En parlant de valises, ca me fait penser aux Bruce Schneier Facts et à :
"When Curtis Cooper and Steven Boone discovered the 44th Mersenne prime, Bruce Schneier had to change the combination on his luggage."
D'ailleurs, là est la réponse aux problemes de Ploum :
"It's widely believed that if you use "Schneier" as your password, your account cannot be hacked. This is of course only mostly true -- Bruce Schneier can always hack your account."
Quand je dis cassé, je prends des hypothèses fortes d'attaque, c'est à dire avec l'accès à l'empreinte du mot de passe.
On peut alors mener l'attaque hors ligne.
Si on parle de solidité (pure) du mot de passe, on doit se placer dans ces conditions.
Remarquez qu'elles ne sont pas irréalistes : sur une authentification à distance, un attaquant peut voir passer cette empreinte en écoutant le réseau, puis mener son brute force tranquillement. chez lui.
Concernant ce générateur, je me suis amusé a voir le code de ce script, histoire de voir si ça valait quelque chose.
En fait je n'ai pas eu besoin d'aller bien loin pour me faire une idée : la qualité d'un générateur aléatoire va dépendre avant tout de... la qualité de l'alea généré.
La seule source d'alea de ce programme est celui de la fonction rand() :
proc rand {m} {
expr {int($m*rand())}
}
L'interpreteur est /usr/bin/expect, je ne sais pas trop en quoi consiste sa fonction rand(), mais elle doit être équivalente à celle du C.
A savoir, un simple générateur congruentiel qui n'a que 2^32 initialisations possibles.
Bref, ce script ne peut donner que 2^32 mots de passe différents.
En conclusion :
d-jo, chez vous, tous vos mots de passe sont cassés en moins de deux heures sur une machine de bureau !!
Remarque : si jamais je me trompe, que leur générateur aléatoire sort des valeurs depuis /dev/random, c'est une autre histoire ;)
[^] # Re: Argument
Posté par _kawa_ . En réponse au journal Le changement de password pue du rond. Évalué à 1.
"When Curtis Cooper and Steven Boone discovered the 44th Mersenne prime, Bruce Schneier had to change the combination on his luggage."
D'ailleurs, là est la réponse aux problemes de Ploum :
"It's widely believed that if you use "Schneier" as your password, your account cannot be hacked. This is of course only mostly true -- Bruce Schneier can always hack your account."
[^] # Re: Générateur de mot de passe
Posté par _kawa_ . En réponse au journal Le changement de password pue du rond. Évalué à 2.
On peut alors mener l'attaque hors ligne.
Si on parle de solidité (pure) du mot de passe, on doit se placer dans ces conditions.
Remarquez qu'elles ne sont pas irréalistes : sur une authentification à distance, un attaquant peut voir passer cette empreinte en écoutant le réseau, puis mener son brute force tranquillement. chez lui.
[^] # Re: Générateur de mot de passe
Posté par _kawa_ . En réponse au journal Le changement de password pue du rond. Évalué à 3.
En fait je n'ai pas eu besoin d'aller bien loin pour me faire une idée : la qualité d'un générateur aléatoire va dépendre avant tout de... la qualité de l'alea généré.
La seule source d'alea de ce programme est celui de la fonction rand() :
proc rand {m} {
expr {int($m*rand())}
}
L'interpreteur est /usr/bin/expect, je ne sais pas trop en quoi consiste sa fonction rand(), mais elle doit être équivalente à celle du C.
A savoir, un simple générateur congruentiel qui n'a que 2^32 initialisations possibles.
Bref, ce script ne peut donner que 2^32 mots de passe différents.
En conclusion :
d-jo, chez vous, tous vos mots de passe sont cassés en moins de deux heures sur une machine de bureau !!
Remarque : si jamais je me trompe, que leur générateur aléatoire sort des valeurs depuis /dev/random, c'est une autre histoire ;)