Moi je m’en fout de savoir que xx% à été dérobé etc… Moi ce que je veux savoir c’est si ils ont stocké les mdp avec sel + hashage pas pourri.
Parce que c’est un peu le but non, en théorie le pirate peut avoir toutes les données (y compris les hash) mais ne peut pas récupérer le mot de passe sans brute forcer le tout utilisateur par utilisateur.
Là où on va rire c’est d’ici quelques décennies quand les ordinateurs quantiques seront au point ^^
horrible comme mise à jour, c’est la première fois que je râle autant.
Pourtant je demande pas grand chose, même à la dernière maj importante niveau graphique j’avais adopté le no-menu style.
Mais là c’est juste horrible, des boutons enoooormes, je suis pas bigleux dediou. Et elle est ou ma barre des add-ons, ha ok ils ont tout fourré sur une seule barre histoire de rendre le truc bien encombré. Et c’est quoi ce double menu des favoris avec l’étoile couplé… j’utilise jamais cette étoile à la con qui te fous en favoris n’importe où.
Et bien évidemment impossible de revenir en arrière… ni de customiser quoi que ce soit, c’est du délire. Obligé de passer par un add-on, en même temps c’est la seule force qui lui reste à ce pauvre panda roux…
puisqu’il nécessite une composante aléatoire qui ne doit être connue que du serveur : le « salt ».
Si je dis pas de conneries, en théorie le hash, le salt, la méthode de hashage, tout ça pourrait être public sans pour autant rendre le mot de passe vulnérable.
Bien sûr ça dépend du mot de passe, la première chose qu’un attaquant va faire étant une recherche par dictionnaire et si le mdp s’y trouve…
C’est bien pour ça qu’on préconise un bon mot de passe, càd un mot de passe long avec des caractères spéciaux.
évidemment l’idéal c’est un bon salt (càd très long et donc pas sur 32 bits…), une méthode de hashage bien lente et un mdp bien long avec des caractères non basiques.
Pour moi le salt ne sert qu’a éviter les rainbow tables, ou tables en tout genre.
C’est plus sécurisé en le hachant hashant plusieurs fois ?
Oui, en théorie ça ralentit l’attaque par brute force. Au plus le hashage est lent au plus il faut de ressources aux hackers pour retrouver les mpd.
De toutes façons si c’est bien salé je vois pas les hackers essayer de retrouver les mpd.
Le seul truc embêtant c’est les identifiants en clair pour ceux qui utilisent le même mdp partout :s
Si seulement ils pouvaient être tous comme kickstarter, c-à-dire ne pas stocker les données bancaires et faire un salage correct (d’après le peu d’info de la news) avec la cerise sur le gâteau en optant pour un hashage plus lent.
y’a quand même des différences avec excel, genre excel supporte 2^14 colonnes contre 2^10 pour calc. Après il y a peut-être d’autres limites mais il est bcp plus facile d’avoir la liste des limites pour excel que pour calc.
C’est un peu comme les éditeurs d’images, oui tous les “gratuits” peuvent faire de supers trucs comme les payant jusqu’à ce que l’image que tu veux modifier occupe une place mémoire plus grande qu’une certaine valeur car l’image est chargée en entier dans la mémoire. Et donc impossible de travailler avec une image de dimension arbitraire.
5 commentaires
Avast : forum piraté, 400 000 comptes touchés, mots de passe en danger
28/05/2014
Le 28/05/2014 à 16h 56
Moi je m’en fout de savoir que xx% à été dérobé etc… Moi ce que je veux savoir c’est si ils ont stocké les mdp avec sel + hashage pas pourri.
Parce que c’est un peu le but non, en théorie le pirate peut avoir toutes les données (y compris les hash) mais ne peut pas récupérer le mot de passe sans brute forcer le tout utilisateur par utilisateur.
Là où on va rire c’est d’ici quelques décennies quand les ordinateurs quantiques seront au point ^^
Firefox 29 : le plein de nouveautés avec Australis, Sync et la personnalisation
29/04/2014
Le 30/04/2014 à 17h 24
horrible comme mise à jour, c’est la première fois que je râle autant.
Pourtant je demande pas grand chose, même à la dernière maj importante niveau graphique j’avais adopté le no-menu style.
Mais là c’est juste horrible, des boutons enoooormes, je suis pas bigleux dediou. Et elle est ou ma barre des add-ons, ha ok ils ont tout fourré sur une seule barre histoire de rendre le truc bien encombré. Et c’est quoi ce double menu des favoris avec l’étoile couplé… j’utilise jamais cette étoile à la con qui te fous en favoris n’importe où.
Et bien évidemment impossible de revenir en arrière… ni de customiser quoi que ce soit, c’est du délire. Obligé de passer par un add-on, en même temps c’est la seule force qui lui reste à ce pauvre panda roux…
Heartbleed, OpenSSL et la question de la sécurité expliqués simplement
09/04/2014
Le 10/04/2014 à 17h 50
puisqu’il nécessite une composante aléatoire qui ne doit être connue que du serveur : le « salt ».
Si je dis pas de conneries, en théorie le hash, le salt, la méthode de hashage, tout ça pourrait être public sans pour autant rendre le mot de passe vulnérable.
Bien sûr ça dépend du mot de passe, la première chose qu’un attaquant va faire étant une recherche par dictionnaire et si le mdp s’y trouve…
C’est bien pour ça qu’on préconise un bon mot de passe, càd un mot de passe long avec des caractères spéciaux.
évidemment l’idéal c’est un bon salt (càd très long et donc pas sur 32 bits…), une méthode de hashage bien lente et un mdp bien long avec des caractères non basiques.
Pour moi le salt ne sert qu’a éviter les rainbow tables, ou tables en tout genre.
Kickstarter victime d’une attaque, mais aucune information bancaire dérobée
17/02/2014
Le 18/02/2014 à 18h 45
LibreOffice 4.2 revoit son code en profondeur et augmente ses performances
30/01/2014
Le 30/01/2014 à 20h 08
y’a quand même des différences avec excel, genre excel supporte 2^14 colonnes contre 2^10 pour calc. Après il y a peut-être d’autres limites mais il est bcp plus facile d’avoir la liste des limites pour excel que pour calc.
C’est un peu comme les éditeurs d’images, oui tous les “gratuits” peuvent faire de supers trucs comme les payant jusqu’à ce que l’image que tu veux modifier occupe une place mémoire plus grande qu’une certaine valeur car l’image est chargée en entier dans la mémoire. Et donc impossible de travailler avec une image de dimension arbitraire.