DeletedUser
Guest
Ou sinon y'a un truc qu'on appelle le cerveau qui peut permettre de se débrouiller sans être assisté. Après je sais que peu connaissent cette astuce donc je la donne, au cas où
jejel66
Roi
- Score de réaction
- 287
Ou sinon y'a un truc qu'on appelle le cerveau qui peut permettre de se débrouiller sans être assisté. Après je sais que peu connaissent cette astuce donc je la donne, au cas où
et quand on en a pas?
DeletedUser
Guest
Ou sinon y'a un truc qu'on appelle le cerveau qui peut permettre de se débrouiller sans être assisté. Après je sais que peu connaissent cette astuce donc je la donne, au cas où
Pourquoi tu la met pas en pratique?
DeletedUser
Guest
arf : 65%
DeletedUser8
Guest
Je déconseille ultra fortement l'usage de ce genre de sites.
Petit topo sur les mots de passe et la sécurité :
Il y a deux cas lorsqu'on tente de cracker un mot de passe :
- Soit on peut faire autant de tests qu'on veut en prenant une fraction de seconde par test,
- Soit on est limité à un certain nombre de tentatives, ou bien il faut quelques secondes pour essayer à nouveau si on s'est trompé.
Le deuxième cas est souvent illusoire : un bon cracker arriver sans doute à se ramener au premier cas. Par exemple, sur un forum "maison" d'un petit site qui vous dit que vous avez 5 tentatives pour vous connecter, c'est tout à fait possible qu'un cracker puisse tester des milliards de mots de passe sans passer par le site, et donc en passant outre la limite des 5 tentatives.
Pour expliquer rapidement ce qui se passe en général, le principe est relativement simple :
- L'utilisateur s'enregistre sur le site et envoie son mot de passe (ou bien change son mot de passe automatique et met un nouveau à la place),
- Le site reçoit dont le mot de passe (souvent "en clair", de manière non-cryptée et qui peut être interceptée facilement en particulier sur un réseau WIFI, et encore plus facilement sur un réseau WIFI non-sécurisé du type FreeWifi ou 9wifi, mais en général les attaques ne viennent pas des voisins, sauf manque de chance...),
- Le site calcule ce qu'on appelle un "hash" du mot de passe. Prenons l'exemple d'un "hash" commun appelé le "md5". Le principe est qu'il calcule une valeur de 128 bits (il y a donc 2^128 possibilités, soit environ 10^38=100000000000000000000000000000000000000 possibilités, assez pour qu'on ne puisse pas tomber sur le même par hasard, ni même en le voulant). Exprimé sous une forme "lisible", un hash, c'est quelque chose comme "9e107d9d372bb6826bd81d3542a419d6" (ok, pas super super lisible). C'est cette valeur là qui est stockée. Ainsi, si quelqu'un s'infiltre dans la base de donnée (un opérateur du site par exemple, ou dans le cas de sites à la sécurité médiocre, parfois simplement un cracker débutant), il peut récupérer le hash, mais pas le mot de passe, et ça l'empêche de se connecter directement au site, parce qu'il faut le mot de passe original.
Le but du jeu pour le cracker est donc très souvent de réussir à retrouver le mot de passe à partir du hash. Et ça, c'est considéré comme impossible pour un mot de passe bien fait, mais dans beaucoup de situations, c'est très facile.
Il y a majoritairement deux types d'attaques, et souvent les deux sont testées. MD5 et les autres hash sont faits pour qu'on ne puisse pas "tâtonner" en calculant le md5 d'un mot de passe test, comparer avec le MD5 du mot de passe qu'on veut cracker, et adapter en fonction des différences. Le système est très compliqué, donc on peut juste savoir si, ça y est, on a le bon MD5, mais pas se rendre compte de si on chauffe. Deux phrase identiques à l'exception d'une majuscule à un endroit, c'est deux MD5 qui n'ont absolument aucun rapport. Du coup, les deux possibilités sont :
- Tout tester (attaque "brute force") : mots de passe de taille 1, puis 2, puis 3, puis 4, puis 5, etc, d'abord avec seulement des lettres minuscules (permet de tester facilement jusqu'à environ taille 8 ou 9, peut être 10 ou 11 avec du temps et jusqu'à 14 ou 15 en ayant des moyens énormes), puis avec majuscules aussi (il faut le même temps pour tester les mots de passe 2 fois plus courts), puis avec chiffres (ça diminue encore sensiblement la longueur des mots de passe testés dans un temps donné), puis avec des symboles (pareil). Ca, ça casse les mots de passe à "faible sécurité" et beaucoup de sites "évaluent" la difficulté de casser un mot de passe par cette attaque. Mais il y a aussi :
- L'attaque par dictionnaire. Ca c'est tout con. Si mon mot de passe de 25 lettres est "anticonstitutionnellement", l'attaque "brute force" ne marchera pas, mais une attaque qui teste les mots français et éventuellement leurs variations légères, c'est très rapide. Il y a moins de mots français que de mots de passe de longueur 4 avec seulement des minuscules. Faire le tour du dictionnaire français prend autour d'une milliseconde à un ordinateur récent. Il ne faut donc pas qu'un mot de passe soit un mot.
Le problème auquel j'arrive, c'est qu'un site peu scrupuleux sur lequel les gens s'authentifient peut récupérer une liste de mots de passe et se construire son propre dictionnaire. Même si des milliards de mots de passe sont stockés, cela reste très rapide de les tester tous pour cracker un mot de passe. Un site comme le site que tu donnes, s'il stocke tous les mots de passe que tous les utilisateurs testent, il se construit au passage un super dictionnaire qu'il pourra utiliser ensuite pour cracker des mots de passe dans tous les sens. Si tu testes un mot de passe pour pouvoir l'utiliser ailleurs, et qu'il vient hacker ton mot de passe sur le "ailleurs" en question, il y arrivera en quelques secondes, parce que ton mot de passe fait partie des mots de passe qu'il connaît et qu'il peut tester.
Le seul remède à ça, c'est d'utiliser un mot de passe différent sur chaque site, ou au moins un mot de passe différent sur chaque site "important" (un pour la banque, un pour paypal, un pour la boite mail professionnelle, un pour un MMORPG payant etc), et que ces mots de passe ne soient ni dans le dico, ni courts, et qu'ils utilisent chiffres, majuscules, minuscules et symboles. Sinon, si vous êtes inscrits sur un site avec un nom d'utilisateur donné et que l'hôte du site décide de devenir "méchant", il peut essayer le même nom d'utilisateur et le même mot de passe sur tous les sites de banque et autres sites où obtenir une connexion est profitable, et il pourra y rentrer.
Bref, la force des mots de passe est importante, mais le fait qu'ils soient secrets et inconnus de tout le monde à part le site à qui on parle, c'est au moins aussi important.
DeletedUser
Guest
Le MDP de jejel :
jejelest1boss
jejelest1boss
DeletedUser
Guest
Merci pour ces précisions, Layrajha.
Dernière édition par un modérateur:
DeletedUser
Guest
Tu trouve à peu près les mêmes conseil,quand tu crée ton adresse email
A par sa c'est pas mal,avec tes petit plus
A par sa c'est pas mal,avec tes petit plus
DeletedUser24193
Guest
bon, alors si on veut parler de sécurité, parlons en.
tout d'abord merci layrajha, ton exposé sur le brut force est très bien fait, je rajouterais juste que pour ce qui est du hash, md5 et sha1, voir même sha2 sont déconseillés car trop facile à décrypter. la norme actuelle est le bcrypt.
sinon, tu omets 2 vecteurs d'intrusions : le social engeneering et la connerie humaine :
- commençons par la connerie humaine : quand on veut prendre possession d'un compte, il faut d'abord tester ces mot de passe :
le bruteForce (lisez le topo de layrajha plus haut)mais bon, ça peut être très long, alors pendant que le programme cherche, passons à l'étape 3 :
- le social engineering, c'est le fait de sympathisé avec toi, de te parler, de devenir presque un amis, pourquoi ? pour récupéré des informations, date de naissance, nom de famille, nom de chien, age etc ...
en ayant ces informations, vous avez 90% de chance de trouver le mot de passe avant le bruteforce.
moi, j'ai opté pour une technique facile à retenir, mais efficace :
mon mot de passe, c'est
numéro de série de ma première guitare (que j'ai vendue depuis, pour ne pas être retrouvable)+ login de site + nom de site
le tout coller et quelques mise en forme après (genre les h deviennes des #, les i des ! ...), cela me donne un mot de passe qui oscille entre 15 et 20 caractères, qui change pour chaque site, qui ne peut pas être trouvé au hasard, et qui est très long à bruteforcer.
Note : on peut très bien avoir le meilleur mot de passe au monde, et ce faire tipiaker son compte ! demandez aux gens qui ont un compte playstation store, ou linkedin, leurs mots de passe se sont retrouvé à la vue de tout le monde, pourquoi ? parce que la gestion du site à été confiée à des incompétents, qui stockent le mot de passe en clair (sans hash), dès lors, une seul faille peut foutre à poil des millions de comptes. Si lors de l'inscription, vous recevez un mail où votre mot de passe apparait clairement, si le site vous demande un mot de passe qui ne dépasse pas un certain nombre de caractère, prenez la fuite : ce site stock les mots de passe en clair.
voilà mon avis sur la question ;-)
tout d'abord merci layrajha, ton exposé sur le brut force est très bien fait, je rajouterais juste que pour ce qui est du hash, md5 et sha1, voir même sha2 sont déconseillés car trop facile à décrypter. la norme actuelle est le bcrypt.
sinon, tu omets 2 vecteurs d'intrusions : le social engeneering et la connerie humaine :
- commençons par la connerie humaine : quand on veut prendre possession d'un compte, il faut d'abord tester ces mot de passe :
- azerty
- ytreza
- 123456
- 654321
- azerty123456
- 654321ytreza
- puis le nom de compte
le bruteForce (lisez le topo de layrajha plus haut)mais bon, ça peut être très long, alors pendant que le programme cherche, passons à l'étape 3 :
- le social engineering, c'est le fait de sympathisé avec toi, de te parler, de devenir presque un amis, pourquoi ? pour récupéré des informations, date de naissance, nom de famille, nom de chien, age etc ...
en ayant ces informations, vous avez 90% de chance de trouver le mot de passe avant le bruteforce.
moi, j'ai opté pour une technique facile à retenir, mais efficace :
mon mot de passe, c'est
numéro de série de ma première guitare (que j'ai vendue depuis, pour ne pas être retrouvable)+ login de site + nom de site
le tout coller et quelques mise en forme après (genre les h deviennes des #, les i des ! ...), cela me donne un mot de passe qui oscille entre 15 et 20 caractères, qui change pour chaque site, qui ne peut pas être trouvé au hasard, et qui est très long à bruteforcer.
Note : on peut très bien avoir le meilleur mot de passe au monde, et ce faire tipiaker son compte ! demandez aux gens qui ont un compte playstation store, ou linkedin, leurs mots de passe se sont retrouvé à la vue de tout le monde, pourquoi ? parce que la gestion du site à été confiée à des incompétents, qui stockent le mot de passe en clair (sans hash), dès lors, une seul faille peut foutre à poil des millions de comptes. Si lors de l'inscription, vous recevez un mail où votre mot de passe apparait clairement, si le site vous demande un mot de passe qui ne dépasse pas un certain nombre de caractère, prenez la fuite : ce site stock les mots de passe en clair.
voilà mon avis sur la question ;-)
DeletedUser
Guest
sa ses tres bien expliquer tuto tres complet au-dela de ce que la plus part on besoin meme^^sinon khrogos ses tres biens expliquer mais apres faut pas oublier que le hack est illegal, et que certain hackeur"non-professionel" laisse souvent des trace^^' sur ce rien a dire sur ce tuto il est vraiment tres bien fait bravo a tout le monde :O
DeletedUser24193
Guest
certes, certes, mais bon, je n'ai jamais dit que je pratiquais hein ;-) un de mes prof à l'IUT nous a fait un super topo sur la sécurité des sites web (on peut lui faire confiance : il as co-écrit 2 livres sur la sécurité informatique, à déjà fais une conférence sur le sujet pour un gouvernement africain et gère une association qui produit des event sur l'informatique), et donc je ne fais que rapporter ce que j'ai appris grâce à lui ;-)
DeletedUser
Guest
a d'accord ^^ mais je ne te visait pas toi en particulier hahaha
DeletedUser
Guest
une précaution élémentaire:
ne pas mélanger les mots de passe IRL et IG
Si je me fais craquer mon mot de passe sur le jeu, c'est pas la catastrophe, surtout si c'est juste avant un delete.
Par contre si je me fais craquer mon MP dans ma banque, il va me manquer des sous sous pour acheter mon beefsteak.
ne pas mélanger les mots de passe IRL et IG
Si je me fais craquer mon mot de passe sur le jeu, c'est pas la catastrophe, surtout si c'est juste avant un delete.
Par contre si je me fais craquer mon MP dans ma banque, il va me manquer des sous sous pour acheter mon beefsteak.
DeletedUser
Guest
Une chose à ne pas faire :
Le mot de passe de votre adresse email ne doit pas être utilisé comme mot de passe pour d'autres sites...
Le mot de passe de votre adresse email ne doit pas être utilisé comme mot de passe pour d'autres sites...