[gentoo-user-fr] Algorithme de chiffrage des mots de passe.
26 réponses
Christophe Garault
Bonjour,
Voici une question que je ne m'étais jamais posé jusqu'ici, mais qui
depuis l'installation d'une SuSE me turlupine sérieusement: comment sont
chiffrés les mots de passe utilisateurs sous Gentoo? Il se trouve
qu'avec la SuSE ont a le choix entre: DES, MD5 plus un autre que j'ai
oublié (interface GUI alors que sous Gentoo je n'utilise que la CLI).
Je viens de faire quelques lectures (Shadow-password-Howto et le man de
crypt) mais sans que celà ne m'aide à répondre à ma question. Bien au
contraire, il semblerait que DES sur des des mots de passe de 16
caractères soit encore moins sûr. J'ai pensé trouver la réponse dans le
fichier login.defs mais sans succès.
Quelqu'un saurait-il comment est implémenté le chiffrage des mots de
passe, et éventuellement comment sélectionner l'algo de chiffrage?
Merci d'avance et bonne journée à tous.
--
Christophe Garault
Take your marks:
Gen too three: Emerge!
Je voulais savoir si il y avait un code de caractère conseillé pour la liste. J'utilise utf8 et je n'ai pas l'impression que vous êtes beacoup à en faire autant....
charly -- mailing list
Bonjour à tous,
Je voulais savoir si il y avait un code de caractère conseillé pour la
liste. J'utilise utf8 et je n'ai pas l'impression que vous êtes beacoup à
en faire autant....
Je voulais savoir si il y avait un code de caractère conseillé pour la liste. J'utilise utf8 et je n'ai pas l'impression que vous êtes beacoup à en faire autant....
charly -- mailing list
Romain Bourdy
En fait ... je sait pas ou choisir l'encodage sur le webmail de gmail, alors je laisse courir vu que personne ne s'est encore plaind de mon mailer :s
2005/7/20, charlyghislain :
Bonjour à tous,
Je voulais savoir si il y avait un code de caractère conseillé pour la liste. J'utilise utf8 et je n'ai pas l'impression que vous êtes beacoup à en faire autant....
charly -- mailing list
-- mailing list
En fait ... je sait pas ou choisir l'encodage sur le webmail de gmail,
alors je laisse courir vu que personne ne s'est encore plaind de mon
mailer :s
Je voulais savoir si il y avait un code de caractère conseillé pour la
liste. J'utilise utf8 et je n'ai pas l'impression que vous êtes beacoup à
en faire autant....
En fait ... je sait pas ou choisir l'encodage sur le webmail de gmail, alors je laisse courir vu que personne ne s'est encore plaind de mon mailer :s
2005/7/20, charlyghislain :
Bonjour à tous,
Je voulais savoir si il y avait un code de caractère conseillé pour la liste. J'utilise utf8 et je n'ai pas l'impression que vous êtes beacoup à en faire autant....
charly -- mailing list
-- mailing list
Arnaud Launay
Le Wed, Jul 20, 2005 at 02:20:49PM +0200, Romain Bourdy a écrit:
En fait ... je sait pas ou choisir l'encodage sur le webmail de gmail, alors je laisse courir vu que personne ne s'est encore plaind de mon mailer :s
Je voulais savoir si il y avait un code de caractère conseillé pour la liste. J'utilise utf8 et je n'ai pas l'impression que vous êtes beacoup à en faire autant....
Non mais c'est vrai que dans une liste francophone on a plus tendance à utiliser du Latin-1 ou du Latin-9 (ISO 8859-1 ou -15) Par contre le jeux de caractères ISO-9660, c'est pas surtout pour les CD? J'avoue ne l'avoir jamais rencontré ailleurs.
Sinon pour en revenir au sujet de la liste, merci d'entamer un nouveau thread pour un nouveau sujet, parce que là ça mélange tout pour ceux qui utilisent un vrai MUA. :)
-- Christophe Garault Take your marks: Gen too three: Emerge!
-- mailing list
charlyghislain a écrit :
Bonjour à tous,
Je voulais savoir si il y avait un code de caractère conseillé pour la
liste. J'utilise utf8 et je n'ai pas l'impression que vous êtes beacoup à
en faire autant....
Non mais c'est vrai que dans une liste francophone on a plus tendance à
utiliser du Latin-1 ou du Latin-9 (ISO 8859-1 ou -15)
Par contre le jeux de caractères ISO-9660, c'est pas surtout pour les
CD? J'avoue ne l'avoir jamais rencontré ailleurs.
Sinon pour en revenir au sujet de la liste, merci d'entamer un nouveau
thread pour un nouveau sujet, parce que là ça mélange tout pour ceux qui
utilisent un vrai MUA. :)
--
Christophe Garault
Take your marks:
Gen too three: Emerge!
Je voulais savoir si il y avait un code de caractère conseillé pour la liste. J'utilise utf8 et je n'ai pas l'impression que vous êtes beacoup à en faire autant....
Non mais c'est vrai que dans une liste francophone on a plus tendance à utiliser du Latin-1 ou du Latin-9 (ISO 8859-1 ou -15) Par contre le jeux de caractères ISO-9660, c'est pas surtout pour les CD? J'avoue ne l'avoir jamais rencontré ailleurs.
Sinon pour en revenir au sujet de la liste, merci d'entamer un nouveau thread pour un nouveau sujet, parce que là ça mélange tout pour ceux qui utilisent un vrai MUA. :)
-- Christophe Garault Take your marks: Gen too three: Emerge!
-- mailing list
Arnaud Launay
Le Wed, Jul 20, 2005 at 03:38:18PM +0200, Christophe Garault a écrit:
Sinon pour en revenir au sujet de la liste, merci d'entamer un nouveau thread pour un nouveau sujet, parce que là ça mélange tout pour ceux qui utilisent un vrai MUA. :)
Depuis quand est-ce que Thunderbird est un vrai MUA ? Thunderbird est juste une application permettant d'afficher correctement les mails en html dégueux que plein de newsletters envoient, non ?
Le Wed, Jul 20, 2005 at 03:38:18PM +0200, Christophe Garault a écrit:
Sinon pour en revenir au sujet de la liste, merci d'entamer un
nouveau thread pour un nouveau sujet, parce que là ça mélange
tout pour ceux qui utilisent un vrai MUA. :)
Depuis quand est-ce que Thunderbird est un vrai MUA ? Thunderbird
est juste une application permettant d'afficher correctement les
mails en html dégueux que plein de newsletters envoient, non ?
Le Wed, Jul 20, 2005 at 03:38:18PM +0200, Christophe Garault a écrit:
Sinon pour en revenir au sujet de la liste, merci d'entamer un nouveau thread pour un nouveau sujet, parce que là ça mélange tout pour ceux qui utilisent un vrai MUA. :)
Depuis quand est-ce que Thunderbird est un vrai MUA ? Thunderbird est juste une application permettant d'afficher correctement les mails en html dégueux que plein de newsletters envoient, non ?
Solution, prend ton mdp crypté et soumet la a john the ripper, si ma memoire est bonne y te donne l'algorhytme, mais il me semble que ce soit un md5 utilisé par défaut
Par contre j'ignore encore où est définit le choix de cet algorithme!
Merci.
-- Christophe Garault Take your marks: Gen too three: Emerge!
-- mailing list
Romain Bourdy a écrit :
Solution, prend ton mdp crypté et soumet la a john the ripper, si ma
memoire est bonne y te donne l'algorhytme, mais il me semble que ce
soit un md5 utilisé par défaut
Solution, prend ton mdp crypté et soumet la a john the ripper, si ma memoire est bonne y te donne l'algorhytme, mais il me semble que ce soit un md5 utilisé par défaut
Depuis quand est-ce que Thunderbird est un vrai MUA ?
Depuis toujours si on le compare à gmail.
Thunderbird est juste une application permettant d'afficher correctement les mails en html dégueux que plein de newsletters envoient, non ?
Non. Et puis tout le monde n'a pas forcément envie de se mettre à eMacs ou à Mutt. Je parierai que tu utilises Pine pour Usenet toi non?
-- Christophe Garault Take your marks: Gen too three: Emerge!
-- mailing list
kakou
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Christophe Garault wrote:
Romain Bourdy a écrit :
Solution, prend ton mdp crypté et soumet la a john the ripper, si ma memoire est bonne y te donne l'algorhytme, mais il me semble que ce soit un md5 utilisé par défaut
Par contre j'ignore encore où est définit le choix de cet algorithme!
Merci.
just eune remarque : les mots de passe ne sont pas chiffrer ni crypter mais hasher -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.1 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
Solution, prend ton mdp crypté et soumet la a john the ripper, si ma
memoire est bonne y te donne l'algorhytme, mais il me semble que ce
soit un md5 utilisé par défaut
Par contre j'ignore encore où est définit le choix de cet algorithme!
Merci.
just eune remarque : les mots de passe ne sont pas chiffrer ni crypter
mais hasher
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
Solution, prend ton mdp crypté et soumet la a john the ripper, si ma memoire est bonne y te donne l'algorhytme, mais il me semble que ce soit un md5 utilisé par défaut
Par contre j'ignore encore où est définit le choix de cet algorithme!
Merci.
just eune remarque : les mots de passe ne sont pas chiffrer ni crypter mais hasher -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.1 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
On Wed, July 20, 2005 13:56, Christophe Garault wrote:
Bonjour,
Voici une question que je ne m'étais jamais posé jusqu'ici, mais qui depuis l'installation d'une SuSE me turlupine sérieusement: comment sont chiffrés les mots de passe utilisateurs sous Gentoo? Il se trouve qu'avec la SuSE ont a le choix entre: DES, MD5 plus un autre que j'ai oublié (interface GUI alors que sous Gentoo je n'utilise que la CLI).
En fait pour les mots de passe de /etc/passwd il faut parler plutôt de fonction de hachage, et autre petite correction le nom correct est "chiffrement" et non pas "chiffrage" (chiffrage c'est pour un devis ;-)
Je crois que pour Gentoo la seule solution retenue est l'algorithme MD5. Le principe simplifié est le suivant : le mot passe donné en entrée d'algorithme produit en sortie une empreinte. L'intérêt c'est qu'il n'existe aucune fonction qui permette à partir de l'empreinte de retrouver le mot de passe, l'algorithme est non-réversible. Et la probabilité que deux mots de passe différents produisent une même empreinte est très très faible, si c'est le cas cela s'appelle une collision.
C'est pour cela qu'il faut parler de hachage, s'il s'agissait de chiffrement une clé secrète permettrait de retrouver le mot de passe, et là ce n'est pas le cas.
C'est donc l'empreinte qui est stockée dans /etc/passwd (en fait le plus souvent dans /etc/shadow pour renforcer la sécurité) et pour s'authentifier il faut soumettre son mot de passe à l'algorithme, et c'est l'empreinte produite qui est comparée à l'empreinte stockée dans /etc/shadow. Si les deux empreintes sont identiques alors l'authentification est validée.
Des chercheurs ont réussi à produire des collisions MD5 autrement que par force brute mais ceci dit ça ne remet pas en cause la sécurité de MD5 parce qu'il n'est toujours pas possible de forger un mot de passe à partir d'une empreinte donnée.
Pour reconnaître l'algorithme utilisé : si l'empreinte commence par $1$ c'est du MD5, si elle commence par $2a$ c'est du Blowfish.
-- Laurent Jourden Encrypted and Signed correspondence preferred OpenPGP Public Key ID: 0xE0D96090 Key Fingerprint : 1145 79CC 4668 897F 5D82 5BB6 A15C DE7E E0D9 6090 http://pgpkeys.mit.edu:11371/pks/lookup?op=get&search=0xE0D96090
-- mailing list
On Wed, July 20, 2005 13:56, Christophe Garault wrote:
Bonjour,
Voici une question que je ne m'étais jamais posé jusqu'ici, mais qui
depuis l'installation d'une SuSE me turlupine sérieusement: comment sont
chiffrés les mots de passe utilisateurs sous Gentoo? Il se trouve
qu'avec la SuSE ont a le choix entre: DES, MD5 plus un autre que j'ai
oublié (interface GUI alors que sous Gentoo je n'utilise que la CLI).
En fait pour les mots de passe de /etc/passwd il faut parler plutôt de
fonction de hachage, et autre petite correction le nom correct est
"chiffrement" et non pas "chiffrage" (chiffrage c'est pour un devis ;-)
Je crois que pour Gentoo la seule solution retenue est l'algorithme MD5.
Le principe simplifié est le suivant : le mot passe donné en entrée
d'algorithme produit en sortie une empreinte. L'intérêt c'est qu'il
n'existe aucune fonction qui permette à partir de l'empreinte de retrouver
le mot de passe, l'algorithme est non-réversible. Et la probabilité que
deux mots de passe différents produisent une même empreinte est très très
faible, si c'est le cas cela s'appelle une collision.
C'est pour cela qu'il faut parler de hachage, s'il s'agissait de
chiffrement une clé secrète permettrait de retrouver le mot de passe, et
là ce n'est pas le cas.
C'est donc l'empreinte qui est stockée dans /etc/passwd (en fait le plus
souvent dans /etc/shadow pour renforcer la sécurité) et pour
s'authentifier il faut soumettre son mot de passe à l'algorithme, et c'est
l'empreinte produite qui est comparée à l'empreinte stockée dans
/etc/shadow. Si les deux empreintes sont identiques alors
l'authentification est validée.
Des chercheurs ont réussi à produire des collisions MD5 autrement que par
force brute mais ceci dit ça ne remet pas en cause la sécurité de MD5
parce qu'il n'est toujours pas possible de forger un mot de passe à partir
d'une empreinte donnée.
Pour reconnaître l'algorithme utilisé : si l'empreinte commence par $1$
c'est du MD5, si elle commence par $2a$ c'est du Blowfish.
--
Laurent Jourden
Encrypted and Signed correspondence preferred
OpenPGP Public Key ID: 0xE0D96090
Key Fingerprint : 1145 79CC 4668 897F 5D82 5BB6 A15C DE7E E0D9 6090
http://pgpkeys.mit.edu:11371/pks/lookup?op=get&search=0xE0D96090
On Wed, July 20, 2005 13:56, Christophe Garault wrote:
Bonjour,
Voici une question que je ne m'étais jamais posé jusqu'ici, mais qui depuis l'installation d'une SuSE me turlupine sérieusement: comment sont chiffrés les mots de passe utilisateurs sous Gentoo? Il se trouve qu'avec la SuSE ont a le choix entre: DES, MD5 plus un autre que j'ai oublié (interface GUI alors que sous Gentoo je n'utilise que la CLI).
En fait pour les mots de passe de /etc/passwd il faut parler plutôt de fonction de hachage, et autre petite correction le nom correct est "chiffrement" et non pas "chiffrage" (chiffrage c'est pour un devis ;-)
Je crois que pour Gentoo la seule solution retenue est l'algorithme MD5. Le principe simplifié est le suivant : le mot passe donné en entrée d'algorithme produit en sortie une empreinte. L'intérêt c'est qu'il n'existe aucune fonction qui permette à partir de l'empreinte de retrouver le mot de passe, l'algorithme est non-réversible. Et la probabilité que deux mots de passe différents produisent une même empreinte est très très faible, si c'est le cas cela s'appelle une collision.
C'est pour cela qu'il faut parler de hachage, s'il s'agissait de chiffrement une clé secrète permettrait de retrouver le mot de passe, et là ce n'est pas le cas.
C'est donc l'empreinte qui est stockée dans /etc/passwd (en fait le plus souvent dans /etc/shadow pour renforcer la sécurité) et pour s'authentifier il faut soumettre son mot de passe à l'algorithme, et c'est l'empreinte produite qui est comparée à l'empreinte stockée dans /etc/shadow. Si les deux empreintes sont identiques alors l'authentification est validée.
Des chercheurs ont réussi à produire des collisions MD5 autrement que par force brute mais ceci dit ça ne remet pas en cause la sécurité de MD5 parce qu'il n'est toujours pas possible de forger un mot de passe à partir d'une empreinte donnée.
Pour reconnaître l'algorithme utilisé : si l'empreinte commence par $1$ c'est du MD5, si elle commence par $2a$ c'est du Blowfish.
-- Laurent Jourden Encrypted and Signed correspondence preferred OpenPGP Public Key ID: 0xE0D96090 Key Fingerprint : 1145 79CC 4668 897F 5D82 5BB6 A15C DE7E E0D9 6090 http://pgpkeys.mit.edu:11371/pks/lookup?op=get&search=0xE0D96090
-- mailing list
Christophe Garault
kakou a écrit :
just eune remarque : les mots de passe ne sont pas chiffrer ni crypter mais hasher
Ah, c'est pas plutôt cachés? ;-) Sinon, crypté n'étant effectivement pas approprié et hashé pas très français, on dira encodé:
Le mot de passe est enregistré dans un format /encrypté/. Si vous
demandez à un expert en cryptographie,
il (ou elle) vous répondra que le mot de passe n'est pas /encrypté/
mais /encodé/.
(extrait du Shadow-Password-HOWTO-2)
Voilà, fin du quadricapillotractage. :)
-- Christophe Garault Take your marks: Gen too three: Emerge!
-- mailing list
kakou a écrit :
just eune remarque : les mots de passe ne sont pas chiffrer ni crypter
mais hasher
Ah, c'est pas plutôt cachés? ;-)
Sinon, crypté n'étant effectivement pas approprié et hashé pas très
français, on dira encodé:
Le mot de passe est enregistré dans un format /encrypté/. Si vous
demandez à un expert en cryptographie,
il (ou elle) vous répondra que le mot de passe n'est pas /encrypté/
mais /encodé/.
(extrait du Shadow-Password-HOWTO-2)
Voilà, fin du quadricapillotractage. :)
--
Christophe Garault
Take your marks:
Gen too three: Emerge!
