Vous êtes un admin consciencieux et vous avez toujours le souci de vos utilisateurs. Vous les maternez, vous les chouchoutez, vous les protégez...ce sont un peu vos enfants et vous ressentez une pulsion protectrice à leur égard qui ferait passer une maman-ourse pour un vulgaire saumon de rivière.
Si l'un de ces chers users se fait subtiliser son mot de passe comment allez vous pouvoir faire pour défendre ses précieuses données contre l'ignoble pirate sans foi ni loi détenteur du sésame ?
C'est ici qu'intervient la technique d''analyse statistique de l'entrée des passwords au clavier => http://www.ibm.com/developerworks/opensource/library/os-keys(...)
Dans cet article vous allez pouvoir modifier le programme xev (X event viewer) qui s'occupe de la capture des évènements comme les frappes clavier.
Une fois cela fait il vous suffira de passer ces évènements par l'intermédiaire d'un pipe qui alimentera les scripts perl listés dans l'article pour analyser statistiquement la frappe des mots de passe.
Ainsi vous aurez des chances de déceler l'infâme imposteur se faisant passer pour votre user et de lui interdire l'accès aux données.
Les scripts permettent de vérifier le temps total d'entrée du password (qui pour un utilisateur légitime est remarquablement constant). On peut aussi analyser le temps entre chaque frappe clavier : si par exemple le user entre les lettres rapidement mais les chiffres lentement (il a un laptop et doit appuyer sur shift à chaque fois) alors que le pirate entre les chiffres rapidement (il a un pavé numérique) alors l'analyse le décéléra.
En définitive l'analyse statistique des saisies de passwords permet d'ajouter une couche de protection pour vos users qui s'apparente à la biométrie.
Cette technique n'est pas nouvelle ( http://en.wikipedia.org/wiki/Keystroke_dynamics )
mais les scripts disponibles sur le site ibm permettent de se lancer facilement dans l'implémentation d'une telle solution.
Journal Protéger ses passwords de façon statistique
8
jan.
2008
# Alcootest ?
Posté par Aldoo . Évalué à 10.
Plus sérieusement, il peut y avoir plein de raisons non pertinentes pour lesquelles le login sera injustement refusé : achat d'un nouveau clavier, une main dans le plâtre, manque de sommeil, nouvelle chaise, nouveau bureau, nouveau cerveau (ah non, là, c'est voulu), vieux clavier qui se blo
[^] # Re: Alcootest ?
Posté par Nicolas Schoonbroodt . Évalué à 10.
_o_
[^] # Re: Alcootest ?
Posté par z a . Évalué à 8.
[^] # Re: Alcootest ?
Posté par eastwind☯ . Évalué à 6.
[^] # Re: Alcootest ?
Posté par Nelis (site web personnel) . Évalué à 3.
[^] # Re: Alcootest ?
Posté par patrick_g (site web personnel) . Évalué à 1.
[^] # Re: Alcootest ?
Posté par Aldoo . Évalué à 3.
[^] # Re: Alcootest ?
Posté par Romain . Évalué à 0.
[^] # Re: Alcootest ?
Posté par Nelis (site web personnel) . Évalué à 2.
# ouais mais...
Posté par jiyuu . Évalué à 1.
Ah, ok, j'ai compris ==> []
[^] # Re: ouais mais...
Posté par jiyuu . Évalué à 4.
Après le plussage 'automatique' des commentaires de certains journaux [http://linuxfr.org/~plic/25953.html], amis du plussage/moinsage, vous avez la un commentaire que vous pouvez 'inutiler'.
# Mouais
Posté par Éric (site web personnel) . Évalué à 4.
Moins grave mais pas marrant non plus, si j'ai une part de pizza dans la main, je le tape d'une main mon mot de passe, là je vais être obligé de relacher ma pizza pour respecter le timing habituel ;)
Je passe sur le fait que ça ne fonctionnera que pour le login physique de base, pas le sudo, les logins distants, etc.
[^] # Re: Mouais
Posté par B16F4RV4RD1N . Évalué à 3.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: Mouais
Posté par nonas . Évalué à 4.
Parce que pour comparer statistiquement une tentative avec des logins légitimes, il faut avoir un paquet de logins légitimes (et être sûr que ces logins soient légitimes et pas que une fois sur 2 ce soit un méchant qui rentre avec sa frappe propre).
[^] # Re: Mouais
Posté par Matthieu Moy (site web personnel) . Évalué à 5.
Y'avait une astuce jolie : les données de temps entre chaque caractère étaient stoqués pour comparaison, mais chiffrés en utilisant le mot de passe comme clé de chiffrement symétrique.
Donc, l'algo de vérification du mot de passe, c'était en gros
if hash(passwd) == hash dans /etc/passwd
dechiffrer les stats avec passwd
comparer timing effectif avec stats
else
jetter l'utilisateur
end if
ce qui fait que pour récupérer les stats en question, il faut que l'attaquant ai corrompu la machine et qu'il connaisse le mot de passe. Ça limite pas mal la casse.
# ah, ça n'ira pas, j'ai que des apss différents
Posté par GG (site web personnel) . Évalué à 3.
Je n'ai que des mots de passes différents, d'au moins 8 caractères, avec des chiffres, des majuscules et des minuscules....
Pour ceux que j'utilises souvent, je les connais par cœur.
Pour les autres, ils sont noté mnémotechniquement sur un carnet, ce qui permet de rendre la tache plus difficile à celui qui s'emparera de mon carnet.
Donc, pour les pass que j'utilise rarement, il ne faudrait pas appliquer ce système. Donc, si c'est sur une machine dont je ne contrôle pas l'administration et que le sys-admin utilise ce procédé... je ne pourrai plus me connecter.
Je serai alors obligé d'apprendre par cœur mon mot de passe, ce qui m'encouragerai à ne plus le changer. (mon carnet est couvert de ratures, et c'est parfois des caractères rayés qui sont de nouveau utilisés...)
Je pense que le plus grave, en terme de sécurité, c'est les mots de passes identiques, et, simples.
Pour certain de mes clients, je connais leur mot de passe à leur messagerie électronique, instantanée, de certains sites (voir tous...quand c'est le même qui est systématiquement utilisé).
Le bon truc pour un pirate, ce serait de créer un service en ligne vachement bien, une sorte de face de livre, attendre que la cible s'enregistre (repérée par son IP...) et ensuite d'utiliser les mots de passes enregistrés....
Cela dit, les cartes bancaire n'ont qu'un code à 4 chiffres, qui ne change pas....
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: ah, ça n'ira pas, j'ai que des apss différents
Posté par Krunch (site web personnel) . Évalué à 3.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# Poliçage
Posté par Zakath (site web personnel) . Évalué à 0.
Non au flicage, oui à l'anonymat !
[^] # Re: Poliçage
Posté par briaeros007 . Évalué à 5.
# Dans admin, il y a BOFH
Posté par Colin Leroy (site web personnel) . Évalué à 8.
[vos utilisateurs] sont un peu vos enfants et vous ressentez une pulsion protectrice à leur égard
Hein ? Pas du tout. Tu voulais sans doute dire "pulsion sadique" ?
[^] # Re: Dans admin, il y a BOFH
Posté par Obsidian . Évalué à 4.
Vous savez tous avec quelle délicatesse les mamans ourses traitent les saumons de rivière ! :-)
[^] # Re: Dans admin, il y a BOFH
Posté par Grumbl . Évalué à 3.
Et comme chacun sait, un berger, ça tond ses moutons tant que la laine pousse, et quand il ne font plus de laine, il les mange.
# Test ADN
Posté par Grumbl . Évalué à 8.
Et pour être bien sûr, il me faudra un gros échantillon d'ADN pour tester : un pied, une oreille, un doigt pour les enfants. Si l'ADN correspond, on remplacera le mot de passe par une RFID implantée directement dans le cerveau pour être sûr.
# SHIFT
Posté par WildChild . Évalué à 4.
[^] # Re: SHIFT
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 2.
Ma machine principale est en qwerty clavier japonais.
Mes laptops sont en azerty PC et azerty Mac.
Ma machine au boulot est en qwerty US.
Selon la machine d'où je fais SSH, mon mot-de-passe va mettre un temps carrément différent, en raison de l'emplacement des touches sur ces claviers. Donc, en gros, je pourrais plus jamais me logguer chez moi quoi...
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.