changer dynamiquement ses mots de passe
Le
marioski
bonjour,
A quoi cela sert de crypter ses mots de passe sauf sinon de protéger leur=
confidentialité?
N'y a-t-il pas moyen,un site,un outil qui changerait automatiquement et dyn=
amiquement un mot de passe?
merci de votre aide
A quoi cela sert de crypter ses mots de passe sauf sinon de protéger leur=
confidentialité?
N'y a-t-il pas moyen,un site,un outil qui changerait automatiquement et dyn=
amiquement un mot de passe?
merci de votre aide
genre... ça ? https://fr.wikipedia.org/wiki/Mot_de_passe_unique
--
À vendre :
http://www.leboncoin.fr/informatique/821220894.htm
http://www.leboncoin.fr/informatique/821221994.htm
Comment fait-on pour crypter des mots de passe, i.e. les chiffrer sans
connaître la clé de chiffrement ?
--
Jean-Pierre Kuypers
je perçois l'amorce d'un dialogue de sourds... :)
patpro
--
À vendre :
http://www.leboncoin.fr/informatique/821220894.htm
http://www.leboncoin.fr/informatique/821221994.htm
J'avais une solution simple : transformer le "mot de passe" en algorithme.
Le serveur pose la question "mot de passe = ?" peut être remplacé par
le serveur envoie une donnée aléatoire de connexion X
Le client répond alors avec une donnée D=f(X). c'est une RFC existante
si je me souviens bien mais limitée à une fonction spécifiée fixe.
La fonction f() peut aussi inclure une parie aléatoire Y (un masque) et
être de la forme
(g(X) & Y ) |( Z & !Y ) les bits mis à 0 par Y étant modifiés par
la variable aléatoire Z générée par le client.
La fonction f peut être arithmétique quelconque, par exemple un polynôme.
Noter que la donnée X peut aussi contenir une donnée X' extractible par
le client et identifiant le serveur pour un client répertorié.
La vérification par le serveur ne concernera que les bits non masqués.
Le décryptage est rendu très difficile, le "mot de passe" transmis
étant d'apparence aléatoire. La mise en oeuvre est très simple mais
suppose que les "questions" ne soient pas répétées avec la même donnée X
par un serveur fake.
Tous les experts en sécurité s'accordent à dire que c'est une très mauvaise
idée. L'algorithme doit être bien connu pour être bien étudié et ne pas
avoir de failles, et s'il était compromis, il faudrait refaire l'étude.
Donc la bonne pratique, c'est un algorithme standard bien étudié et une clef
secrète générée de manière aussi libre que possible.
C'est ce qu'on appelle authentification par challenge-réponse. Et oui,
chaque protocole utilise une fonction fixe (ou une petite liste de fonctions
autorisées), pour la raison ci-dessus.
Non. Pour qu'une fonction soit utilisable dans ce contexte, il faut que la
donnée de la valeur pour différentes entrées ne permette pas facilement de
déterminer la valeur pour une autre entrée. Si ce n'est pas le cas, un
espion qui a observé plusieurs échanges peut s'en servir pour
s'authentifier.
La plupart des fonctions qu'un dilettante peut inventer tout seul dans son
garage n'ont pas cette propriété, elles risquent même d'assez facilement
laisser reconstituer la clef elle-même.
je pensais qu'il existe ou existera un serveur intégré à chaque navig ateur dans lequel l'intrusion serait impossible et qui retiendrait tous les mots de passe enregistrés et auto-changeables dynamiquement à une fr équence choisie,de telle manière qu'à chaque moment où l'internaute se connecte à un site avec son mot de passe(qui aura changé plusieurs fois auparavant et automatiquement),il l'utilisera.Si bien qu'aucun pirate ne pourrait rentrer dans un site puisqu'il n'aura jamais le temps de récu pérer le bon mot de passe qui sera changé automatiquement,rapidement et à pludieurs reprises!
Cette technologie existe-t-elle déjà ou sera-t-elle un jour envisageabl e?
Je ne crois pas que CHAP (RFC 1994) (PAP n'est pas sécurisé) ait été
inventé par un dilettante dans son garage.
Mais si MD5 n'est pas forcément une "bonne" fonction de hachage à vos
yeux (et c'est vrai, on sait la casser), l'idée d'introduire de
l'aléatoire dans la réponse au "challenge" est assez facile à réaliser,
masquant toute régularité dans la réponse.
Noter que la requête "challenge" peut contenir une identification du
serveur de la même façon, une "signature" de la requête.
Noter enfin que EAP (RFC 3748,6247,7057..) Extensible Authentication
protocol
contient à boire et à manger en matière d'identification.
Maintenant, si on veut faire du PAP avec un mot de passe qui change
chaque fois, il faut que le serveur et le client partagent un "secret"
qui leur permettent de s'entendre, à savoir le passage d'un mot de passe
à un autre, avec un côté aléatoire, vu des tiers. Evidemment si la
méthode "mastermind" permet de retrouver comment on fait, ça n'est pas
sécurisé. On peut bien sûr combiner avec CHAP plutôt que PAP.
cdt
En effet, mais CHAP n'utilise pas une fonction de hachage qui soit un
polynôme.
C'était une bonne fonction au départ (et pas faite par un dilettante dans
son garage), ça ne l'est plus.
autre question:
un pirate peut-il intercepter en temps réel un mot de passe?
Je veux dire que si le mot de passe de la victime pouvait changer automatiq uement,disons toutes le minutes,un pirate aurait-il le savoir et le temps p our l'intercepter et l'utiliser au bon moment?
Trop vague.
Une minute, c'est très long.