bonjour,
A quoi cela sert de crypter ses mots de passe sauf sinon de protéger leur
confidentialité?
N'y a-t-il pas moyen,un site,un outil qui changerait automatiquement et
dynamiquement un mot de passe?
merci de votre aide
bonjour,
A quoi cela sert de crypter ses mots de passe sauf sinon de protéger leur
confidentialité?
N'y a-t-il pas moyen,un site,un outil qui changerait automatiquement et
dynamiquement un mot de passe?
merci de votre aide
bonjour,
A quoi cela sert de crypter ses mots de passe sauf sinon de protéger leur
confidentialité?
N'y a-t-il pas moyen,un site,un outil qui changerait automatiquement et
dynamiquement un mot de passe?
merci de votre aide
Le lundi 25 janvier 2016 13:14:57 UTC+1, Nicolas George a écrit :MAIxxx , dans le message <n84v6o$h81$, a écrit :La fonction f peut être arithmétique quelconque, par exemple un polynôme.
Je ne crois pas que CHAP (RFC 1994) (PAP n'est pas sécurisé) ait été
inventé par un dilettante dans son garage.
En effet, mais CHAP n'utilise pas une fonction de hachage qui soit un
polynôme.Mais si MD5 n'est pas forcément une "bonne" fonction de hachage à vos
yeux
C'était une bonne fonction au départ (et pas faite par un dilettante dans
son garage), ça ne l'est plus.
autre question:
un pirate peut-il intercepter en temps réel un mot de passe?
Je veux dire que si le mot de passe de la victime pouvait changer
automatiquement,disons toutes le minutes,un pirate aurait-il le savoir et le
temps pour l'intercepter et l'utiliser au bon moment?
Le lundi 25 janvier 2016 13:14:57 UTC+1, Nicolas George a écrit :
MAIxxx , dans le message <n84v6o$h81$1@dont-email.me>, a écrit :
La fonction f peut être arithmétique quelconque, par exemple un polynôme.
Je ne crois pas que CHAP (RFC 1994) (PAP n'est pas sécurisé) ait été
inventé par un dilettante dans son garage.
En effet, mais CHAP n'utilise pas une fonction de hachage qui soit un
polynôme.
Mais si MD5 n'est pas forcément une "bonne" fonction de hachage à vos
yeux
C'était une bonne fonction au départ (et pas faite par un dilettante dans
son garage), ça ne l'est plus.
autre question:
un pirate peut-il intercepter en temps réel un mot de passe?
Je veux dire que si le mot de passe de la victime pouvait changer
automatiquement,disons toutes le minutes,un pirate aurait-il le savoir et le
temps pour l'intercepter et l'utiliser au bon moment?
Le lundi 25 janvier 2016 13:14:57 UTC+1, Nicolas George a écrit :MAIxxx , dans le message <n84v6o$h81$, a écrit :La fonction f peut être arithmétique quelconque, par exemple un polynôme.
Je ne crois pas que CHAP (RFC 1994) (PAP n'est pas sécurisé) ait été
inventé par un dilettante dans son garage.
En effet, mais CHAP n'utilise pas une fonction de hachage qui soit un
polynôme.Mais si MD5 n'est pas forcément une "bonne" fonction de hachage à vos
yeux
C'était une bonne fonction au départ (et pas faite par un dilettante dans
son garage), ça ne l'est plus.
autre question:
un pirate peut-il intercepter en temps réel un mot de passe?
Je veux dire que si le mot de passe de la victime pouvait changer
automatiquement,disons toutes le minutes,un pirate aurait-il le savoir et le
temps pour l'intercepter et l'utiliser au bon moment?
Le mercredi 20 janvier 2016 16:18:01 UTC+1, Nicolas George a écrit :MAIxxx , dans le message <n7mgbh$cb5$, a écrit :
> J'avais une solution simple : transformer le "mot de passe" en algorithme.
Tous les experts en sécurité s'accordent à dire que c'est une très mauvaise
idée. L'algorithme doit être bien connu pour être bien étudié et ne pas
avoir de failles, et s'il était compromis, il faudrait refaire l'étude.
Donc la bonne pratique, c'est un algorithme standard bien étudié et une clef
secrète générée de manière aussi libre que possible.
> Le serveur pose la question "mot de passe = ?" peut être remplacé par
> le serveur envoie une donnée aléatoire de connexion X
> Le client répond alors avec une donnée D=f(X). c'est une RFC existante
> si je me souviens bien mais limitée à une fonction spécifiée fixe.
C'est ce qu'on appelle authentification par challenge-réponse. Et oui,
chaque protocole utilise une fonction fixe (ou une petite liste de fonctions
autorisées), pour la raison ci-dessus.
> La fonction f peut être arithmétique quelconque, par exemple un polynôme.
Non. Pour qu'une fonction soit utilisable dans ce contexte, il faut que la
donnée de la valeur pour différentes entrées ne permette pas facilement de
déterminer la valeur pour une autre entrée. Si ce n'est pas le cas, un
espion qui a observé plusieurs échanges peut s'en servir pour
s'authentifier.
La plupart des fonctions qu'un dilettante peut inventer tout seul dans son
garage n'ont pas cette propriété, elles risquent même d'assez facilement
laisser reconstituer la clef elle-même.
je pensais qu'il existe ou existera un serveur intégré à chaque navigateur dans lequel l'intrusion serait impossible et qui retiendrait tous les mots de passe enregistrés et auto-changeables dynamiquement à une fréquence choisie,de telle manière qu'à chaque moment où l'internaute se connecte à un site avec son mot de passe(qui aura changé plusieurs fois auparavant et automatiquement),il l'utilisera.Si bien qu'aucun pirate ne pourrait rentrer dans un site puisqu'il n'aura jamais le temps de récupérer le bon mot de passe qui sera changé automatiquement,rapidement et à pludieurs reprises!
Cette technologie existe-t-elle déjà ou sera-t-elle un jour envisageable?
Le mercredi 20 janvier 2016 16:18:01 UTC+1, Nicolas George a écrit :
MAIxxx , dans le message <n7mgbh$cb5$1@dont-email.me>, a écrit :
> J'avais une solution simple : transformer le "mot de passe" en algorithme.
Tous les experts en sécurité s'accordent à dire que c'est une très mauvaise
idée. L'algorithme doit être bien connu pour être bien étudié et ne pas
avoir de failles, et s'il était compromis, il faudrait refaire l'étude.
Donc la bonne pratique, c'est un algorithme standard bien étudié et une clef
secrète générée de manière aussi libre que possible.
> Le serveur pose la question "mot de passe = ?" peut être remplacé par
> le serveur envoie une donnée aléatoire de connexion X
> Le client répond alors avec une donnée D=f(X). c'est une RFC existante
> si je me souviens bien mais limitée à une fonction spécifiée fixe.
C'est ce qu'on appelle authentification par challenge-réponse. Et oui,
chaque protocole utilise une fonction fixe (ou une petite liste de fonctions
autorisées), pour la raison ci-dessus.
> La fonction f peut être arithmétique quelconque, par exemple un polynôme.
Non. Pour qu'une fonction soit utilisable dans ce contexte, il faut que la
donnée de la valeur pour différentes entrées ne permette pas facilement de
déterminer la valeur pour une autre entrée. Si ce n'est pas le cas, un
espion qui a observé plusieurs échanges peut s'en servir pour
s'authentifier.
La plupart des fonctions qu'un dilettante peut inventer tout seul dans son
garage n'ont pas cette propriété, elles risquent même d'assez facilement
laisser reconstituer la clef elle-même.
je pensais qu'il existe ou existera un serveur intégré à chaque navigateur dans lequel l'intrusion serait impossible et qui retiendrait tous les mots de passe enregistrés et auto-changeables dynamiquement à une fréquence choisie,de telle manière qu'à chaque moment où l'internaute se connecte à un site avec son mot de passe(qui aura changé plusieurs fois auparavant et automatiquement),il l'utilisera.Si bien qu'aucun pirate ne pourrait rentrer dans un site puisqu'il n'aura jamais le temps de récupérer le bon mot de passe qui sera changé automatiquement,rapidement et à pludieurs reprises!
Cette technologie existe-t-elle déjà ou sera-t-elle un jour envisageable?
Le mercredi 20 janvier 2016 16:18:01 UTC+1, Nicolas George a écrit :MAIxxx , dans le message <n7mgbh$cb5$, a écrit :
> J'avais une solution simple : transformer le "mot de passe" en algorithme.
Tous les experts en sécurité s'accordent à dire que c'est une très mauvaise
idée. L'algorithme doit être bien connu pour être bien étudié et ne pas
avoir de failles, et s'il était compromis, il faudrait refaire l'étude.
Donc la bonne pratique, c'est un algorithme standard bien étudié et une clef
secrète générée de manière aussi libre que possible.
> Le serveur pose la question "mot de passe = ?" peut être remplacé par
> le serveur envoie une donnée aléatoire de connexion X
> Le client répond alors avec une donnée D=f(X). c'est une RFC existante
> si je me souviens bien mais limitée à une fonction spécifiée fixe.
C'est ce qu'on appelle authentification par challenge-réponse. Et oui,
chaque protocole utilise une fonction fixe (ou une petite liste de fonctions
autorisées), pour la raison ci-dessus.
> La fonction f peut être arithmétique quelconque, par exemple un polynôme.
Non. Pour qu'une fonction soit utilisable dans ce contexte, il faut que la
donnée de la valeur pour différentes entrées ne permette pas facilement de
déterminer la valeur pour une autre entrée. Si ce n'est pas le cas, un
espion qui a observé plusieurs échanges peut s'en servir pour
s'authentifier.
La plupart des fonctions qu'un dilettante peut inventer tout seul dans son
garage n'ont pas cette propriété, elles risquent même d'assez facilement
laisser reconstituer la clef elle-même.
je pensais qu'il existe ou existera un serveur intégré à chaque navigateur dans lequel l'intrusion serait impossible et qui retiendrait tous les mots de passe enregistrés et auto-changeables dynamiquement à une fréquence choisie,de telle manière qu'à chaque moment où l'internaute se connecte à un site avec son mot de passe(qui aura changé plusieurs fois auparavant et automatiquement),il l'utilisera.Si bien qu'aucun pirate ne pourrait rentrer dans un site puisqu'il n'aura jamais le temps de récupérer le bon mot de passe qui sera changé automatiquement,rapidement et à pludieurs reprises!
Cette technologie existe-t-elle déjà ou sera-t-elle un jour envisageable?
N'y a-t-il pas moyen,un site,un outil qui changerait automatiquement et
dynamiquement un mot de passe?
Le mieux est l'authentification à 3 facteurs dans ce cas (login + mot
de passe + one time password)
N'y a-t-il pas moyen,un site,un outil qui changerait automatiquement et
dynamiquement un mot de passe?
Le mieux est l'authentification à 3 facteurs dans ce cas (login + mot
de passe + one time password)
N'y a-t-il pas moyen,un site,un outil qui changerait automatiquement et
dynamiquement un mot de passe?
Le mieux est l'authentification à 3 facteurs dans ce cas (login + mot
de passe + one time password)
On Sat, 30 Jan 2016 04:23:09 +0100,
wrote:N'y a-t-il pas moyen,un site,un outil qui changerait automatiquement et
dynamiquement un mot de passe?
Le mieux est l'authentification à 3 facteurs dans ce cas (login + mot
de passe + one time password)
Il y a une solution login+pwd+OTP pour linux ?
Existe t il une solution type "RSA securid"
http://www.tokenguard.com/images/tokens/SID700.gif
mais qui coute pas un bras et pas bouré de pub ?
Le top en opensource et pour smartphone android.
On Sat, 30 Jan 2016 04:23:09 +0100, none@none.nowhere.xxx
<none@none.nowhere.xxx> wrote:
N'y a-t-il pas moyen,un site,un outil qui changerait automatiquement et
dynamiquement un mot de passe?
Le mieux est l'authentification à 3 facteurs dans ce cas (login + mot
de passe + one time password)
Il y a une solution login+pwd+OTP pour linux ?
Existe t il une solution type "RSA securid"
http://www.tokenguard.com/images/tokens/SID700.gif
mais qui coute pas un bras et pas bouré de pub ?
Le top en opensource et pour smartphone android.
On Sat, 30 Jan 2016 04:23:09 +0100,
wrote:N'y a-t-il pas moyen,un site,un outil qui changerait automatiquement et
dynamiquement un mot de passe?
Le mieux est l'authentification à 3 facteurs dans ce cas (login + mot
de passe + one time password)
Il y a une solution login+pwd+OTP pour linux ?
Existe t il une solution type "RSA securid"
http://www.tokenguard.com/images/tokens/SID700.gif
mais qui coute pas un bras et pas bouré de pub ?
Le top en opensource et pour smartphone android.
On Thu, 21 Jan 2016 12:21:24 -0800 (PST), marioski
wrote:Le mercredi 20 janvier 2016 16:18:01 UTC+1, Nicolas George a écrit :MAIxxx , dans le message <n7mgbh$cb5$, a écrit :J'avais une solution simple : transformer le "mot de passe" en algorithme.
Tous les experts en sécurité s'accordent à dire que c'est une très mauvaise
idée. L'algorithme doit être bien connu pour être bien étudié et ne pas
avoir de failles, et s'il était compromis, il faudrait refaire l'étude.
Donc la bonne pratique, c'est un algorithme standard bien étudié et une clef
secrète générée de manière aussi libre que possible.Le serveur pose la question "mot de passe = ?" peut être remplacé par
le serveur envoie une donnée aléatoire de connexion X
Le client répond alors avec une donnée D=f(X). c'est une RFC existante
si je me souviens bien mais limitée à une fonction spécifiée fixe.
C'est ce qu'on appelle authentification par challenge-réponse. Et oui,
chaque protocole utilise une fonction fixe (ou une petite liste de fonctions
autorisées), pour la raison ci-dessus.La fonction f peut être arithmétique quelconque, par exemple un polynôme.
Non. Pour qu'une fonction soit utilisable dans ce contexte, il faut que la
donnée de la valeur pour différentes entrées ne permette pas facilement de
déterminer la valeur pour une autre entrée. Si ce n'est pas le cas, un
espion qui a observé plusieurs échanges peut s'en servir pour
s'authentifier.
La plupart des fonctions qu'un dilettante peut inventer tout seul dans son
garage n'ont pas cette propriété, elles risquent même d'assez facilement
laisser reconstituer la clef elle-même.
je pensais qu'il existe ou existera un serveur intégré à chaque navigateur dans lequel l'intrusion serait impossible et qui retiendrait tous les mots de passe enregistrés et auto-changeables dynamiquement à une fréquence choisie,de telle manière qu'à chaque moment où l'internaute se connecte à un site avec son mot de passe(qui aura changé plusieurs fois auparavant et automatiquement),il l'utilisera.Si bien qu'aucun pirate ne pourrait rentrer dans un site puisqu'il n'aura jamais le temps de récupérer le bon mot de passe qui sera changé automatiquement,rapidement et à pludieurs reprises!
Cette technologie existe-t-elle déjà ou sera-t-elle un jour envisageable?
Moi j'utilise ce principe
https://fr.wikipedia.org/wiki/Mot_de_passe_%C3%A0_usage_unique
Mais bon, tu peux avoir une porte blindée, si tes murs sont en placo,
ça sert à rien. Donc "Jamais"....
On Thu, 21 Jan 2016 12:21:24 -0800 (PST), marioski
<warrencun-grp@yahoo.fr> wrote:
Le mercredi 20 janvier 2016 16:18:01 UTC+1, Nicolas George a écrit :
MAIxxx , dans le message <n7mgbh$cb5$1@dont-email.me>, a écrit :
J'avais une solution simple : transformer le "mot de passe" en algorithme.
Tous les experts en sécurité s'accordent à dire que c'est une très mauvaise
idée. L'algorithme doit être bien connu pour être bien étudié et ne pas
avoir de failles, et s'il était compromis, il faudrait refaire l'étude.
Donc la bonne pratique, c'est un algorithme standard bien étudié et une clef
secrète générée de manière aussi libre que possible.
Le serveur pose la question "mot de passe = ?" peut être remplacé par
le serveur envoie une donnée aléatoire de connexion X
Le client répond alors avec une donnée D=f(X). c'est une RFC existante
si je me souviens bien mais limitée à une fonction spécifiée fixe.
C'est ce qu'on appelle authentification par challenge-réponse. Et oui,
chaque protocole utilise une fonction fixe (ou une petite liste de fonctions
autorisées), pour la raison ci-dessus.
La fonction f peut être arithmétique quelconque, par exemple un polynôme.
Non. Pour qu'une fonction soit utilisable dans ce contexte, il faut que la
donnée de la valeur pour différentes entrées ne permette pas facilement de
déterminer la valeur pour une autre entrée. Si ce n'est pas le cas, un
espion qui a observé plusieurs échanges peut s'en servir pour
s'authentifier.
La plupart des fonctions qu'un dilettante peut inventer tout seul dans son
garage n'ont pas cette propriété, elles risquent même d'assez facilement
laisser reconstituer la clef elle-même.
je pensais qu'il existe ou existera un serveur intégré à chaque navigateur dans lequel l'intrusion serait impossible et qui retiendrait tous les mots de passe enregistrés et auto-changeables dynamiquement à une fréquence choisie,de telle manière qu'à chaque moment où l'internaute se connecte à un site avec son mot de passe(qui aura changé plusieurs fois auparavant et automatiquement),il l'utilisera.Si bien qu'aucun pirate ne pourrait rentrer dans un site puisqu'il n'aura jamais le temps de récupérer le bon mot de passe qui sera changé automatiquement,rapidement et à pludieurs reprises!
Cette technologie existe-t-elle déjà ou sera-t-elle un jour envisageable?
Moi j'utilise ce principe
https://fr.wikipedia.org/wiki/Mot_de_passe_%C3%A0_usage_unique
Mais bon, tu peux avoir une porte blindée, si tes murs sont en placo,
ça sert à rien. Donc "Jamais"....
On Thu, 21 Jan 2016 12:21:24 -0800 (PST), marioski
wrote:Le mercredi 20 janvier 2016 16:18:01 UTC+1, Nicolas George a écrit :MAIxxx , dans le message <n7mgbh$cb5$, a écrit :J'avais une solution simple : transformer le "mot de passe" en algorithme.
Tous les experts en sécurité s'accordent à dire que c'est une très mauvaise
idée. L'algorithme doit être bien connu pour être bien étudié et ne pas
avoir de failles, et s'il était compromis, il faudrait refaire l'étude.
Donc la bonne pratique, c'est un algorithme standard bien étudié et une clef
secrète générée de manière aussi libre que possible.Le serveur pose la question "mot de passe = ?" peut être remplacé par
le serveur envoie une donnée aléatoire de connexion X
Le client répond alors avec une donnée D=f(X). c'est une RFC existante
si je me souviens bien mais limitée à une fonction spécifiée fixe.
C'est ce qu'on appelle authentification par challenge-réponse. Et oui,
chaque protocole utilise une fonction fixe (ou une petite liste de fonctions
autorisées), pour la raison ci-dessus.La fonction f peut être arithmétique quelconque, par exemple un polynôme.
Non. Pour qu'une fonction soit utilisable dans ce contexte, il faut que la
donnée de la valeur pour différentes entrées ne permette pas facilement de
déterminer la valeur pour une autre entrée. Si ce n'est pas le cas, un
espion qui a observé plusieurs échanges peut s'en servir pour
s'authentifier.
La plupart des fonctions qu'un dilettante peut inventer tout seul dans son
garage n'ont pas cette propriété, elles risquent même d'assez facilement
laisser reconstituer la clef elle-même.
je pensais qu'il existe ou existera un serveur intégré à chaque navigateur dans lequel l'intrusion serait impossible et qui retiendrait tous les mots de passe enregistrés et auto-changeables dynamiquement à une fréquence choisie,de telle manière qu'à chaque moment où l'internaute se connecte à un site avec son mot de passe(qui aura changé plusieurs fois auparavant et automatiquement),il l'utilisera.Si bien qu'aucun pirate ne pourrait rentrer dans un site puisqu'il n'aura jamais le temps de récupérer le bon mot de passe qui sera changé automatiquement,rapidement et à pludieurs reprises!
Cette technologie existe-t-elle déjà ou sera-t-elle un jour envisageable?
Moi j'utilise ce principe
https://fr.wikipedia.org/wiki/Mot_de_passe_%C3%A0_usage_unique
Mais bon, tu peux avoir une porte blindée, si tes murs sont en placo,
ça sert à rien. Donc "Jamais"....