Le seul moyen que j'ai trouvé est d'essayer d'avoir une hiérarchie de mot de passe, mais c'est finalement difficile à suivre, du important au moins important :
- mot de passe stocké sur les machines personnels
- mot de passe du web mail
- mot de passe de site marchand ayant ma carte bancaire (Amazon)
- site marchand sans stockage de n° de carte bancaire
- site ayant un impact e-reputation (réseau sociaux, forum important, …)
- le reste
En gros, le mot de passe des sites moins important ne doivent pas servir à déduire le mot de passe des sites plus important.
C'est juste un boitier qui contient une clef asymétrique. La connerie de RSA a été d'utiliser une seul clef.
C'est le principe de la carte à puce, si jamais il y a une clef commune sur plusieurs cartes, le leak est inévitable, si cela vaut le cout.
En général pour casser une carte à puce, il en faut plusieurs, et trouver un moyen générique de casser une unique carte, est beaucoup plus difficile que d'extraire un secret présent sur une centaine de carte.
Laisse tomber ce site, il ne considère pas de "pattern humain" :
Length: 16
Strength: Reasonable
pour "0123456789azerty" qui doit pourtant être dans n'importe quel dictionnaire.
Pour s'identifier, on peut utiliser un truc que l'on connait, que l'on a, ou que l'on est (mot de passe, clef, biométrie).
Est-ce qu'en plus du mot de passe, on ne pourrait pas utiliser un fichier quelconque, et le système d'identification, fait un sha512 dessus pour générer un mot de passe (pas de transit sur le réseau), il reste toujours un mot de passe classique, car un simple fichier peut se voler. Mais cela rend inutile le cassage de mot de passe issue de dump de base de donné volé.
Tu n'as pas compris le principe. Sachant que les casseurs de mot de passe connaisse parfaitement les schémas habituelles, je prends en compte qu'il connaisse celui de xkcd.
5 mots séparé par une espace, issue d'un dictionnaire de 2000 mots par exemple. (212)
Le pattern est connu, il y a 25*12 combinaisons à tester, avec 1GH/S, cela dure plusieurs années (mais quelques heures pour la NSA si on estime qu'elle peut avoir des ordinateurs avec 1 millions de cpu ou gpu).
J'aurais tendance à prendre un dico français. De base, les outils gèrent surtout l'anglais. Le top du top étant les caractères spéciaux, qui changent l'alphabet à considérer(éèàç).
"on est à 104 bits d'entropie pour "correct horse battery staple"."
C'est juste faux. Il rajoute sans doute de l'entropie pour les espaces, ce qui n'a pas de sens si on considère que la méthode xkcd est connu du casseur de mot de passe. Il reste donc simplement 4 mots du dictionnaires. Si on les prend parmi les 2000 mots courant, cela fait 12 bits (212 =2048) par mots.
"Sur une ATI 7990 tu peux atteindre 1GH/s pour bitcoin, mais tu ne fais que permuter un bit entre chaque essai."
Oui, mais l'ordre de grandeur est le même, avoir 0.5GH/S ne change rien.
Il faudrait créer un générateur de mot de passe qui se retiennent.
Il suffit de prendre une base de mot français, (les titres des articles de wikipedia ?) qui font plus de 3 caractères. Ensuite, d'en générer par paquet de 9.
Le problème, c'est qu'un nombre incroyable de mots de passes ainsi choisis sont pris dans la littérature ou le langage commun. Certains sont un peu "salés" avec une majuscule ou un chiffre à la place des lettres, mais les logiciels de cassage usuels sont déjà parfaitement capables de prendre en charge ce genre de permutations.
Tu n'as pas compris le strip de xkcd. Ses 4 mots ont 44 bits d'entropie. Il prend 1000 essais par seconde, or les machines actuelles tournent autour de 1G essais par seconde.
La NSA casse tout ce qui a moins de 100 bits en clef symétrique. Donc, pour un avoir un mot de passe qui tiennent, il faut 9 mots aléatoires, et pas une phrase. Jouer sur un codage genre "L33t", cela ne fait qu'ajouter 1 ou 2 bits d'entropie : soit rien du tout.
"Ce qui est excellent, c'est que plutôt que de partir sur des brute force toujours plus long, il se facilite le job en se disant que les humains vont bien plus facilement retenir des trucs qu'ils connaissent."
Comme quoi le taux de chomage ne sert à rien seul le taux d'emplois devrait être utilisé. Par exemple le taux d'emplois des 18-65 ans. Un plein temps compte pour 1.0, un mi-temps pour 0.5, une journée travaillé compte pour 1/31, etc… 100% serait un travail rémunérateur temps plein pour toutes les personnes de 18-65 ans.
Il faut faut bien sur exclure toute formation non rémunéré et les retraités du comptage !
[^] # Re: houla...
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 2.
Le seul moyen que j'ai trouvé est d'essayer d'avoir une hiérarchie de mot de passe, mais c'est finalement difficile à suivre, du important au moins important :
- mot de passe stocké sur les machines personnels
- mot de passe du web mail
- mot de passe de site marchand ayant ma carte bancaire (Amazon)
- site marchand sans stockage de n° de carte bancaire
- site ayant un impact e-reputation (réseau sociaux, forum important, …)
- le reste
En gros, le mot de passe des sites moins important ne doivent pas servir à déduire le mot de passe des sites plus important.
"La première sécurité est la liberté"
[^] # Re: fichier clef ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 2.
C'est juste un boitier qui contient une clef asymétrique. La connerie de RSA a été d'utiliser une seul clef.
C'est le principe de la carte à puce, si jamais il y a une clef commune sur plusieurs cartes, le leak est inévitable, si cela vaut le cout.
En général pour casser une carte à puce, il en faut plusieurs, et trouver un moyen générique de casser une unique carte, est beaucoup plus difficile que d'extraire un secret présent sur une centaine de carte.
"La première sécurité est la liberté"
[^] # Re: Que vaut un mot de passe comme ceux de pwgen ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 2.
Laisse tomber ce site, il ne considère pas de "pattern humain" :
Length: 16
Strength: Reasonable
pour "0123456789azerty" qui doit pourtant être dans n'importe quel dictionnaire.
"La première sécurité est la liberté"
[^] # Re: fichier clef ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 2.
Je sais bien. Mais ce n'est pas trop le sujet de mon poste :)
Changer de fichier clef, cela n'est pas difficile.
"La première sécurité est la liberté"
[^] # Re: On en est encore loin
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 2.
"mais en plus leur enchaînement doit avoir un sens au moins pour leur auteur."
bah non surtout pas. il faut les choisir un ouvrant une page de dico au hasard.
"La première sécurité est la liberté"
# fichier clef ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 2.
Pour s'identifier, on peut utiliser un truc que l'on connait, que l'on a, ou que l'on est (mot de passe, clef, biométrie).
Est-ce qu'en plus du mot de passe, on ne pourrait pas utiliser un fichier quelconque, et le système d'identification, fait un sha512 dessus pour générer un mot de passe (pas de transit sur le réseau), il reste toujours un mot de passe classique, car un simple fichier peut se voler. Mais cela rend inutile le cassage de mot de passe issue de dump de base de donné volé.
"La première sécurité est la liberté"
[^] # Re: ils ne trouveront jamais mon "toto52"
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 2.
bonne arnaque.
Cela me rappelle que le dialogue entre 2 types, l'un affirmait à l'autre que la vidéo de rickroll avait été supprimé.
"La première sécurité est la liberté"
[^] # Re: On en est encore loin
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 2.
Tu n'as pas compris le principe. Sachant que les casseurs de mot de passe connaisse parfaitement les schémas habituelles, je prends en compte qu'il connaisse celui de xkcd.
5 mots séparé par une espace, issue d'un dictionnaire de 2000 mots par exemple. (212)
Le pattern est connu, il y a 25*12 combinaisons à tester, avec 1GH/S, cela dure plusieurs années (mais quelques heures pour la NSA si on estime qu'elle peut avoir des ordinateurs avec 1 millions de cpu ou gpu).
"La première sécurité est la liberté"
[^] # Re: copiteur by-sa
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 4.
essayes :)
"La première sécurité est la liberté"
[^] # Re: copiteur by-sa
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 3.
J'aurais tendance à prendre un dico français. De base, les outils gèrent surtout l'anglais. Le top du top étant les caractères spéciaux, qui changent l'alphabet à considérer(éèàç).
"La première sécurité est la liberté"
[^] # Re: Que vaut un mot de passe comme ceux de pwgen ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 4.
Si il est découvert (sniff de clavier, lecture par dessus l'épaule), les accès sont ouvert pour un moment.
"La première sécurité est la liberté"
[^] # Re: limiter les esssais ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 1.
Je me demande si un hash crypto d'image live non retouché d'une webcam fournirait une bonne entropie.
"La première sécurité est la liberté"
[^] # Re: copiteur by-sa
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 3.
(3 mots tiennent 1min20, 4 mots, tiennent 78h, 5 mots, 36 ans avec une puissance de 1GH/S ) Je me suis trompé :
((2n*12/109)/60)/60
"La première sécurité est la liberté"
[^] # Re: copiteur by-sa
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 2. Dernière modification le 10 octobre 2013 à 11:31.
Tu pourrais faire pareil, mais en allant chercher des mots dans un dictionnaire ? (avec 3 mots, c'est déjà pas mal)
"La première sécurité est la liberté"
[^] # Re: houla...
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 4.
"on est à 104 bits d'entropie pour "correct horse battery staple"."
C'est juste faux. Il rajoute sans doute de l'entropie pour les espaces, ce qui n'a pas de sens si on considère que la méthode xkcd est connu du casseur de mot de passe. Il reste donc simplement 4 mots du dictionnaires. Si on les prend parmi les 2000 mots courant, cela fait 12 bits (212 =2048) par mots.
"Sur une ATI 7990 tu peux atteindre 1GH/s pour bitcoin, mais tu ne fais que permuter un bit entre chaque essai."
Oui, mais l'ordre de grandeur est le même, avoir 0.5GH/S ne change rien.
"La première sécurité est la liberté"
[^] # Re: Promesses, promesses
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 1. Dernière modification le 10 octobre 2013 à 11:14.
Y'a personne pour faire la même chose avec 9 mots du dictionnaire ?
Ou alors, il faut une archive auto décompressible contenant les mots de passe aléatoires, chiffré en AES-256, on a pas toujours openssl sous la main.
"La première sécurité est la liberté"
[^] # Re: On en est encore loin
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 2.
Il faudrait créer un générateur de mot de passe qui se retiennent.
Il suffit de prendre une base de mot français, (les titres des articles de wikipedia ?) qui font plus de 3 caractères. Ensuite, d'en générer par paquet de 9.
"La première sécurité est la liberté"
# houla...
Posté par Nicolas Boulay (site web personnel) . En réponse au journal La proche fin des mots de passe. Évalué à 5.
Le problème, c'est qu'un nombre incroyable de mots de passes ainsi choisis sont pris dans la littérature ou le langage commun. Certains sont un peu "salés" avec une majuscule ou un chiffre à la place des lettres, mais les logiciels de cassage usuels sont déjà parfaitement capables de prendre en charge ce genre de permutations.
Tu n'as pas compris le strip de xkcd. Ses 4 mots ont 44 bits d'entropie. Il prend 1000 essais par seconde, or les machines actuelles tournent autour de 1G essais par seconde.
La NSA casse tout ce qui a moins de 100 bits en clef symétrique. Donc, pour un avoir un mot de passe qui tiennent, il faut 9 mots aléatoires, et pas une phrase. Jouer sur un codage genre "L33t", cela ne fait qu'ajouter 1 ou 2 bits d'entropie : soit rien du tout.
"Ce qui est excellent, c'est que plutôt que de partir sur des brute force toujours plus long, il se facilite le job en se disant que les humains vont bien plus facilement retenir des trucs qu'ils connaissent."
C'est le principe de hashcat.
"La première sécurité est la liberté"
[^] # Re: Terminologie
Posté par Nicolas Boulay (site web personnel) . En réponse au journal D'après Vidberg, la contrefaçon c'est le vol. Évalué à 3.
Pour Marx, un état communiste a 25% de ses dépenses par rapport au PIB, on est à plus de 50%.
"La première sécurité est la liberté"
[^] # Re: Pôle emploi
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Droite et gauche unies pour défendre la FNAC face à Amazon. Évalué à 5.
"radié"
Comme quoi le taux de chomage ne sert à rien seul le taux d'emplois devrait être utilisé. Par exemple le taux d'emplois des 18-65 ans. Un plein temps compte pour 1.0, un mi-temps pour 0.5, une journée travaillé compte pour 1/31, etc… 100% serait un travail rémunérateur temps plein pour toutes les personnes de 18-65 ans.
Il faut faut bien sur exclure toute formation non rémunéré et les retraités du comptage !
"La première sécurité est la liberté"
[^] # Re: Pôle emploi
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Droite et gauche unies pour défendre la FNAC face à Amazon. Évalué à 2.
"qu’auparavant ça patinait sérieusement)"
C'est une question de moyen. Les montants de l'époque ne semble pas énorme, mais on oublie l'inflation.
J'ai bossé sur Pleïade, le satellite qui remplace Spot. En tenant compte de l'inflation, le premier spot (86)a couté 2.5G€, Pleïade 150M€.
Le premier Spot a créé la filière d'observation de la terre en France.
L'état vient de lancer 35 projets http://www.redressement-productif.gouv.fr/chefs-de-projet-des-34-plans-industriels mais avec combien de budget pour chaque secteur ?
"La première sécurité est la liberté"
[^] # Re: Seul les cons ne changent pas d'avis.
Posté par Nicolas Boulay (site web personnel) . En réponse au journal D'après Vidberg, la contrefaçon c'est le vol. Évalué à 3.
Oui, ici on est dans un cas de contrefaçon, je parlais du cas général de l'exercice de droit moraux, souvent factice.
Ici, c'est un peu plus complexe car l'auteur encourage la copie personnelle.
"La première sécurité est la liberté"
[^] # Re: filtre ND
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Le concept modulaire ouvert de l'Axiom . Évalué à 1.
Tu parles de quoi ? Du filtre astronomique ou des besoins du projet ?
"La première sécurité est la liberté"
[^] # Re: Seul les cons ne changent pas d'avis.
Posté par Nicolas Boulay (site web personnel) . En réponse au journal D'après Vidberg, la contrefaçon c'est le vol. Évalué à 2.
Je partais du principe que l'on aurais pu modifier la licence comme pour les licences BSD. Mais on dirait que cela n'est pas possible.
"La première sécurité est la liberté"
[^] # Re: Seul les cons ne changent pas d'avis.
Posté par Nicolas Boulay (site web personnel) . En réponse au journal D'après Vidberg, la contrefaçon c'est le vol. Évalué à 2.
Pourquoi ?
"La première sécurité est la liberté"