benji78 a écrit:

Un nouveau dictionnaire numérique à d'ailleurs été créé il se nomme Arc en ciel en français (inventé par des pirates chinois)

j'ai maintenant compris pourquoi la majorité des termes que vous utilisiez parraissait du chinois pour moi...tout est clair...

c'est pas pour dire, mais ce serait utile, pour faire comprendre vos post par ceux qui n'ont aucune "culture" dans le domaine, d'utiliser des termes à notre portée :/

certains post sont clairs hein, mais d'autres sont un vrai charabia.

Pour résumer (et pour revenir au sujet initial), l'idée était de vous aider à faire un mot de passe compliqué mais simple. Paradoxal, tant le fait qu'on utilise un algorithme succinct et simple pour arriver à quelque chose de compliqué. Certains disent que je me prends la tête, Benji78 explique l'insécurité du MD5 et j'en passe.

Brain, pour parler sans ambages : certains pass présents dans les bases de données sont "hashés", de sorte qu'un pirate ou même un webmaster ne puisse accéder à cette information sensible. La différence avec le cryptage, c'est que le "hashing" est irréversible ; on ne peut décrypter un mot de passe qui est hashé.

L'idée qui a donc été évoquée, c'est d'utiliser un algorithme de force brute. Il y a :
- l'attaque par dictionnaire : l'algo' se contente de tester des combinaisons écrites dans un fichier en "hashant" ces combinaisons et en comparant le "hash" de la combinaison avec le "hash" du mot de passe que tu souhaites casser (pour ne pas dire décrypter) ;
- l'attaque par force brute : ici, on va tester, selon un alphabet et une série de tailles données, absolument toutes les combinaisons. On commence donc - par exemple - par "a", puis "b", puis "c", ... puis "z", puis "aa", ... ... ...

Où en viens-je ? Ma méthode, c'est pas pour faire joli, mais un mot de passe bidon n'est pas forcément en sécurité par ce genre d'attaque. Prenez le mot "citrouille", est-ce qu'il va vous venir à l'esprit qu'il s'agisse du passe d'un des membres présents sur ce forum ? Probable (à vrai dire, je m'en fous), qui plus est qu'on n'y pense pas comme ça. La force brute permettrait de casser le "hash" de "citrouille" en quelques semaines. Quant au hash du mot de passe dont parlait Benji78 afin de faire des entraînements cérébraux (pas mal, l'idée) : ça prendrait des siècles ! Et imagine que tu ne configures pas ton algorithme pour qu'il teste les caractères autre que les lettres et les chiffres : t'es foutu, et tu pourras rien casser. Autant dire - sans détournement - que tu l'as dans l'os !

Enfin, si quelqu'un est intéressé par le MD5, j'irai pas expliciter là-dessus, "GETA" (Google Est Ton Ami) : http://fr.wikipedia.org/wiki/MD5

Le MD5 comme je l'ai dit c'est un moyen usité par les gestionnaires de sites web (les webmasters) pour garantir une pseudo sécrurité des données sensible qui sont conservés.
Par exemple les mot de passe et emails des utilisateurs d'un site web.

Ces données possèdent se que l'on appelle une empreinte numérique.
Telle l'empreinte digital, une empreinte numérique est un moyen d'identifier une chaine de caractère (le mot de passe), comme pour nous avec notre empreinte digital à la police.
Le seul problème de ce système, c'est qu'une empreinte numérique n'est pas unique comme une empreinte digitales pour les humains (sauf trèstrèstrès rares exceptions).
Le principe est donc simple, reproduire cette empreinte numérique. La méthode est d'autant plus "simple" que des mots de passe différents peuvent avoir une même empreinte numérique.

Voili, voilou.

Sinon très bon résumé chris, je pense que tout le monde comprends désormais les principes de protection, et leurs failles respectives.
a++

pour le hashage md5, effectivement il peut etre decrypté :
[url]Lien supprimé[/url]
la methode employée ici est dite "d'empreinte probable" afin de limiter l'etendue de l'attaque brute pour retrouver le mot de passe (comme on le voit en test, ca prend quelques secondes...)


concernant l'usage, il est necessaire de rappeler qu'on ne risque pas un simple ban SO
Loi nº 2004-575 du 21 juin 2004 art. 45 I Journal Officiel du 22 juin 2004 :
"Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende.
Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende."

MD5 est très compliqué a décrypté... C'est plutôt sécurisé ce truc

Même avec le site que tu as donné (d'ailleurs que j'enlève, je préfère pas avoir des liens qui peuvent décrypté du MD5 ici) avec un mot assez compliqué, ou un mélange lettre / chiffre, ça le décryptera pas...

le site indiqué est un site de securité, pas de hack, et le md5 est parfaitement connu pour etre decryptable, un mot de passe à 20 caractere melangeant alphanumérique et caracteres speciaux ne prend pas plus de temps avec cet algorythme qu'un mot de passe à 5 caracteres.

mais il y a d'autres failles sur le md5 (dont les signatures uniques pour mot multiple)

depuis 5 ans deja, toute la communauté reconnait l'insecurité du md5 et plaide pour un passage rapide aux algorythmes SHA-1, SHA-256, SHA-384 ou SHA-512.

pour proposer un lien qui ne necessitera pas d'etre supprimé cette fois, le rapport de recherche de microsoft (attaque par utilisation d'une clé md5 sans avoir trouvé le mot de passe, quelque soit sa complexité) :
http://www.microsoft.com/france/technet/security/advisory/961509.mspx

Spoiler:

le password c'est has been, pour esperer tenir plus de 24 heures face a une attaque brute force, il faut passer a la passphrase :

des caracteres courants sont suffisants*, mais il faut miser sur plus de 12 caracteres

*des caracteres speciaux n'apporteront pas beaucoup plus des securité

J'avais trouvé sur un site un grand sondage qui parlait des mots de passe, leur taille, les caractères etc...(mais je l'ai perdu malheuresement)

Il montrait le pourcentage de personnes qui avait un mot de passe de 2 caractère, de 3, de 4, de 5, ...
Et il s'avère en fait que plus de 40% des mots de passe ont 6 caractères.
Environ 70% ne sont composés que de minuscules...
Et 50% des mots de passe, si je me rappelle bien, sont devinable en connaissant la personne...Ca fait peur quand même...

Et là j'ai regardé mon mot de passe, et je me suis rendu compte que j'était exactement dans ce cas...

Depuis, j'me suis mis au mdp avec des majuscules et des nombres et des caractères spéciaux x)

Voici ma technique pour les mots de passes casiment impossible à trouver x')

vous prennez un repère par exemple azerqsdfwxc789123

tapez le vous verrez c'est facile à retenir x)

j'peux toujours vous dires mon ancien :

987321654azerty

après chaucn à sa technique mais mon new mot de passe est de 15 chiffres que je retiens facilement

jamais de suite de caracteres, jamais de mot d'un dictionnaire, jamais de prenom ou de noms propres. (quoique dans ton cas tu est un tout petit mieux protégé car tu as un clavier francais "azerty", hors les frenchies ne sont la cible que de 5% des attaques aveugles)

une bonne attaque brute force se base sur une attaque par dictionnaire, il circule sur le net (et en dessous) de table de mots ou de fraction de mots, reprenant la langue courante (y compris elf tolkien ou l33t), les caracteres accentués, les noms propres par pays, etc... et bien sure les sequences qui se suivent au clavier

on a vu les premiers dictionnaires de passphrase des 2005, les debit actuels et capacités de stockage permettent de rendre ce genre de liste disponibles en lignes (il faut 500Mo pour un dictionnaire bruteforce passpharse contre a peine 8M pour un dico password)


personnellement toutefois j'utilise un mot de passe de moins de 10 caracteres certes, mais basé sur un mot n'existant pas et une date ne correspondant a aucun evenement de ma vie.


je citerais enfin, et pour finir, une phrase celebre dans le monde de la securité (mais dont je ne me souviens plus de l'auteur) :
"votre mot de passe, c'est comme votre brosse a dents : vous ne la pretez à personne et vous en changez tous les 6 mois"

Moi perso ?

Mon mot de passe est si in-devinable que moi même je ne le connais pas.
J'utilise une macro avec un mot de passe simple

MACRO = "liste de commandes programées activées par biais de une ou plusieurs touches d'un même clavier."

exemple :

mot de passe de SO : rhrh65456..14564*45612fzgzgöïôûù*ùloihoh65412315351
mot de passe de la macro : pierre qui roule n'amasse pas mousse

En clair pour que tu ait mon mdp il faut soit que tu passe par un programme qui prendrais à peu près 600 siècles (no fake) mais après tout dépend de la perfection des algorithmes. Ou, tu me prend en phishing et tu arrive à décoder le mdp simple de ma macro.

En ces temps d'incertitudes et d'insécurité, uper ce tuto' est sans doute une bonne chose. En tout cas, s'en est pas une mauvaise.

moi c'ma date de naissance.

23/03/1992
j'espère pour toi que c'est pas sérieux...

Ouai enfin moi ca me fait chier quand meme d'avoir un mot de passe dont je me souviens seulement une fois sur 30

bonne idée de up le sujet (y'aurais pas eut white, j'aurais oublié ce topic,...)

le principe de la passphrase au lieu du password est assez simple :

soit vous optez pour une phrase complete, genre :
"monmotdepassepourleblobparleur"

ou, si le site n'accepte pas plus d'un certain nombre de caractères (ou que ca vous saoule de tapper 40 caractères) :
"mmdpplbp" (les initiales de Mon Mot De Passe Pour Le Blob Parleur)

l'idéal étant d'adopter des moyens mnémotechnique d'association d'idée :
genre j'ai passé de superbe vacances à la costa del sol, je note en gros sur un post-it sur mon écran : "le mot de passe msn est là ou j'aimerais bien allé plus souvent"
et bien sure mon mot de passe est "costadelsol"