dimanche 12 octobre
Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Derniers journaux de patrick_g :

Journal : Protéger ses passwords de façon statistique

Posté par patrick_g (page perso, ) le 08 janvier 2008
0
Vous êtes un admin consciencieux et vous avez toujours le souci de vos utilisateurs. Vous les maternez, vous les chouchoutez, vous les protégez...ce sont un peu vos enfants et vous ressentez une pulsion protectrice à leur égard qui ferait passer une maman-ourse pour un vulgaire saumon de rivière.

Si l'un de ces chers users se fait subtiliser son mot de passe comment allez vous pouvoir faire pour défendre ses précieuses données contre l'ignoble pirate sans foi ni loi détenteur du sésame ?

C'est ici qu'intervient la technique d''analyse statistique de l'entrée des passwords au clavier => http://www.ibm.com/developerworks/opensource/library/os-keys(...)

Dans cet article vous allez pouvoir modifier le programme xev (X event viewer) qui s'occupe de la capture des évènements comme les frappes clavier.
Une fois cela fait il vous suffira de passer ces évènements par l'intermédiaire d'un pipe qui alimentera les scripts perl listés dans l'article pour analyser statistiquement la frappe des mots de passe.
Ainsi vous aurez des chances de déceler l'infâme imposteur se faisant passer pour votre user et de lui interdire l'accès aux données.

Les scripts permettent de vérifier le temps total d'entrée du password (qui pour un utilisateur légitime est remarquablement constant). On peut aussi analyser le temps entre chaque frappe clavier : si par exemple le user entre les lettres rapidement mais les chiffres lentement (il a un laptop et doit appuyer sur shift à chaque fois) alors que le pirate entre les chiffres rapidement (il a un pavé numérique) alors l'analyse le décéléra.

En définitive l'analyse statistique des saisies de passwords permet d'ajouter une couche de protection pour vos users qui s'apparente à la biométrie.
Cette technique n'est pas nouvelle ( http://en.wikipedia.org/wiki/Keystroke_dynamics )
mais les scripts disponibles sur le site ibm permettent de se lancer facilement dans l'implémentation d'une telle solution.

> Lire le journal (25 commentaires, moyenne: 4,2).  

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

Alcootest ?

Posté par Aldoo (Jabber id, ) le 08/01/2008 à 16:23. (lien). Évalué à 10.

Pas mal, ça peut aussi servir de test pour empêcher de se loguer quand nos gestes sont... un peu moins sûrs. On devrait faire pareil pour les bagnoles.

Plus sérieusement, il peut y avoir plein de raisons non pertinentes pour lesquelles le login sera injustement refusé : achat d'un nouveau clavier, une main dans le plâtre, manque de sommeil, nouvelle chaise, nouveau bureau, nouveau cerveau (ah non, là, c'est voulu), vieux clavier qui se blo

  • [^]Re: Alcootest ?

    Posté par Nicolas Schoonbroodt (Jabber id, page perso, ) le 08/01/2008 à 16:59. (lien). Évalué à 10.

    Plus de bras, plus de connexions.

    _o_

    --
    [ Répondre ] Ce commentaire est-il impertinent ou utile ?

  • [^]Re: Alcootest ?

    Posté par z a (Jabber id, ) le 08/01/2008 à 17:07. (lien). Évalué à 8.

    il y a aussi quand on fait quelque chose d'autre en même temps, ou qu'on a une main occupée : téléphone, lavage de dents, etc.

    • [^]Re: Alcootest ?

      Posté par eastwind (Jabber id, ) le 08/01/2008 à 19:21. (lien). Évalué à 6.

      les deux mains sur le claviers svp :)

  • [^]Re: Alcootest ?

    Posté par Nelis (page perso, ) le 10/01/2008 à 15:04. (lien). Évalué à 3.

    Quand on mange en même temps (ça m'arrive souvent)

    --
    Vache qui rit, à moitié dans son lit

    • [^]Re: Alcootest ?

      Posté par patrick_g (page perso, ) le 10/01/2008 à 15:19. (lien). Évalué à 1.

      A ce moment tu poses ce que tu étais en train de manger et tu retapes ton password correctement. Le pirate lui ne pourra pas le faire...ce qui démontre que cette technique est potentiellement intéressante.

      • [^]Re: Alcootest ?

        Posté par Aldoo (Jabber id, ) le 10/01/2008 à 18:13. (lien). Évalué à 3.

        Car il est bien connu que les hackers (version médias) ne peuvent pratiquer qu'avec une part de pizza à la main ! (d'autant plus qu'ils ne mangent pas de quiche)

        • [^]Re: Alcootest ?

          Posté par Romain Bignon (Jabber id, page perso, ) le 18/01/2008 à 00:12. (lien). Évalué à 0.

          On dit une ouiche.

      • [^]Re: Alcootest ?

        Posté par Nelis (page perso, ) le 11/01/2008 à 09:52. (lien). Évalué à 2.

        Mais je n'ai pas envie de reposer ma bouffe et foutre plein de graisse sur mon bureau ! Les admins ne vont pas me dire ce que je dois manger non plus !

        --
        Vache qui rit, à moitié dans son lit

ouais mais...

Posté par jiyuu () le 08/01/2008 à 16:31. (lien). Évalué à 1.

Est-ce que ça marche aussi si l'utilisateur vient de se casser les 2 mains et est obligé de frapper avec une paille ?

Ah, ok, j'ai compris ==> []

  • [^]Re: ouais mais...

    Posté par jiyuu () le 08/01/2008 à 16:48. (lien). Évalué à 4.

    Bon d'accord, ma blague est pourrie et en plus elle à été faite juste avant moi (quel idée de répondre au téléphone en plein postage de commentaire).

    Après le plussage 'automatique' des commentaires de certains journaux [http://linuxfr.org/~plic/25953.html], amis du plussage/moinsage, vous avez la un commentaire que vous pouvez 'inutiler'.

Mouais

Posté par Éric (Jabber id, page perso, ) le 08/01/2008 à 17:09. (lien). Évalué à 4.

En gros le jour où tu te seras fait mal au doigt, tes statistiques seront divergentes et tu ne pourras plus te logguer. Pas top quand même.
Moins grave mais pas marrant non plus, si j'ai une part de pizza dans la main, je le tape d'une main mon mot de passe, là je vais être obligé de relacher ma pizza pour respecter le timing habituel ;)

Je passe sur le fait que ça ne fonctionnera que pour le login physique de base, pas le sudo, les logins distants, etc.

  • [^]Re: Mouais

    Posté par Farvardin (page perso, ) le 08/01/2008 à 17:21. (lien). Évalué à 3.

    on pourrait toujours faire le mot de passe habituel avec ces statistiques, et une "phrase qui est tellement longue que tu ne vas pas la taper chaque jour" qui sert de backdoor roue de secours en cas de crise...

    --
    You can't grep dead trees...

  • [^]Re: Mouais

    Posté par nonas (Jabber id, page perso, ) le 08/01/2008 à 19:41. (lien). Évalué à 4.

    Et quid du vol de mot de passe durant la phase d'observation/apprentissage des scripts ?
    Parce que pour comparer statistiquement une tentative avec des logins légitimes, il faut avoir un paquet de logins légitimes (et être sûr que ces logins soient légitimes et pas que une fois sur 2 ce soit un méchant qui rentre avec sa frappe propre).

    • [^]Re: Mouais

      Posté par Matthieu Moy (page perso, ) le 08/01/2008 à 20:10. (lien). Évalué à 5.

      J'avais vu un article sur un truc comme ça dans un linux mag ou équivalent.

      Y'avait une astuce jolie : les données de temps entre chaque caractère étaient stoqués pour comparaison, mais chiffrés en utilisant le mot de passe comme clé de chiffrement symétrique.

      Donc, l'algo de vérification du mot de passe, c'était en gros

      if hash(passwd) == hash dans /etc/passwd
      dechiffrer les stats avec passwd
      comparer timing effectif avec stats
      else
      jetter l'utilisateur
      end if

      ce qui fait que pour récupérer les stats en question, il faut que l'attaquant ai corrompu la machine et qu'il connaisse le mot de passe. Ça limite pas mal la casse.

ah, ça n'ira pas, j'ai que des apss différents

Posté par Grégoire G (Jabber id, page perso, ) le 08/01/2008 à 18:49. (lien). Évalué à 3.

Bonjour

Je n'ai que des mots de passes différents, d'au moins 8 caractères, avec des chiffres, des majuscules et des minuscules....

Pour ceux que j'utilises souvent, je les connais par cœur.

Pour les autres, ils sont noté mnémotechniquement sur un carnet, ce qui permet de rendre la tache plus difficile à celui qui s'emparera de mon carnet.

Donc, pour les pass que j'utilise rarement, il ne faudrait pas appliquer ce système. Donc, si c'est sur une machine dont je ne contrôle pas l'administration et que le sys-admin utilise ce procédé... je ne pourrai plus me connecter.

Je serai alors obligé d'apprendre par cœur mon mot de passe, ce qui m'encouragerai à ne plus le changer. (mon carnet est couvert de ratures, et c'est parfois des caractères rayés qui sont de nouveau utilisés...)

Je pense que le plus grave, en terme de sécurité, c'est les mots de passes identiques, et, simples.

Pour certain de mes clients, je connais leur mot de passe à leur messagerie électronique, instantanée, de certains sites (voir tous...quand c'est le même qui est systématiquement utilisé).

Le bon truc pour un pirate, ce serait de créer un service en ligne vachement bien, une sorte de face de livre, attendre que la cible s'enregistre (repérée par son IP...) et ensuite d'utiliser les mots de passes enregistrés....

Cela dit, les cartes bancaire n'ont qu'un code à 4 chiffres, qui ne change pas....

  • [^]Re: ah, ça n'ira pas, j'ai que des apss différents

    Posté par Krunch (Jabber id, page perso, ) le 08/01/2008 à 20:27. (lien). Évalué à 3.

    Le bon truc pour un pirate, ce serait de créer un service en ligne vachement bien, une sorte de face de livre, attendre que la cible s'enregistre (repérée par son IP...) et ensuite d'utiliser les mots de passes enregistrés....
    Ça marche aussi en crackant le moins sécurisé des services que la cible utilise.

    --
    Free Softwares Users Group Arlon (Sud Luxembourg, Belgique)
    pertinent, e adj. Approprié ; qui se rapporte exactement à ce dont il est question.

Poliçage

Posté par Zakath (page perso, ) le 08/01/2008 à 23:54. (lien). Évalué à 0.

Plus que des soucis techniques, ce qui me pose problème, c'est que ça permet d'identifier qui utilise un ordinateur après le login. Si le système est conçu pour que chaque utilisateur ait réellement sa session, ça peut se défendre, mais dans le cas contraire, ça me paraît être une grave intrusion dans la vie privée.

Non au flicage, oui à l'anonymat !

--
Vous devriez vraiment visiter Aperture First !

  • [^]Re: Poliçage

    Posté par briaeros007 () le 09/01/2008 à 09:13. (lien). Évalué à 5.

    euh en même temps, si un gars à pas de compte, il doit pas se logger, et si un gars à un compte, il doit l'utiliser et pas celui du voisin.

    --
    Subete ga wakatta toki…watashi ga anta wo korosu.

Dans admin, il y a BOFH

Posté par Colin Leroy (page perso, ) le 09/01/2008 à 16:21. (lien). Évalué à 8.

Personne ne l'a encore dit, mais...

[vos utilisateurs] sont un peu vos enfants et vous ressentez une pulsion protectrice à leur égard

Hein ? Pas du tout. Tu voulais sans doute dire "pulsion sadique" ?

--
Claws Mail - it bites!

  • [^]Re: Dans admin, il y a BOFH

    Posté par Obsidian () le 10/01/2008 à 18:14. (lien). Évalué à 4.

    Il l'a dit à demi-mots :

    ce sont un peu vos enfants et vous ressentez une pulsion protectrice à leur égard qui ferait passer une maman-ourse pour un vulgaire saumon de rivière.


    Vous savez tous avec quelle délicatesse les mamans ourses traitent les saumons de rivière ! :-)

    • [^]Re: Dans admin, il y a BOFH

      Posté par Grumbl (page perso, ) le 11/01/2008 à 15:57. (lien). Évalué à 3.

      L'administrateur et le berger de son troupeau d'utilisateur.

      Et comme chacun sait, un berger, ça tond ses moutons tant que la laine pousse, et quand il ne font plus de laine, il les mange.

Test ADN

Posté par Grumbl (page perso, ) le 10/01/2008 à 09:16. (lien). Évalué à 8.

Moi, quand je serai admin, j'imposerai un test ADN en cas de perte de password.

Et pour être bien sûr, il me faudra un gros échantillon d'ADN pour tester : un pied, une oreille, un doigt pour les enfants. Si l'ADN correspond, on remplacera le mot de passe par une RFID implantée directement dans le cerveau pour être sûr.

SHIFT

Posté par WildChild (page perso, ) le 11/01/2008 à 21:23. (lien). Évalué à 4.

Quoi? Vous devez appuyer sur SHIFT pour écrire les chiffres?

  • [^]Re: SHIFT

    Posté par Axioplase Ashi (page perso, ) le 27/01/2008 à 18:20. (lien). Évalué à 2.

    C'est la un vrai problème.
    Ma machine principale est en qwerty clavier japonais.
    Mes laptops sont en azerty PC et azerty Mac.
    Ma machine au boulot est en qwerty US.

    Selon la machine d'où je fais SSH, mon mot-de-passe va mettre un temps carrément différent, en raison de l'emplacement des touches sur ces claviers. Donc, en gros, je pourrais plus jamais me logguer chez moi quoi...

    --
    J'aime la liberté.
    J'aime BSD.

Revenir en haut de page

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.1016s (dont 0.0108 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !