saf04 a écrit :



en fait c’est pas si simple..



 ton mot de passe “ f1f5g487e5GH” ou “jaimelavache” va etre supposé plus sécurisé s’il n’est pas est intelligible humainement.

 mais ceci n’est qu’une supposition datée.

 du temps ou on pensait qu’un pirate aller taper “aaaa” “aaab” etc etc pour trouver un mot de passe.

 

 maintenant y’a une autre vision de voir:

 on réduit le mot de passe en binaire, et on calcule le nombre de test qu’il faut pour le trouver.



  et apparemment cette vision très mathématique gene enormément les gens qui bossent dans la sécurité.

  parce que ca montre bien que dire “faites un password avec plein de truc imbitable” c’est juste faux.







J’ai du mal a voir l’intérêt de le convertir en binaire, sauf dans le cas ou tu as déja la version binaire du mdp à trouver (ce qui doit rarement arriver).

Dans le cas ou tu veux trouver un mdp, t’es bien obligé de le tester face au service auquel tu veux accéder non ? Et dans ce cas la il faut bien reconvertir le mdp en texte clair.

saf04 a écrit :



elium, on ne parle pas de la meme chose.

tu me parles de tester “le service” ce qui pourrait inclure tout et n’importe quoi en sécurité. qui pourrait aller du sel a un blocage d’IP.

 

 je te parle non pas de la sécurité du service a laquelle tu t’inscris, mais de la longueur de ton mot de passe







Si si on parle bien de la même chose. Par service j’entendais l’interface (au sens dev) dans laquelle le mdp sera utilisé, afin de vérifier que c’est bien le bon mdp.

saf04 a écrit :



zut, le commentaire n’a pas pris tout mon pavé.



 

on peut en mathématique, calculer la complexité de variables de chaines de caracteres.  en les reduisant a l’état de binaires. 

 

 et affirmer par exemple que “BFG4T6frt(-” est plus complexe que “tatajosie43” sans aucune source n’est que de l’aveuglement. 

 un aveuglement tellement fort qu’on croit encore a vos théories des mots de passes.







Pour la complexité ok je vois ce que tu veux dire.



Mais si tu veux mettre en oeuvre une attaque, comment trouveras tu que “tatajosie43” est le bon mdp en passant par du binaire ? C’est ce point la que je n’arrive pas à comprendre.

saf04 a écrit :



pas vraiment, mais je trolle.

tout comme les gars qui pensent que “KeV-i_N1978” est un bon mot de passe.

 

 

 sauf que moi je sais que je trolle…..







C’est pas comme si c’était hyper flagrant que tu étais en train de troller ^^

jimmy_36 a écrit :



Tout dépend l’algorithme qui est utilisé en fait.

 MD5, SHA-0 et SHA-1 sont tous vulnérables de nos jours.







Qu’entends tu par vulnérables ?

philanthropos a écrit :



Je parlais dans le cas d’un SI qui se tient à jour évidement (SHA-2, SHA-3, SHA-256, etc.).

Si les types s’amusent à garder les BDD de mdp basé sur des algo’ dépassés, on ne peut que leur souhaiter de se faire poutrer la face.







Ils sont cassables, simplement. Exemple pour le SHA-1 : WikipediaLa vulnérabilité c’est prouver qu’il y a des collisions ?????? Mais par principe le hash créé des collisions. Du coup j’ai du mal à saisir.

philanthropos a écrit :



La feinte c’est que techniquement deux chaines identiques ne vont pas donner le même Hash, c’est logique et c’est la base du chiffrement SHA.

Et donc leur démo’ technique visait à démontrer qu’il était possible de créer un autre fichier possédant le même hash, mais étant différent.

Il était donc possible d’envoyer un faux fichier à la place d’un vrai, mais avec le même hash et donc étant reconnu comme normal par le destinataire.



En pratique c’est vraiment compliqué à expliquer, et je ne me tenterais pas à faire une démo’, je ne maitrise pas assez. Mais pour faire simple ils ont juste démontrés qu’il était possible, en un temps raisonnable, de







Mais ca on le sait depuis “toujours”. A moins que la nouveauté ca soit la preuve pour cet algo précis ?



Depuis que le CRC existe (qui je crois est le premier algo de hashage), on sait que les collisions sont nombreuses (d’où l’intérêt d’utiliser plusieurs algo de hashage différent pour un même fichier).

philanthropos a écrit :



Nombreuses ? " />

A l’époque l’attaque était reproductible en 2^69 opérations …

C’était encore très loin d’être atteignable par n’importe qui, même les agences. Et c’est pour cela que la suite a été développée droit derrière.







Oui pour l’algo CRC, les collisions étaient assez nombreuses ^^ Mais le CRC n’a pas la complexité d’un SHA1 ou MD5.

saf04 a écrit :



j’explique:

 



 si je veux configurer une sécurité sur un site “untel.com”,

 je fait mettre en place un sel aléatoire hashé avec le mot de passe donné avec derriere une vérif d’ip et/ou de mac adress.

 

 par contre c’est dommage qu’un informaticien de base en 2015 n’ai pas encore intégré que le calcul sur une chaine de caractere va se faire sur la réduction en binaire.

 c’est a dire que mon mot de passe “toto” vaut “01110100011011110111010001101111” et donc peut se réduire en possibilités de test.







Peux tu détailler la partie que j’ai mise en gras ? Ca doit faire 2 jours que j’attend tes explications justifiant en quoi ta méthode est mieux. Et pour le moment tu te contentes simplement de répéter des explications assez superficielles.

saf04 a écrit :



et puis y’a aussi des abrutis qui pensent que mettre un mot de passe complexe et impossible a mémoriser va concurrencer la puissance de calcul d’une machine…

 



 #entropie #motdepasse







Quelle est la puissance de calcul requise pour trouver un mdp de 32 caractères ?

saf04 a écrit :



si ton mot de passe c’est “AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA”

 

un dual core tout bete devrait faire le boulot.







On voit que tu maitrises le sujet ^^

JoePike a écrit :



si tu testes toutes les lettres en majuscule et en minuscules tu vas tester A B C etc .. ( tu peux pas vraiment différencier un A d’un Q en alpha pourtant c’est x”41” et x’51’ en ascii

En binaire tu vas tester 15 fois la 2ème moitié de l’octet ( de 0000 à 1111 )

et tu vas vérifier 4 fois la première moitié de l’octet ( 4 5 6 ou 7 ( 0100,0101 0110 ou 0111 )

(table asccii classique x’4x’ x’5x’ x’6x’ ou x’7x’ pour l’exemple)



donc avec 16 + 4 = 20 compare tu feras l’équivalent de 16x4 =64 opérations en alphanumérique

la je fais du brut mais l’optimisation c’est tout un art et quand tu veux aller vite et économiser des cycles machines tu travailles au niveau des bits )



Enfin je suppose qu’il y des trucs bien plus sioux mais c’est un exemple







Il y a un truc qui m’échappe dans ton commentaire.



Jle reformule :

Si tu veux tester tous les caractères minuscules et majuscules (a-Z donc 26*2 = 52 caractères).

En binaire, en prenant la table ASCII, un caractères est codé sur 7 bits (+ un zéro au début pour mettre sur 8 bits pour faciliter la lecture).

Pour le premier groupe de 4 octets, il y a 4 possibilités (4 5 6 ou 7 (0100,0101 0110 ou 0111)).

Pour le seconde groupe de 4 octets, il y a 16 possibilités (de 0000 à 1111).



(Jusque la, je crois avoir correctement reformulé ce que tu as écris)



Mais c’est la suite qui m’embête, car en restant dans le même ensemble, on obtient 64 groupes de 8 octets possibles.



Donc, en suivant la logique de ton exemple, on testera 64 possibilités (car à chaque itération on devra tester les 2 groupes de 4 octets), alors qu’en restant sur les caractères “standard”, on a que 52 possibilités.



Bref quelque chose m’échappe dans ton exemple.



Et il semblerait que celui-ci tend à montrer que rajouter des caractères spéciaux complexifiera la recherche du mdp. Avec l’UTF8 qui se repend, le nombre de caractères spéciaux utilisable explose.

saf04 a écrit :



helium. je vais pour une fois essayer d’etre très pédagogue.

 



un mot de passe avec des caractères spéciaux va etre de base compliqué.

compliqué pour un humain.

l’humain va argumenter sur son ressenti et dire “oui c’est un mot de passe balaise”.

sans argument technique

 

mais la machine elle va au tester sur des 0 et des 1.

 

pour une machine tester des caractères, ca ne sera que des caractères. alors qu’un humain va croire que c’est plus dur de tester “‘(- oç01que helium.

 

et avec cette approche humaine on a encore le meme discours depuis 20 ans.

mais zut, on a évolué depuis 20 ans.







C’est pas de la pédagogie : c’est énoncer les principes de bases de l’informatique. En fait tu ressembles à un prof qui n’arrive pas à se faire comprendre de ses élèves, et qui du coup rabâche 100 fois le même pseudo exemple.



La pédagogie serait de montrer par un exemple en quoi ce que tu avances est mieux.



Pake jusqu’ a présent, à part dire que 0/1 c’est mieux que les lettres, t’as surtout brassé beaucoup de vent et de crainte face aux jeunes dev. De plus, dire que c’est 0/1, c’est comme dire l’univers est composé d’atomes : c’est d’une telle évidence, que les gens ne font meme plus la remarque tellement c’est évident.



Donc je t’en pris, fais nous un algo en pseudo code qui montre à quel point ce que tu avances est mieux.



D’après toi, ca fait 20 ans que tu sors que c’est mieux, donc en 20 ans tu as bien eu le temps de trouver un exemple qui le met facilement en évidence.

MuadJC a écrit :



Je crois que l’incompréhension entre les intervenants est que vous ne partez pas d’une même présomption.

Je pense eliumnick suppose que les caractères simples seraient les premiers testés par votre programme, alors que vous autres semblez affirmer en fait que le programme va tout tester séquentiellement, alphanum et caractères spéciaux, sans se poser la moindre question.

Ce qui fait que le programme commençant (même pour le mot de passe 123456) par tous les caractères inimaginables, la difficulté ne bouge pas d’un poil.



J’ai bon?







Je ne pense rien. J’attend simplement de voir en quoi le fait de passer par du binaire serait révolutionnaire. Jusqu’à présent, à part répéter les principes de bases de l’informatique de base, saf04 n’a fait que brasser de l’air.

Et sinon safi04 et j03p1ke, vous savez que c’est cool d’écorcher l’orthographe de la personne à qui vous parlez ? Vous savez ce truc archaïque que les vieux en principe connaissent : le respect de l’autre.

JoePike a écrit :



Désolé eliumnick

Je ne voulais pas manquer de respect " /> mais bon c’était dur à taper pour un humain " />

( la j’ai fait cop/coll)



Non bien sûr je ne reconnais pas du tout que de mettre des caractères spéciaux aidera beaucoup ( à part les attaques par dictionnaire qui ne se font presque plus mais ça je l’ai déja dit )



Pour répondre à ton interrogation sur l’exemple des tables ascii

Le parrallèle est de trouver par exemple un chiffre secret de 1 à 99 en posant des questions que la bécane ne répondra que par oui ou par non.

L’idée tant de trouver en moins de questions possibles.

C’est dans cette idée que je donnais l’exemple ASCII comme quoi ça ira plus vite de réfléchir en binaire qu’en alpha

mais bon … C’était simplement pour répondre à la question







Au final j’ai compris que votre but est de réduire le nombre de possibilité. Mais c’est juste de l’amélioration pour un cas précis.

Dans la majorité des cas, avoir un mot de passe plus long avec des caractères spéciaux mettra en échec l’exemple que tu as donné (pake avoir des caractères spéciaux permet d’avoir plus de caractères différents).