Je sais pas si vous utilisez ces cartes de mots de passe, mais moi oui.
Généralement c'est un tableau composé de chiffres et de lettres. Les cartes déjà existantes (que j'ai trouvé) n'ayant pas de caractères spéciaux, je me suis fait un petit programme, tout simple, qui me génère une de ces cartes.
Mon petit programme génère des valeurs entre 33 et 126 (que des caractères ASCII imprimable) dans une matrice de 10x26 et me sort ça sur le terminal. De fil en aiguille (avec la méthode la Rache) j'ai ajouté du html dedans, fait une petite feuille de style, ...
Ensuite, je me suis dit que si je perds la carte, j'aimerais bien pouvoir la régénérer, donc j'ai ajouté un numéro pour initialiser le générateur de nombres pseudo-aléatoires (l'algo est celui de la man page de rand).
Finalement je me suis dit qu'un nombre c'est difficile à s'en souvenir, donc j'ai décidé de faire un CRC32 de mon adresse email et utiliser ça pour initialiser le générateur.
J'arrive donc avec un petit générateur de carte qui fonctionne (enfin il me semble). Comme j'en avais pas trouvé sur le Web, j'ai décidé de le mettre en ligne, ça pourrait servir à quelqu'un !
Donc c'est disponible à l'adresse http://www.tchetch.net/wiki/services/passcard !
Voilà si ça peut servir à quelqu'un, c'est cool.
PS: Je prendrais le temps de mettre le code source en licence WTFPL demain.
Journal Carte pour mot de passe
10
sept.
2009
# sauf que
Posté par NeoX . Évalué à 4.
il peut generer ta passcard
pour de la securité c'est plutot moyen non ?
[^] # Re: sauf que
Posté par Etienne Bagnoud (site web personnel) . Évalué à 4.
La carte c'est juste 10x26 caractères aléatoires que tu utilises comme tu le souhaites.
Mais si vraiment tu te sens pas en sécurité, tu peux mettre une chaîne de caractère aléatoires pour générer ta carte, je ne contrôle pas si c'est une adresse est valide ou pas, je la plante directe dans crc32 de php et j'obtiens un nombre.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: sauf que
Posté par Octabrain . Évalué à 10.
Lire http://www.vvsss.com/grid/ qui contient de beaux schémas qui expliquent.
[^] # Re: sauf que
Posté par NeoX . Évalué à 2.
interessant concept
[^] # Re: sauf que
Posté par Etienne Bagnoud (site web personnel) . Évalué à 2.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: sauf que
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 3.
Ne voudrais-t-on pas générer à chaque fois une permutation du même ensemble ? Sinon, on a comme information que telle lettre n'apparait pas, et que telle autre peut apparaitre deux fois (les 2 "m" sont proches, et les chemins sur la carte ne sont pas discrets).
C'est plus chiant, mais en faisant une carte multi-dimentionelle (recto-verso, ou un cube !), avec des bonnes couleurs pour ton damier, tu peux augmenter facilement la complexité théorique du mot de passe pour un investissement intellectuel minimal (genre "quand j'arrive ici, je tourne mon cube et je recommence une case en haut". Avec une permutation sur chaque face, ça ne donne aucune indication sur les lettres présentes ou absentes du mot de passe).
[^] # Re: sauf que
Posté par Octabrain . Évalué à 2.
Sinon j'ai pas trop compris ce que tu voulais dire avec les couleurs, tu t'inventes des règles de parcours en plus pour toi tout seul ? Ça ne devient pas plus dur à retenir ?
[^] # Re: sauf que
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 2.
Les couleurs, c'est simplement un repère visuel !
Si ta transformation est "maintant, prend la face opposée avant de continuer ton chemin", et que tu est sur la case verte, tu sais que la case verte de l'autre faces est là d'où tu repars. Ça évite de devoir réfléchir à "merde, sur quelle case j'étais déjà ? 3 à droite et 7 en bas ?"
[^] # Re: sauf que
Posté par JGO . Évalué à 9.
En utilisant une carte récupérable en cas de perte, tu perds l'avantage de la technique. Si un attaquant utilise une méthode de torture, tu finiras par avouer comment récupérer la carte à partir d'internet.
Certes il est probable que personne ne te torturera jamais, donc le fait que la carte soit reproductible ou pas n'aura pas l'occasion d'intervenir. Mais dans ce cas, tu t'embêtes pour rien à recourir à ces techniques de parano tout en annulant volontairement le seul effet attendu par rapport à une identification traditionnelle : la possibilité destruction définitive du mot de passe en cas de danger.
(Mais bon c'est pas grave, il te suffira un jour d'initialiser ton générateur à partir d'une série tirée aux dés et gardée dans un lieu sûr, p.ex. gravée dans le marbre de la pierre tombale de grand papa en Poldavie septentrionale.)
[^] # Re: sauf que
Posté par Octabrain . Évalué à 1.
[^] # Re: sauf que
Posté par tiot (site web personnel) . Évalué à 4.
Pour un mot de passe à 8 caractères on obtiens 244 millions de combinaisons Ce n'est vraiment pas beaucoup quand tu sais que 26^6 = 309 millions de combinaisons : c'est-à-dire un mot de passe composé de seulement 6 lettres de l'alphabet en minuscule.
[^] # Re: sauf que
Posté par RB . Évalué à 4.
[^] # Re: sauf que
Posté par Calim' Héros (site web personnel) . Évalué à 1.
[^] # Re: sauf que
Posté par _seb_ . Évalué à 0.
La longueur du mot de passe est connue: n (donc n chemins à trouver).
Il y a 260 cases sur le tableau, ce qui fait 260 départs.
Les chemins peuvent prendre n'importe quelle forme (en diagonale, en L, rectiligne, etc.) et l'on peut donc revenir sur la même case de tableau. Les chemins peuvent être différents à chaque symbole du mot de passe.
On a donc: 260*260*260...soit 260^n.
Une case du tableau représente un symbole potentiel du mot de passe. Idéalement, chaque case de tableau devrait représenter un symbole différent.
Dans les cartes générées par Etienne, on retrouve le même symbole dans plusieurs cases du tableau (valeurs entre 33 et 126 soit 93 caractères ASCII imprimables). Il s'agit d'une première restriction du système des cartes pour mot de passe.
Il me semble qu'il possible d'améliorer la façon de générer les cartes d'Etienne en s'assurant que tous les symboles possibles sont présents sur la carte afin de ne pas limiter le dictionnaire des possibles et ainsi garder le nombre de possibilités le plus grand possible soit 93^n.
[^] # Re: sauf que
Posté par Thomas Douillard . Évalué à 2.
[^] # Re: sauf que
Posté par Etienne Bagnoud (site web personnel) . Évalué à 2.
Lorsque je m'authentifie sur mon système de e-banking (par exemple), je dois rentrer mon nom d'utilisateur, mon mot de passe et une valeur prise sur une carte fournie par ma banque. Cette carte comporte 100 valeurs, ce qui fait un nombre de possibilités très réduites pour une seule carte. Les valeurs sur cette carte peuvent être utilisée qu'une seule fois, ce qui veut dire qu'après 100 authentifications, une nouvelle carte doit-être générée. De plus la liste des valeurs utilisées doit être conservées, ainsi que la carte complète.
L'idée est donc de généré une carte à partir d'informations connues uniquement par la banque (un code aléatoire généré par la banque). Ce code doit être conservé par la banque, mais il peut être crypté (à l'aide du mot de passe de l'utilisateur). Donc du côté de la banque on ne garde que le code de génération de la carte (crypté).
Lors de l'authentification, l'utilisateur rentre son nom d'utilisateur, son mot de passe et un code issu de sa carte. Le système va donc choisir, par exemple, 6 caractères totalement au hasard (genre N4, E8, A1, B9, Z3, W7) et l'utilisateur va prendre les caractères sur sa carte et les introduire.
Ensuite le système va utiliser le mot de passe pour décrypter le code de génération de la carte, généré la carte, prendre les valeurs proposées et si elles sont correctes, accepter l'utilisateur.
Avec ce système, l'unique personne à avoir toutes les informations pour s'authentifier est l'utilisateur. La carte à une durée de vie très longue et il n'y a pas besoin de tenir un historique des utilisations (il est possible de le faire, mais pas nécessaire). On ne stocke pas la carte, mais uniquement les informations pour la produire. On garde le maximum de possibilité disponible (89^n (je crois), car il faut aussi enlever les touches mortes (ce qui actuellement n'est pas fait sur mes cartes et ce n'est pas pratique à utiliser, je suis sur le correctif (en fait je dois juste le publier, c'est déjà corrigé)) et enlever le 0 O o l 1 (facile à confondre) soit 83^n).
Donc pour un code à 6 caractères, on a > 336e9 possibilités.
Je sais pas si c'est mieux, mais ça à l'air bien.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: sauf que
Posté par BohwaZ (site web personnel, Mastodon) . Évalué à 8.
Le souci aussi pour moi c'est que retenir la forme est tout aussi contraignant que retenir un mot de passe. Et en cas d'oubli, le souci est le même. Et je pense qu'on est plus amenés à oublier une forme qu'un mot, lequel on termine par retenir inconsciemment, comme une habitude, un automatisme. Ce qui d'ailleurs peut s'avérer gênant, genre je tape par automatisme mon code de CB, mais parfois quand je me demande consciemment c'est quoi j'en sais rien et je risque de me faire avaler ma carte. C'est un peu comme fermer sa porte à clé, c'est un automatisme, du coup on ne retient pas qu'on l'ait fait, et parfois quand on se demande "est-ce que j'ai fermé la porte ?" on n'en sait rien.
Bref c'est une bonne idée mais pour moi en pratique ça rajoute juste de la contrainte, et le système idéal reste encore à inventer.
« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)
[^] # Re: sauf que
Posté par Octabrain . Évalué à 2.
Un mot de passe unique qui me sert une fois tous les 2 mois, j'ai déjà essayé. Au bout des 2 premiers mois, il était déjà oublié, et je ne l'avais noté nulle part.
Justement, je me demande si la forme ne résisterait pas mieux avec le temps.
[^] # Re: sauf que
Posté par Spyhawk . Évalué à 2.
Pour le code de ma carte bancaire, je connais le nombre de chiffres et quel chiffre sont utilisés. Je ne retiens pas l'ordre de ceux-ci, ni leur occurence. C'est le "chemin" que je tape sur le clavier numérique du bancomat qui me permet d'entrer le code correct.
[^] # Re: sauf que
Posté par FX Pasquier . Évalué à 1.
Et quand ils changent l'ordre des chiffres sur le clavier bancomat
(la position du 0 par exemple), ben je suis niqué ...
[^] # Re: sauf que
Posté par 2PetitsVerres . Évalué à 2.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: sauf que
Posté par ZeroHeure (site web personnel) . Évalué à 2.
"La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay
[^] # Re: sauf que
Posté par Etienne Bagnoud (site web personnel) . Évalué à 2.
Non plus sérieusement il y a les cartes à puces avec un code PIN et une clé GPG dessus, je suis en train de mettre ça en place chez moi, mais pas eu le temps ces dernières semaines.
J'utilises ces cartes pour mettre des mots de passes sur des services web, parce que sinon j'ai tendance à utiliser mes mots de passes (ceux qui sont dans ma tête, donc écrit nul part) et finalement dans ceux que j'ai avec nombres, lettres et caractère spéciaux, il y a celui de ma clé GPG. Je veux pas l'utiliser sur internet (c'est dur à mémoriser des mots de passse pareils).
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: sauf que
Posté par cpradier_ . Évalué à 3.
J'espère qu'ils ont prévu la lecture seule :-|
[^] # Re: sauf que
Posté par Batchyx . Évalué à 1.
[^] # Re: sauf que
Posté par PLuG . Évalué à 1.
c'est implémenté en modules firefox, comme "password hasher" https://addons.mozilla.org/en-US/firefox/addon/3282
ça permet de ne retenir qu'un seul mot de passe pour les sites web.
[^] # Re: sauf que
Posté par bonnaud frederic (site web personnel) . Évalué à 2.
[^] # Re: sauf que
Posté par Florent Zara (site web personnel, Mastodon) . Évalué à 2.
[^] # Re: sauf que
Posté par BohwaZ (site web personnel, Mastodon) . Évalué à 1.
« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)
[^] # Re: sauf que
Posté par Florent Zara (site web personnel, Mastodon) . Évalué à 2.
Ce sont des vrais questions.
[^] # Re: sauf que
Posté par claudex . Évalué à 3.
C'est comparable aux situation du meurtrier qui se rend au commisariat avec l'arme du crime et celui qui la cache et part en « vacances » au milieu de la foret avec une fausse identité. (il peut ne pas être au courant qu'on le recherche, comme tu peux oublié ton mot de passe)
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: sauf que
Posté par MrLapinot (site web personnel) . Évalué à 1.
[^] # Re: sauf que
Posté par Etienne Bagnoud (site web personnel) . Évalué à 2.
Les cartes que j'ai eu jusqu'à maintenant avaient uniquement des nombre, des lettres (minuscule et majuscule) et un caractère spécial qui pouvait être ajouté à la fin du chemin.
Là j'ai tout sur la carte et ça peut me faire des mots de passe genre "fj*6(/)RT&64db)(".
Après pour attaquer en brute-force ce genre de mot de passe c'est difficile. Si tu as la carte il faut encore connaître le chemin utilisé par la personne et le point de départ.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: sauf que
Posté par Octabrain . Évalué à 2.
[^] # Re: sauf que
Posté par MrLapinot (site web personnel) . Évalué à 1.
[^] # Re: sauf que
Posté par Octabrain . Évalué à 2.
[^] # Re: sauf que
Posté par moi1392 . Évalué à 5.
Tu es bien content de pouvoir le récupérer dans ce cas là !
[^] # Re: sauf que
Posté par Dring . Évalué à 5.
[^] # Re: sauf que
Posté par Octabrain . Évalué à 5.
[^] # Re: sauf que
Posté par claudex . Évalué à 4.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: sauf que
Posté par Octabrain . Évalué à 2.
Si protéger ses données d'une certaine quantité seulement de personnes (et pas de tout le monde) nous convient, un mot de passe que l'on peut retenir suffit.
# Conseil
Posté par liberforce (site web personnel) . Évalué à 3.
[^] # Re: Conseil
Posté par Etienne Bagnoud (site web personnel) . Évalué à 1.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Conseil
Posté par Octabrain . Évalué à 2.
[^] # Re: Conseil
Posté par Etienne Bagnoud (site web personnel) . Évalué à 2.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
# passcard
Posté par tfeserver tfe (site web personnel) . Évalué à 7.
Merci de nous faire partager ce site qui m'a l'ait plutot bien fait.
Cependant, ne connaissance pas l'utilité des "passcards", j'aimerais bien que tu developpes un peu plus sur ce point.
Quelle en est l'utilité?
Ou peut on l'utiliser?
[^] # Re: passcard
Posté par mdr . Évalué à -3.
[^] # Re: passcard
Posté par Octabrain . Évalué à 3.
explications : http://www.vvsss.com/grid/ et http://anthonyf.wordpress.com/2006/10/23/remembering-passwor(...)
un autre générateur : http://www.purevirtual.com/~anthony/password-grids.html
# Pérennité ?
Posté par Octabrain . Évalué à 2.
C'est bien le cas avec le tien, mais est-tu sûr que l'implémentation de la fonction random que tu utilises retournera toujours les mêmes résultats quels que soient la version de PHP, l'OS, l'architecture ?
Pour ma part, j'avais écrit un générateur qui se servait de l'algorithme en:Mersenne_twister, qui m'a l'air d'être bien figé et ne dépendre d'aucune variable externe.
[^] # Re: Pérennité ?
Posté par Etienne Bagnoud (site web personnel) . Évalué à 2.
Plus sérieusement, je fais un CRC de l'adresse email (php avec la fonction crc32), j'utilise cette valeur pour srand et je génère les nombre avec rand, donc en théorie ça devrait tenir.
Mais tu peux juger par toi-même :
http://www.tchetch.net/passcard/passcard.c
http://www.tchetch.net/passcard/passcard.php.txt
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Pérennité ?
Posté par Octabrain . Évalué à 5.
[^] # Re: Pérennité ?
Posté par Etienne Bagnoud (site web personnel) . Évalué à 2.
N’utilisez pas cette fonction dans
des applications conçues pour être portables et lorsqu’un bon caractère
aléatoire est nécessaire. (Utilisez plutôt random(3))
Alors je change pour utiliser srandom et random qui semblent être bien pour ça.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Pérennité ?
Posté par Octabrain . Évalué à 3.
[^] # Re: Pérennité ?
Posté par Naha (site web personnel) . Évalué à 4.
La fiabilité, pérennité, sécurité, semblent particulièrement travaillées dans cette bibliothèque, pourquoi ne pas l'utiliser ?
[^] # Re: Pérennité ?
Posté par tito (site web personnel) . Évalué à 2.
-> []
(Sympa sinon.)
[^] # Re: Pérennité ?
Posté par Maclag . Évalué à 3.
Et là c'est le contraire: tu t'inquiètes parce qu'on ne peut pas garantir que la carte puisse être reproduite à l'identique, ce qui lui fait perdre pas mal de son intérêt quand même: s'il la détruit, on le forcera juste à la refaire...
[^] # Re: Pérennité ?
Posté par Psychofox (Mastodon) . Évalué à 4.
Une passcard peut tout simplement servir à partager un mot de passe (le user root par exemple) entre différents sysadmins.
On donne les même cartes à tout le monde, on leur donne un chemin et voila, le jour du meeting ou tu décide de changer de mot de passe, personne n'aura besoin de le noter sur un papier pour s'en souvenir.
# ASCII
Posté par claudex . Évalué à 3.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: ASCII
Posté par Sylvain Sauvage . Évalué à 2.
# carte à puce
Posté par Nicolas Dumoulin (site web personnel) . Évalué à 4.
Bon certes, le niveau de sécurité n'est pas le même, mais ça me trotte dans la tête.
[^] # Re: carte à puce
Posté par Etienne Bagnoud (site web personnel) . Évalué à 7.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
# Du vrai libre !
Posté par Thierry . Évalué à 8.
\o/
# Très interessant
Posté par manatlan (site web personnel) . Évalué à 1.
import random,string def mkgrille(passe,s=5): random.seed(passe) c=list(string.ascii_letters +string.digits+"#@%{}()[]?!:;,.+-*=") random.shuffle(c) sep="%s+"%("+---"*s) return "\n".join(["%s\n| %s |"%(sep," | ".join(c[y:y+s])) for y in range(0,s*s,s)]+[sep,]) if __name__=="__main__": print mkgrille("mot de passe")# Version 2
Posté par Etienne Bagnoud (site web personnel) . Évalué à 3.
La version 2[1] a été testée sur x86, x86_64 et sparc32 (ma bonne vieille station sun) et les résultats sont identiques. Les fonctions de PRNG et de CRC ont été embarquées dans le code, les lettres 0,O, o, 1 et l ont été supprimées du résultat en sortie.
La sortie est plus générique puisque c'est du csv (la première ligne est l'ID de la carte), donc facilement utilisable pour générer n'importe quel format.
Finalement la version 2 a un code plus propre, mais toujours codé à la Rache (mais moins). Le PRNG vient de "man 3 rand" légèrement modifié, le CRC est un Adler-32 tel que décrit sur wikipédia. Pour réduire la faiblesse de Adler-32 (fonctionne mal sur une centaine d'octets), l'ID est généré à l'aide de l'adresse email + l'adresse email xorée 32 fois avec 32 valeurs choisies manuellement.
J'ai bien gagner mon week-end là, non ?
[1] http://www.tchetch.net/passcard/passcard2.c
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.