Comment font-ils pour cracker
Le
ChP
Bonjour à toutes et à tous,
Mon but est de protéger un mot de passe, pas de cracker un code, mais je
me suis toujours posé cette question.
Imaginons : je veux coder un mot de passe. Etant relativement ignare de
toutes les siouxeries existantes, j'ai à ma disposition tout un arsenal
d'opérations telles que ajout, soustraction, décalage, rotation,
découpage qui sont toutes bijectives. Ma seule limitation dans
l'emploi de ces méthodes étant le temps que je veux bien y consacrer, le
nombre de couches d'opérations que je mets en place et la durée que
prendra ces transformations.
Le nombre de combinaisons que cela représente doit être gigantesque. De
plus, à chaque essai, un test doit être fait pour voir si le résultat
est correct.
Du haut de mon ignorance, j'ai du mal à imaginer qu'on puisse aisément
cracquer un tel cryptage s'il est peu répandu.
Des idées, des liens qui pourraient m'éclairer.
Merci pour vos informations.
Pierre
Mon but est de protéger un mot de passe, pas de cracker un code, mais je
me suis toujours posé cette question.
Imaginons : je veux coder un mot de passe. Etant relativement ignare de
toutes les siouxeries existantes, j'ai à ma disposition tout un arsenal
d'opérations telles que ajout, soustraction, décalage, rotation,
découpage qui sont toutes bijectives. Ma seule limitation dans
l'emploi de ces méthodes étant le temps que je veux bien y consacrer, le
nombre de couches d'opérations que je mets en place et la durée que
prendra ces transformations.
Le nombre de combinaisons que cela représente doit être gigantesque. De
plus, à chaque essai, un test doit être fait pour voir si le résultat
est correct.
Du haut de mon ignorance, j'ai du mal à imaginer qu'on puisse aisément
cracquer un tel cryptage s'il est peu répandu.
Des idées, des liens qui pourraient m'éclairer.
Merci pour vos informations.
Pierre
Poser une question
"protéger" peut signifier plusieurs choses, vous ne dites pas clairement
lesquelles vous préoccupent, on peut citer:
- protéger son stockage: être sur qu'il n'est pas lisisble par qui n'est
pas autorisé,
- protéger son utilisation: ne pas autoriser un nombre illimité d'essai
- protéger son rejeu: s'assurer qu'une présentation valide dérobée ne
peux pas être représentée pour obtenir les droits associés.
faire un nombre gigantesque d'opérations ne sert à rien si nombres
d'entre elles s'annulent, ou participent juste à construire ce qui sera
vérifié (ie un pattern peut être imprévisible et non le mot de passe saisi).
certes si cette construction prend 10mn cela freinera une attaque
exhaustive mais cela sera sûrement inacceptable pour l'utilisateur légitime.
penser que quelque chose est sur car son procédé est inconnu est souvent
une erreur.
de ce que vous dites il semble que ce chiffrement sera inutile,
l'attaque soumettra un mot de passe quelconque qui passera comme dans le
cas nominal par cette machine à brouiller, l'attaquant ne moque de
savoir si vous brouillez ou pas, il attaque de la même façon.
ce chiffrement évite l'utilisation des mots de passes dans le cas où le
fichier des mots de passe peut être dérobé; mais ce cas n'est pas un
strict problème de crypto. si cette attaque est possible vous devez
l'adresser en premier en sécurisant son accès.
Sylvain.
il est vrai qu'une telle méthode semble costaud à casser.
je n'y connais pas grand chose en la matière mais je m'instruit sur le
sujet en ce moment.
Jj en profittes donc pour glisser ce lien qui pourrait interesser des
newbies comme moi :)
http://www.apprendre-en-ligne.net
Merci pour ces explications.
Mon problème est le suivant : J'ai un site WEB chez un FAI. Sur ce site,
il y a une base de données et son accès ne peut se faire que si on donne
un mot de passe. Cette base de données contient des tables de liens vers
des images que tout le monde peut consulter. Je ne demande pas à
l'internaute qui visite mon site de fournir un mot de passe. Par
conséquent, je dois avoir, quelque part sur mon site, crypté ou pas, ce
mot de passe pour que je puisse accéder à la base de données.
J'ai cru comprendre que malgré des protections nominales (.htaccess
entre autres) des petits malins étaient capables d'aller explorer les
fichiers et donc d'en extraire un mot de passe (mais peut-être je me
trompe). C'est pour cette raison que je souhaite le crypter.
Ce que j'ai fait comprend quatre niveaux de transformations et doit bien
prendre quelques microsecondes de traitement !
Cordialement.
Pierre
Merci pour ce lien.
Cordialement.
Pierre
donc aucune sécurité garantie.
vous ne savez pas ce qu'héberge la machine, quels process tournent
dessus, comment la mémoire est nettoyé entre une requête sur vos
pages et celles d'un autre hébergement, etc, etc.
une table dont les records sont des url d'images ?
quelle est le moteur de la base ? on va présumer mysql.
normal.
qui est "je" ?
lorsque vous "auteur" de ce site mettez à jour votre base vous devez
(c'est préférable!) présenter le mot de passe d'un utilisateur de la
base ayant les droits INSERT et UPDATE (accessoirement CREATE).
lorsque le serveur de pages (pas précisé non plus, mais php ou asp)
accède à la table pour lire (et lire uniquement) il peut y accéder
via un compte utilisateur de la table sans mot de passe et avec un
droit READ uniquement.
avec ou sans .htaccess (donc php plus que asp) vous espérez surtout
que ni apache ni php ne délivre le code php d'une page mais uniquement
l'output html - c'est en principe vrai.
si elles sont codées dans le php qui code l'accès à la base, elles ne
servent à rien (post précédent).
seon ma compréhension, votre inquiétude se résouds par une base
correctement configurée.
Sylvain.