ICANN : réinitialisation des mots de passe suite à une probable fuite de données

jimmy_36 a écrit :

Les algorithmes de hachage cryptographique sont un peu particulier, car la sécurité repose sur la très grande difficulté qu’il y a de trouver deux messages qui ont le même hash. Or cette difficulté est purement calculatoire. Et plus la puissance des ordinateurs augmente plus ils sont attaquables. Sans parler des failles statistiques qui peuvent être découverte en plus.
Et quand tu as une pointure comme Adi Shamir qui le dit, il vaut mieux le croire.



Bah ouais mais comme je le disais dans le post #35, un hash est obligé de créer des collisions.

Le seul moyen de ne pas créer de collision est d’avoir un checksum de longueur au moins égal au fichier pour lequel on calcule le hash.

jimmy_36 a écrit :

Pour un algo de hachage classique.
Mais justement la propriété principale des algorithmes de hashage cryptographique est de faire en sorte que ces collisions soit les plus difficile à trouver. Dans l’idéal non réalisable par les ordinateurs à disposition.
Quand les collisions deviennent calculable par un ordinateur du commerce, l’algo est vulnérable.



Ah ok ^^ Je comprend ^^ En fait pour moi jme disais qu à partir du moment ou théoriquement la collision existe, alors même si il faut plusieurs fois l’éternité pour la trouver, ben je considérais ça comme vulnérable.

saf04 a écrit :

sérieusement vous mélangez tout….
 

 si comme le demande lyaume un hacker veut tester des combinaisons tres rapidement.
 sa solution va etre de passer par un dictionnaire de mot de passe.
pour les gens qui ne connaissent pas, on va tester des bibliothèques de mots de passe déjà découverts.
 
on peut aussi tester le brute force…
mais malgré les efforts des medias pour dire que le net est un far-west, c’est la solution la plus connue, et il me semble la moins meritante et efficace.
 
sinon, on peut aussi tester le social engineering. ou on va tromper l’utilisateur pour avoir accés a ses identifiants.
 et la c’est que de la psychologie de base, et open bar ensuite.



Oh grand maitre de la connaissance,
Nous t’implorons pour que dans ton infinie bonté,
tu nous transmettes ta sagesse

saf04 a écrit :

merci de me faire passer pour un connard.
 
en meme temps, lyaume a posé une question et la reponse qu’il a eu est tres bancale….



Je refuse de prendre du crédit pour des choses que je n’ai pas fait. Le seul ici qui t’as fait passer pour un connard, c’est saf04. Voit avec lui pour les remerciements.

saf04 a écrit :

merci de me rappeler pourquoi je viens en intermittence.
 
les débats qui pourraient etre techniques se finissent en attaques personnelles, et personne n’est jamais responsable de rien.
 
 
ho merde on dirait les jeunes devs que je croise depuis 20 ans.



J’avoue tes post 48, 54 et 57 sont tellement techniques……. Nan vraiment tu mérites le respect….

saf04 a écrit :

le binaire est utilisé dans la théorisation et le calcul de la durée du hack
 
 edit: je te la fait courte parce que apparemment t’as  du mal.
 une chaine qui se résume a “01” sera plus rapide a déchiffrer que “01101100011”



Peux tu répondre à la question que je t’ai posé ? Ou désire tu garder ton secret pour toi seul ?

JoePike a écrit :

Je suis votre discussion depuis un moment , parce que ça m’interesse ( j’y connais pas grand chose) " />
Par exemple , pour trouver un mode de passe wifi t’as pas besoin d’essayer, tu te sers de morceaux de trace
et si tu fais ça en force brute, tu fais ça en binaire peu importe si le mec à mis KeV-in ou Kevin



Ben si, tu testes le mdp. Tu testes un différent mdp jusqu’à ce que la communication avec l’antenne WIFI se fasse.



JoePike a écrit :

Ensuite si tu t’attaques à un mot de passe très long ( qui pour oter tous doutes , sera plus difficile à craquer qu’un mot de passe de 2 caractères) tu peux utiliser un service comme Amazon Elastic Computing GPU machin chose , d’ailleurs il y a plein de discussions sur ce sujet ( et il y a eu de sacrés succès en louant quelques heures de milliers de GPU)

c’est dans ce sens que je comprend qu’en calcul théorique de complexité , de durée de résistance etc … que ce n’est pas plus compliqué d’avoir des caractères spéciaux ou pas .. disons que tant qu’on la joue pas dictionnaire … ben la complexité est la même

Mais bon c’est ma façon de comprendre " />



Oui la complexité j’ai bien compris.

Mais saf04 parle de sa super technique utilisant les maths, et qui d’après lui remet en cause les fondements de la sécurité informatique. Je lui demande donc des détails ^^

JoePike a écrit :

si tu testes toutes les lettres en majuscule et en minuscules tu vas tester A B C etc .. ( tu peux pas vraiment différencier un A d’un Q en alpha pourtant c’est x”41” et x’51’ en ascii
En binaire tu vas tester 15 fois la 2ème moitié de l’octet ( de 0000 à 1111 )
et tu vas vérifier 4 fois la première moitié de l’octet ( 4 5 6 ou 7 ( 0100,0101 0110 ou 0111 )
(table asccii classique x’4x’ x’5x’ x’6x’ ou x’7x’ pour l’exemple)

donc avec 16 + 4 = 20 compare tu feras l’équivalent de 16x4 =64 opérations en alphanumérique
la je fais du brut mais l’optimisation c’est tout un art et quand tu veux aller vite et économiser des cycles machines tu travailles au niveau des bits )

Enfin je suppose qu’il y des trucs bien plus sioux mais c’est un exemple



Il y a un truc qui m’échappe dans ton commentaire.

Jle reformule :
Si tu veux tester tous les caractères minuscules et majuscules (a-Z donc 26*2 = 52 caractères).
En binaire, en prenant la table ASCII, un caractères est codé sur 7 bits (+ un zéro au début pour mettre sur 8 bits pour faciliter la lecture).
Pour le premier groupe de 4 octets, il y a 4 possibilités (4 5 6 ou 7 (0100,0101 0110 ou 0111)).
Pour le seconde groupe de 4 octets, il y a 16 possibilités (de 0000 à 1111).

(Jusque la, je crois avoir correctement reformulé ce que tu as écris)

Mais c’est la suite qui m’embête, car en restant dans le même ensemble, on obtient 64 groupes de 8 octets possibles.

Donc, en suivant la logique de ton exemple, on testera 64 possibilités (car à chaque itération on devra tester les 2 groupes de 4 octets), alors qu’en restant sur les caractères “standard”, on a que 52 possibilités.

Bref quelque chose m’échappe dans ton exemple.

Et il semblerait que celui-ci tend à montrer que rajouter des caractères spéciaux complexifiera la recherche du mdp. Avec l’UTF8 qui se repend, le nombre de caractères spéciaux utilisable explose.

saf04 a écrit :

helium. je vais pour une fois essayer d’etre très pédagogue.
 

un mot de passe avec des caractères spéciaux va etre de base compliqué.
compliqué pour un humain.
l’humain va argumenter sur son ressenti et dire “oui c’est un mot de passe balaise”.
sans argument technique
 
mais la machine elle va au tester sur des 0 et des 1.
 
pour une machine tester des caractères, ca ne sera que des caractères. alors qu’un humain va croire que c’est plus dur de tester “‘(- oç01que helium.
 
et avec cette approche humaine on a encore le meme discours depuis 20 ans.
mais zut, on a évolué depuis 20 ans.



C’est pas de la pédagogie : c’est énoncer les principes de bases de l’informatique. En fait tu ressembles à un prof qui n’arrive pas à se faire comprendre de ses élèves, et qui du coup rabâche 100 fois le même pseudo exemple.

La pédagogie serait de montrer par un exemple en quoi ce que tu avances est mieux.

Pake jusqu’ a présent, à part dire que 0/1 c’est mieux que les lettres, t’as surtout brassé beaucoup de vent et de crainte face aux jeunes dev. De plus, dire que c’est 0/1, c’est comme dire l’univers est composé d’atomes : c’est d’une telle évidence, que les gens ne font meme plus la remarque tellement c’est évident.

Donc je t’en pris, fais nous un algo en pseudo code qui montre à quel point ce que tu avances est mieux.

D’après toi, ca fait 20 ans que tu sors que c’est mieux, donc en 20 ans tu as bien eu le temps de trouver un exemple qui le met facilement en évidence.

MuadJC a écrit :

Je crois que l’incompréhension entre les intervenants est que vous ne partez pas d’une même présomption.
Je pense eliumnick suppose que les caractères simples seraient les premiers testés par votre programme, alors que vous autres semblez affirmer en fait que le programme va tout tester séquentiellement, alphanum et caractères spéciaux, sans se poser la moindre question.
Ce qui fait que le programme commençant (même pour le mot de passe 123456) par tous les caractères inimaginables, la difficulté ne bouge pas d’un poil.

J’ai bon?



Je ne pense rien. J’attend simplement de voir en quoi le fait de passer par du binaire serait révolutionnaire. Jusqu’à présent, à part répéter les principes de bases de l’informatique de base, saf04 n’a fait que brasser de l’air.

Et sinon safi04 et j03p1ke, vous savez que c’est cool d’écorcher l’orthographe de la personne à qui vous parlez ? Vous savez ce truc archaïque que les vieux en principe connaissent : le respect de l’autre.

JoePike a écrit :

Désolé eliumnick
Je ne voulais pas manquer de respect " /> mais bon c’était dur à taper pour un humain " />
( la j’ai fait cop/coll)

Non bien sûr je ne reconnais pas du tout que de mettre des caractères spéciaux aidera beaucoup ( à part les attaques par dictionnaire qui ne se font presque plus mais ça je l’ai déja dit )

Pour répondre à ton interrogation sur l’exemple des tables ascii
Le parrallèle est de trouver par exemple un chiffre secret de 1 à 99 en posant des questions que la bécane ne répondra que par oui ou par non.
L’idée tant de trouver en moins de questions possibles.
C’est dans cette idée que je donnais l’exemple ASCII comme quoi ça ira plus vite de réfléchir en binaire qu’en alpha
mais bon … C’était simplement pour répondre à la question



Au final j’ai compris que votre but est de réduire le nombre de possibilité. Mais c’est juste de l’amélioration pour un cas précis.
Dans la majorité des cas, avoir un mot de passe plus long avec des caractères spéciaux mettra en échec l’exemple que tu as donné (pake avoir des caractères spéciaux permet d’avoir plus de caractères différents).