Forum > Le Hall > Salon de discussions, Actualité... > l'AE des chiffonniers
l'AE des chiffonniers
Salut !
Voici une réflexion qui m'est survenue l'autre jour, alors que je pestais contre ma mémoire incapable de différencier deux mots de passe, sans doute à ce moment là accablée d'un quelconque refoulement freudien.
Il apparaît clairement, et plusieurs essais m'en donne confirmation, que la saisie du mot de passe lors de la connexion au site de l'AE importe peu, pour peu qu'on se soit remuer la tête pour n'en trouver qu'une suffisante moitié.
Par tous les Saints !
Une faille dans le système de log ?..
Ou est-ce donc là une manière bien pensée de permettre aux mordus du goulot de pouvoir accéder au contenu du site ?
Une aide bienveillante afin qu'ils n'aient pas à se creuser un ciboulot déjà suffisamment occupé à stabiliser leur équilibre de soiffard ?
Si c'est le cas, bravo ! Remercions l'AE pour tant de compassion !
Hoy, hoy ! Buvez ! Buvons ! Et si l'alcool est un vice... alors vissons !
Je ne puis m'en aller sans vous citer un copain qui avait des rapports privilégiés avec la bouteille (on l'appellera Charles B. par soucis d'anonymat.)
C'est ainsi qu'à travers l'Humanité frivole
Le vin roule de l'or, éblouissant Pactole;
Par le gosier de l'homme il chante ses exploits
Et règne par ses dons ainsi que les vrais rois.
~ Stoff
Stoff - EDIM - VPI BDS Montbéliard A11-P12-P13\ Promo 11, what else?
[[http://neteril.org|{{http://neteril.org/files/40372.png}}]] --- Code monkey --- Lolcat loler --- [[http://blog.neteril.org|Blog]]
Je parviens à me connecter en utilisant des mots de passe plus ou moins erronés.
Je me demandais si c'était normal...
[mdp]+[suite absurde] = win.
ou encore
[la moitié du mdp]+[une autre suite absurde] = win.
Stoff - EDIM - VPI BDS Montbéliard A11-P12-P13\ Promo 11, what else?
C'est bizarre moi la moindre erreur sur une lettre et je ne peux pas me connecter ...
"Le rose c'est moche, c'est pour les filles!" = > Pascal Team! : Gryvoiz' \ Secretaire Integ'11 / Responsable Père Toutankarton ! / Responsable repas GMC
Ah ah, j'ai essayé et je confirme !
Je pense qu'il y a un petit souci en effet ;-)
5 fruits et légumes par jour, ils me font marrer ! Moi au bout de 3 pastèques, je cale.
Clé, je t'aime !
De même : quelques caractères en moins ou d'autres en plus et ça passe quand même. Par contre pas avec la moitié seule et nawak derrière.
Sexcrétaire 9
Ouaip, faiblesse de crypt (ou de DES si on veut) qui ne travaille que sur les 8 premiers caractères du mdp. On va réfléchir à ce qu'on peut faire.
[[http://neteril.org|{{http://neteril.org/files/40372.png}}]] --- Code monkey --- Lolcat loler --- [[http://blog.neteril.org|Blog]]
Eh pssss ! Quelqu'un aurait le début du mot de passe d'un admin ?
KB chez Microsoft : Knowledge Base ou Know Bugs ?
J'aiiiime....
Promo 7 - Globtrotteur - Point du chute : Aix-en-Provence \ \ De la joie de vivre et du jambon.. y a pas d'autre recette au bonheur..
Kiri
Ouaip, faiblesse de crypt (ou de DES si on veut) qui ne travaille que sur les 8 premiers caractères du mdp. On va réfléchir à ce qu'on peut faire.
Il faut avoir un mot de passe vachement long si les 8 premiers caractères représente 50% du MdP...
Promo 9 / IMSI - INP forever <3
Kidé
Kiri
Ouaip, faiblesse de crypt (ou de DES si on veut) qui ne travaille que sur les 8 premiers caractères du mdp. On va réfléchir à ce qu'on peut faire.
Il faut avoir un mot de passe vachement long si les 8 premiers caractères représente 50% du MdP...
peu importe que ça soit 50% ou 95%... si à partir du moment où tu connais les 8 premiets, ça marche, il y a un souci de sécurité ;)
Reb'UT, équipe de robotique composée d'anciens de l'UTBM http://www.rebut-robot.fr/ - Mon blog bidouille http://transistorrevolt.org
J'aime comme ça a été dévoilé! :)
Trésorier 7'Art 2009 - 2011\ Trésorier Ski'UT 2009\ Secrétaire Ski'UT 2012
A mon avis, la majorité des gens ont un mot de passe inférieur à 8 caractères, du coup, ça n'impacte pas vraiment la sécurité.
dustri.org - pédant et hauntain - ne trie pas les photos - efficace - chevalier
Ouais et puis c'est pas comme si c'était un truc connu sur le site de l'AE depuis... 2007 ? :P
Le problème c'est que changer le mode de chiffrement impose que tous les utilisateurs re-rentrent leur mot de passe. Il me semblait avoir commencé à coder un truc qui supporte SHA en plus de CRYPT/DES mais j'avais peut être pas commité.
Il existe pas des modules d'authentification tout faits et open source sur le net ? Après c'est peut-être la base de données qu'il faudra mettre à niveau pour qu'elle supporte plus de 8 caractères...
Je me rends pas bien compte mais même en prenant SHA512 (512 caractères par hash donc par login), vu le nombre de comptes ça doit pas faire trop lourd non plus... Et c'est très sécurisé (lève toi de bonheur pour casser le mot de passe par force brute comme ça :) )
"Les quantificateurs c'est comme les préservatifs, ça se met avant l'assertion et pas après." André Turbergue \ Vice-responsable RéZoME P12 - A12
Rerentrer les mots de passe ? Bah non si c'est bien du cryptage (cf Post de Kiri) dont vous parler... Suffit de repasser tous les mots de passe de la bdd à la moulinette inverse, puis les recrypter avec quelque chose de plus sûr et de mettre à jour le login de l'AE.
Si c'est du hashage par contre je suis d'accord.
KB chez Microsoft : Knowledge Base ou Know Bugs ?
J'avais capté ça sur le webmail (8 premières lettres et suite apoherizhklzeireioidfs-urde) mais je savais pas que ça le faisait sur le site ae (mdp enregistré).
Well done Brandon! (au fait quand tu as des requêtes, formule les clairement, des fois il faut savoir ne pas faire dans le lyrique, moi même je sais à quel point c'est dur).
« Impératrice de la com' » \ Responsable com' AE '12 | Responsable com' Intégration A12 | Secrétaire promo 10 P12 | Chargée de mission com' AE P11 | Chroniqueuse SuperFlux P11 | Rédactrice en chef de La Bohème A10 - A12
Baptiste
Rerentrer les mots de passe ? Bah non si c'est bien du cryptage (cf Post de Kiri) dont vous parler... Suffit de repasser tous les mots de passe de la bdd à la moulinette inverse, puis les recrypter avec quelque chose de plus sûr et de mettre à jour le login de l'AE.
``` Si c'est du hashage par contre je suis d'accord.
```
s/cryptage/chiffrement/
s/recrypter/rechiffrer/
Sinon c'est bien du hashage, l'idée c'est que les mots de passe ne soient pas stockés en clair. S'il suffisait de déchiffrer les mots de passes (avec quelle clef ?) puis de les chiffrer avec un autre algorithme, il n'y aurait pas vraiment de difficulté.
Su7
Je me rends pas bien compte mais même en prenant SHA512 (512 caractères par hash donc par login), vu le nombre de comptes ça doit pas faire trop lourd non plus... Et c'est très sécurisé (lève toi de bonheur pour casser le mot de passe par force brute comme ça :) )
Le problème n'est pas trop la taille prise en base (les ~9k comptes du site AE ne représentent pas grand chose face à la taille des tables du forum), mais plus que c'est irréversible ; l'équipe info n'a aucun moyen de récupérer votre mot de passe. Il faut donc que chaque utilisateur le rerentre (d'où l'intérêt d'avoir un système qui permet d'authentifier avec des mots de passes stockés en CRYPT et en SHA, mais qui n'enregistre les nouveaux mots de passe qu'en SHA).
Sinon pour la petite histoire, il est extrêmement plus rapide de bruteforcer du SHA que du CRYPT.
My ¢2.
BenC`
Sinon pour la petite histoire, il est extrêmement plus rapide de bruteforcer du SHA que du CRYPT
Sans dictionnaires, je demande à voir... (avec du SHA512)
"Les quantificateurs c'est comme les préservatifs, ça se met avant l'assertion et pas après." André Turbergue \ Vice-responsable RéZoME P12 - A12
Boarf je ne vois pas le soucis de redemander le mot de passe. Je confirme que c'est chiant mais bon c'est pas compliqué.
Stoi !
Je propose une identification principale par certificat TLS client et une secondaire par auth 2-factor par login/mdp + SMS.
Responsable Informatique A2010 https://chroot-me.in/
Su7
BenC`
Sinon pour la petite histoire, il est extrêmement plus rapide de bruteforcer du SHA que du CRYPT
Sans dictionnaires, je demande à voir... (avec du SHA512)
L'attaque par dico est bonne contre des mots de passes faibles, quelque soit l'algo de chiffrement/hashage. Ce sont plutôt les rainbow tables qui sont utilisées en cryptanalyse contre les fonctions de hachage, si je me souviens bien.
Tu as presque raison dans le sens où effectivement, SHA512 est un plus robuste contre certaines attaques efficaces sur les autres fonctions de hash, mais le bruteforce est plutôt rapide et ce n'est donc qu'une question de temps, de puissance de calcul et de nouveaux vecteurs d'attaque. Mais, ça, c'est vrai pour l'ensemble de la cryptographie :P
Responsable Informatique A2010 https://chroot-me.in/
Je comprends rien, mais j'adhère vachement à l'idée des rainbow tables.
Bon okay je sors.
« Impératrice de la com' » \ Responsable com' AE '12 | Responsable com' Intégration A12 | Secrétaire promo 10 P12 | Chargée de mission com' AE P11 | Chroniqueuse SuperFlux P11 | Rédactrice en chef de La Bohème A10 - A12
Ça doit être encore mieux avec des double rainbow tables
Mowgly
Homme goujon certifié par l'Etat.
Distributeur de médaille de niveau jaune.
Responsable DDR P12-A12. Mais le DDR n'est pas mort !
Oh my God ... It's so intense ! ... :D
IMSI INP - Master A2I - Double diplomé - Bac +10 les enfants, c'est ca la puissance intellectuelle !
Su7
BenC`
Sinon pour la petite histoire, il est extrêmement plus rapide de bruteforcer du SHA que du CRYPT
Sans dictionnaires, je demande à voir... (avec du SHA512)
Bah c'est simple, fais le test :)
Les résultats que j'ai sur 100000 chiffrements successifs de la chaîne "aaaaaaaa" :
Crypt(DES): 495.038 ms
SHA-256: 194.207 ms
SHA-512: 294.11 ms
[Code source](http:oxynux.org/pastebin/nve5zm-1140)//.
En bruteforce bête et méchant tu troueras du SHA-256 2.5 fois plus vite que du DES et du SHA-512 1.7 fois plus vite. :)
Depuis quand le temps de chiffrement a quelque chose à voir avec le temps et le coût du brute force ? Pour certaines méthodes c'est par exemple exponentiel...
KB chez Microsoft : Knowledge Base ou Know Bugs ?
Baptiste
Depuis quand le temps de chiffrement a quelque chose à voir avec le temps et le coût du brute force ? Pour certaines méthodes c'est par exemple exponentiel...
Parce que c'est du hashage et que le bruteforce bête et méchant là dessus c'est du hashage et de la comparaison...
BenC`
Su7
BenC`
Sinon pour la petite histoire, il est extrêmement plus rapide de bruteforcer du SHA que du CRYPT
Sans dictionnaires, je demande à voir... (avec du SHA512)
Bah c'est simple, fais le test :)
Les résultats que j'ai sur 100000 chiffrements successifs de la chaîne "aaaaaaaa" :
Crypt(DES): 495.038 ms SHA-256: 194.207 ms SHA-512: 294.11 ms[Code source](http:oxynux.org/pastebin/nve5zm-1140)//.
En bruteforce bête et méchant tu troueras du SHA-256 2.5 fois plus vite que du DES et du SHA-512 1.7 fois plus vite. :)
Il sera compliqué pour moi de te suivre sur le code source... En tout cas je suis très surpris.
Et de plus il me semble que DES a été cassé non ?
"Les quantificateurs c'est comme les préservatifs, ça se met avant l'assertion et pas après." André Turbergue \ Vice-responsable RéZoME P12 - A12
Su7
Et de plus il me semble que DES a été cassé non ?
Ah bien sûr, l'algo est troué. Je faisais juste un clin d'œil au côté ironique du fait qu'en bruteforce ça soit plus long qu'un algorithme plus récent.