui prend du temps aussi.
@Belganon@arnaudchampollion@nicolay_lilicre@ThierryJoffredo@apps@lelibreedu non, en général, le problème, c’est pas la solidité théorique et technique des systèmes en place, mais leur configuration, en gros, c’est comme si toutes les maisons avaient des serrures pratiquement inviolables, mais que les gens oubliaient qu’ils avait laissé une porte mal verrouillée, une fenêtre ouverte, ou prit l’habitude de laisser la clé sous le paillasson par ce que c’est bien pratique.
@Belganon@arnaudchampollion@nicolay_lilicre@ThierryJoffredo@apps@lelibreedu on a parfois quelqu’un qui trouve une façon mathématique ou technique d’affaiblir la sécurité même des systèmes correctement configuré, pour rendre des attaques contre eux moins coûteuses (mais toujours hors de porté de la plupart des agences), mais il suffit alors généralement de changer les clés par des plus grosses, ou d’un type différent (ça reste du boulot).
@tshirtman@arnaudchampollion@nicolay_lilicre@ThierryJoffredo@apps@lelibreedu nous allons en resté là n’est ce pas! D’après vous rien ne serait inviolable alors que tout prouve le contraire. Les hackers ont toujours deux coups d’avance. Sur ce content d’avoir échangé mais cela ne m’apporte rien. Bonne fin de week-end.
@Belganon@arnaudchampollion@nicolay_lilicre@ThierryJoffredo@apps@lelibreedu je ne dis absolument pas que les systèmes sont inviolables, ils peuvent avoir des bugs, ils peuvent être mal configurés, ils peuvent contenir des backdoors, mais les problèmes ne sont virtuellement jamais les algos cryptographiques, memes si certains sont aujourd'hui considérés comme trop fragiles, c'est l'une des choses les plus suivie et les plus faciles a faire évoluer, c'est donc rarement un risque en pratique.
Je ne suis pas sûr d'avoir tout compris. Oui c'est bien la définition d'une attaque par force brute qui se distingue de l'attaque par dictionnaires. Par contre en ce qui concerne le ban cela dépend de la configuration du serveur qu'il essaye de bruteforcer. Rien à voir avec l'attaque en elle-même.
Mais effectivement bon nombre de serveurs ou de services disposent de protection anti-bruteforce comme fail2ban ou même implémentée directement au niveau du firewall comme netfilter ou packetfilter.
Add comment