Annonce

Réduire
Aucune annonce.

Sécuriser ses mots de passe

Réduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Sécuriser ses mots de passe

    LA PROTECTION DES MOTS DE PASSE

    La protection des mots de passe est un des principaux problèmes de la sécurité sur Internet bien qu’il
    existe des solutions
    pour lutter efficacement contre ce dernier :

    - les mots de passe « shadow » ;
    - la génération de mots de passe sûrs.

    Les mots de passe « shadow »

    Les mots de passe « shadow » sont un système où le fichier de mots de passe cryptés est caché de tous les utilisateurs excepté
    l’administrateur, en espérant empêcher les tentatives de crackage de mots de passe à la source.

    La génération de mots de passe sûrs :

    Premièrement, il serait intéressant de voir combien de mots de passe possibles il existe. La plus part des gens sont inquiets que des programmes comme « crack » vont éventuellement gagner en puissance jusqu’à ce qu’ils soient capables d’effectuer un
    recherche exhaustive de tous les mots de passe possibles pour rentrer dans un compte utilisateur spécifique (généralement
    administrateur). Les mots de passe valides sont créés à partir de 62 caractères [A-Z a-z 0-9] et ils peuvent inclure encore
    plus de caractères comme : « }][{ $ ££@ !%&(#/)=-:_.;,?">< ».

    Un exemple de bon mot de passe est donc constitué de :

    - caractères uppercase (majuscules)
    - caractères lowercase (minuscules)
    - caractères spéciaux
    - chiffres

    Exemple :

    [email protected]#gz3M6id9&Rt

    Celui-ci fait 26 caractères (la plupart des mot de passes sont limités à 26 caractères en moyenne. Ce peut être moins. Mais dans tous les cas, il ne doit pas faire moins de 14 caractères. Sinon, même s'il est constitué de L.case, U.case, C.Spé et chiffres, il est cassable.

    En utilisant seulement les 62 caractères communs, la taille de la série de mots de passe valides est :

    625+626+627+628 = 2,2 E+14

    Un nombre qui est bien trop grand pour entreprendre une recherche exhaustive avec les technologies actuelles.

    De plus, si l’on peut utiliser les 95 caractères, qui ne sont pas des caractères de contrôle, dans les mots de passe, cela réduit d’autant plus les chances du cracker de mots de passe. Par contre, n’importe quel mot de passe qui est dérivé d’un dictionnaire (ou d’information personnelle), même modifié constitue un mot de passe potentiellement crackable.

    Par exemple les mots de passe basés sur les :

    - noms de login : monlogin
    - noms famille : dupond, durand
    - prénoms : Raoul, Adrienne
    - mots écris à l’envers : enneirda, dnopud
    - mots d’un dictionnaire : ordinateur, livres
    - mots en capitales : Ordinateur, OrDiNateuR
    - mots des dictionnaires de cracking : porsche911, 123456789, azerty.
    - mots de langues étrangères : hello!, gutentag
    - noms de personnalités : mozart, Nas, Obama
    - dates de naissance : 030879, 12101982

    Un moyen de créer un mot de passe incrackable est de le faire apparaitre comme défini au hasard. Il ne faut pas oublier d’insérer des chiffres et des signes de pontuation dans le mot de passe. Une méthode utilisée pour trouver un mot de passe difficile à craquer mais facile à se souvenir est de :

    1. Prendre une phrase ou une ligne d’un poême ou d’une chanson qui doit être d’au moins long de 8 mots
    2. Prendre la première lettre de chaque mot et l’utiliser dans le mot de passe.
    3. Utiliser les signes de pontuation

    Par exemple, la phrase : « Un pour tous, et tous pour un » donne un mot de passe relativement incrackable : « Upt,&tp1 » Un bon moyen pour un administrateur réseau de savoir si les utilisateurs ont des mots de passe sûrs est d’utiliser les programmes de crackage de mots de passe sur son propre système comme le ferait un cracker. « Crack » est un bon outil pour s’assurer que les utilisateurs de système UNIX n’ont pas choisis des mots de passe facilement crackable qui apparaissent dans les dictionnaires standards.

    Voici un tool conçu par ptinaze, membre d'Hackademics, qui permet de générer des mots de passe robustes :

    http://hackademics.fr/showthread.php...atoire-robuste
    sigpic

    Cyprium Download Link

    Plus j'étudie plus j'me rends compte que je n'sais rien.

    †|

  • #2
    Merci en tout cas, je pensais pas qu'à 13 c'était encore fragile oO

    Commentaire


    • #3
      Envoyé par Daisy Voir le message
      Merci en tout cas, je pensais pas qu'à 13 c'était encore fragile oO


      J'ai édité mon post, tu as accès au tool de l'hackademy.

      Oui, Jusqu'à 13/14, par bruteforce, c'est cassable. Au delà de 20 caractères (LC*, UC**, SC***, DG****), ça devient de plus en plus impossible, le bruteforcing mettrait beaucoup trop de temps (des années) et il faudrait une puissance de calcul énorme pour réduire ce temps de calcul.

      Par contre, un long mot de passe n'assure pas une sécurité absolue. En effet, via des attaques par dico/RT***** (table de type BF****** définie) ton pwd peut être contenu dedans. Tu peux générer des RT de 38char en LC+UC, 42 LC+DG(1-4), etc. Suffit de pas tomber sur la personne qui a conçu un dico qui contient ton pwd aléatoire. Donc il n'y a pas "aucun risque", mais disons que le taux de proba de cassage pour les pwd de +14char LC/UC/SC/DG est très faible.

      Après, encore une fois, tout dépend des conditions. Si tu tombe sur un spécialiste du cassage de mots de passe, il va te falloir quelque-chose de plus long pour t'assurer une bonne sécu. Moi perso... je suis prêt à donner le hash de mon pwd admin de l'hackademy (je donne le hash en +, alors que normalement on part de rien), et en plus de ça je donne la longueur. Eh bien.. je pense que même la personne qui me paraît la plus apte à casser mon pwd (mon hash), qui est Sorcier_FXK (sur ce forum), n'y parviendra pas.

      D'ailleurs, Sorcier_FXK, si tu veux relever le défi^^ Je donne hashmd5 not salted + charlength

      Perso, j'ai pas un mot de passe en-dessous de 20 char (tous LC/UC/SC/DG mixed) ; que ce soit pour des comptes sur des forums ou je vais une fois tous les 6 mois ou autre. Et pour les endroits "sensibles" (comme mon mot de passe admin pour ce forum), je le change régulièrement^^ Donc même si quelqu'un tentait un BF, le temps qu'il calcule, j'aurai déjà changé de pwd^^ Parano ? hmm... préventif Et il fait bien + de 20char

      Au passage... le merci se fait via le bouton "Thanks" prévu à cette effet...



      *LowerCase
      **UpperCase
      ***SpecialChars
      ****Digits

      *****RainbowTables
      ******Bruteforce
      sigpic

      Cyprium Download Link

      Plus j'étudie plus j'me rends compte que je n'sais rien.

      †|

      Commentaire


      • #4
        est-ce que mon passe de 33 caractères avec lettre + chiffres + caractères speciaux est sufffisant? aussi il n'y a pas de mots dans le dico.
        Merci
        Il faut toujours viser la lune car même en cas d'échec on atterit toujours au milieu des étoiles...

        Commentaire


        • #5
          Certes oui, cependant, il faut bien souligner le fait qu'il faille des pwd plus sûrs dans certains cas, et des plus cool dans d'autres. Exemple, tu te crées un compte de membre sur un forum comme celui-ci : 14char suffisent. Cependant, si tu en es modérateur, ou pire, administrateur, là tu va augmenter un peu la sécu du pwd. Normal. Idem, pour une boîte mail "poubelle", tu peux mettre un mot de passe cool, mais par exemple, ton pwd admin sur ton ordinateur doit être bien secure.

          Après, c'est aussi une question d'habitude. A force de cracker des pwd, tu deviens forcément plus "parano" après. J'ai connu quelqu'un dont c'était le métier qui avait des pwd qui allaient jusqu'à 120 caractères. Je ne citerai pas son nom^^ (d'ailleurs il est sur le forum^^). Oui mais lui vu qu'il a le nez dedans, c'est son job, il voit ça d'un autre angle que quelqu'un de "classique". Moi pour ma part, il sont tous entre 20 et 40 char. Je ne vais pas au delà de 40 car mon degré de parano s'arrête là Mais 40 c'est tout à fait cassable. Je ne vais pas rentrer dans les détails, mais bon, en gros, il suffit d'établir une liste de hashes de 40char et d'avoir un peu de chance et c'est cracké. Forcément, ça va beaucoup moins vite à 40 qu'à 14...

          Bref, pour une utilisation "normale", 14, c'est bien. C'est mieux que "titi" ou "1234" (et j'en ai vu des pwd de ce genre... des centaines...).
          sigpic

          Cyprium Download Link

          Plus j'étudie plus j'me rends compte que je n'sais rien.

          †|

          Commentaire


          • #6
            Le programme que tu link m'amène sur mon moteur de recherche..>lien mort ?
            "L'intelligence artificielle n'est rien comparée à la stupidité naturelle"

            Commentaire


            • #7
              re-clic dessus.
              sigpic

              Cyprium Download Link

              Plus j'étudie plus j'me rends compte que je n'sais rien.

              †|

              Commentaire


              • #8
                Merci pour ces infos, moi non plus je ne pensais que jusqu'à 14 caractères ça pouvait être crackable.
                Cela dit, avoir un pwd de 40 char tout confondus, ma mémoire me fait trop défaut pour que j'arrive à les retenir.

                Commentaire


                • #9
                  Merci pour ces infos .

                  Commentaire


                  • #10
                    Personnellement j'ai trouvé un moyen très simple de créé un bon mot de passe pour chaque site. sans avoir besoin de les retenir.

                    [clef_de_base]+[url_du_sute]+[chaine_numérique]

                    la cef_de base contiens des majuscule minuscule et accent, c'est toujours le même
                    l'url du site change a chaque site.
                    la chaîne numérique c'est par rapport a l'url du site place des premières lettre dans l'alphabet

                    le mot de passe peut donc donné

                    DonnéAsécuriséhack.frademics813

                    31 caractère pour l'exemple

                    ce qui me permet a partir de n'importe ou de me co sans mémorisé mon mdp.
                    Lived.fr : Vous avez vécu, vous allez encore vivre. Mais quel sera votre prochain succès?

                    Commentaire


                    • #11
                      Bonjour,

                      Ça fait un moment que je suis inquiété par la sécurité des mots de passe. Le problème, c'est qu'il faut trouver le compromis entre la force d'un mot de passe et sa complexité à le retenir ou au moins, à pouvoir le stocker en sécurité.

                      J'ai voulu essayer les scanners d'empreinte mais je me suis heurté à la portabilité d'un tel système. En déplacement, comment utiliser mes mots de passe ?

                      Après, j'ai commandé sur le net des cartes Quinulus, qui permettent de générer un mot de passe complexe et de le sauvegarder, chiffré, sous une forme très simplifiée (genre MA:|||||:7). Verdict, c'est un système absolument magnifique et plutôt béton, sauf que comme dans tout système élaboré pour la sécurité, la faille viendra sûrement du facteur humain, tant le protocole est plus complexe que de simplement prendre comme mot de passe sa date de naissance.

                      Alors ce protocole de sécurité va bien pour les entreprises et les données sensibles mais n'est absolument pas convenable pour une utilisation de tous les jours.

                      Aussi, on peut utiliser un gestionnaire de mots de passe comme KeePass avec un seul mot de passe à retenir et mettre le tout sur clé usb. Le problème là aussi, c'est d'arriver à sécuriser assez le bousouf pour ne pas perdre tout le contenu.

                      Par contre, les keyloggers ou les sniffers rendent obsolète toute complication du mot de passe. Il faut en tenir compte avant de se croire en parfaite sécurité ^^

                      Pas facile, d'être en sécurité sur le net !
                      sigpic

                      Commentaire


                      • #12
                        J'avais déjà certaines notions mais ca fait toujours du bien un rappel. De plus j'ai moins survolé le sujet comme cela.
                        On trouve beaucoup de générateurs sur le Web maintenant.
                        Il y a aussi un site d'Intel pour tester la robustesse de son mot de passe, mais je sais pas si je peux le donner la.

                        Commentaire


                        • #13
                          Bonsoir,

                          Je voulais signaler l'importance des mots de passes, car j'ai halluciné le nombre de personne qui utilisent simplement leur prénom et leur date de naissance... ^^' Et le mieux je pense serais des mots de passes qui ne veulent rien dire pas de phrases... Du style LmP8z9V56AmLK785:J^a$ x)

                          En tout cas je voulais savoir, (je n'ai pas regarder tout le forum pour l'instant)comment marche exactement le bruteforce ? Par exemple trouver un mot de passe simple nom date de naissance prendrais plus de temps que si nous l'avions deviné...
                          Warmcy :3

                          Commentaire


                          • #14
                            Bonjour,

                            Effectivement warmcy, l'importance des mot de passe est vitale et souvent sous-estimé pour complaire aux utilisateurs.
                            Après, concernant ta question, il me faut 30 secondes pour casser par bruteforce un MDP de type toto.

                            Le bruteforce consiste à essayer toutes les possibilités de MDP au fur et à mesure avec soit un dictionnaire soit une génération au cours de l'attaque.

                            L'OMBRE
                            Writer, Cyber Security Enthusiast! Follow me on Twitter: @SwitHak

                            Commentaire


                            • #15
                              30 seconde pour cracker un mot de passe comme ça : [email protected]#gz3M6id9&Rt de 26 caractères ?

                              Alors là, tu réveille ma curiosité: quel soft ? quelle config matérielle ?


                              Suivre Hackademics: Twitter, Google+, Facebook.

                              Commentaire

                              Chargement...
                              X