changer dynamiquement ses mots de passe

Le
marioski
bonjour,

A quoi cela sert de crypter ses mots de passe sauf sinon de protger leur=
confidentialit?

N'y a-t-il pas moyen,un site,un outil qui changerait automatiquement et dyn=
amiquement un mot de passe?


merci de votre aide
Vos réponses Page 2 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
none
Le #26387008
marioski a couché sur son écran :
bonjour,

A quoi cela sert de crypter ses mots de passe sauf sinon de protéger leur
confidentialité?



1/ Crypter ne veut rien dire, c'est un ignoble anglicisme
2/ les mots de passe ne sont pas chiffrés (sauf cas particulier de
stockage style keepass) mais transformés au moyen d'un algorithme non
reversible. Ainsi on peut vérifier un mot de passe mais on ne peut pas
le retrouver en cas de perte


N'y a-t-il pas moyen,un site,un outil qui changerait automatiquement et
dynamiquement un mot de passe?



Le mieux est l'authentification à 3 facteurs dans ce cas (login + mot
de passe + one time password)



merci de votre aide
none
Le #26387007
marioski a exprimé avec précision :
Le lundi 25 janvier 2016 13:14:57 UTC+1, Nicolas George a écrit :
MAIxxx , dans le message
La fonction f peut être arithmétique quelconque, par exemple un polynôme.




Je ne crois pas que CHAP (RFC 1994) (PAP n'est pas sécurisé) ait été
inventé par un dilettante dans son garage.



En effet, mais CHAP n'utilise pas une fonction de hachage qui soit un
polynôme.

Mais si MD5 n'est pas forcément une "bonne" fonction de hachage à vos
yeux



C'était une bonne fonction au départ (et pas faite par un dilettante dans
son garage), ça ne l'est plus.



autre question:
un pirate peut-il intercepter en temps réel un mot de passe?



oui

Je veux dire que si le mot de passe de la victime pouvait changer
automatiquement,disons toutes le minutes,un pirate aurait-il le savoir et le
temps pour l'intercepter et l'utiliser au bon moment?



one time password
La Norme Française c'est pas le FN
Le #26394640
On Thu, 21 Jan 2016 12:21:24 -0800 (PST), marioski

Le mercredi 20 janvier 2016 16:18:01 UTC+1, Nicolas George a écrit :
MAIxxx , dans le message > J'avais une solution simple : transformer le "mot de passe" en algorithme.

Tous les experts en sécurité s'accordent à dire que c'est une très mauvaise
idée. L'algorithme doit être bien connu pour être bien étudié et ne pas
avoir de failles, et s'il était compromis, il faudrait refaire l'étude.

Donc la bonne pratique, c'est un algorithme standard bien étudié et une clef
secrète générée de manière aussi libre que possible.

> Le serveur pose la question "mot de passe = ?" peut être remplacé par
> le serveur envoie une donnée aléatoire de connexion X
> Le client répond alors avec une donnée D=f(X). c'est une RFC existante
> si je me souviens bien mais limitée à une fonction spécifiée fixe.

C'est ce qu'on appelle authentification par challenge-réponse. Et oui,
chaque protocole utilise une fonction fixe (ou une petite liste de fonctions
autorisées), pour la raison ci-dessus.

> La fonction f peut être arithmétique quelconque, par exemple un polynôme.

Non. Pour qu'une fonction soit utilisable dans ce contexte, il faut que la
donnée de la valeur pour différentes entrées ne permette pas facilement de
déterminer la valeur pour une autre entrée. Si ce n'est pas le cas, un
espion qui a observé plusieurs échanges peut s'en servir pour
s'authentifier.

La plupart des fonctions qu'un dilettante peut inventer tout seul dans son
garage n'ont pas cette propriété, elles risquent même d'assez facilement
laisser reconstituer la clef elle-même.



je pensais qu'il existe ou existera un serveur intégré à chaque navigateur dans lequel l'intrusion serait impossible et qui retiendrait tous les mots de passe enregistrés et auto-changeables dynamiquement à une fréquence choisie,de telle manière qu'à chaque moment où l'internaute se connecte à un site avec son mot de passe(qui aura changé plusieurs fois auparavant et automatiquement),il l'utilisera.Si bien qu'aucun pirate ne pourrait rentrer dans un site puisqu'il n'aura jamais le temps de récupérer le bon mot de passe qui sera changé automatiquement,rapidement et à pludieurs reprises!
Cette technologie existe-t-elle déjà ou sera-t-elle un jour envisageable?



Moi j'utilise ce principe
https://fr.wikipedia.org/wiki/Mot_de_passe_%C3%A0_usage_unique

Mais bon, tu peux avoir une porte blindée, si tes murs sont en placo,
ça sert à rien. Donc "Jamais"....
--
« le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun)
C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme
La Norme Française c'est pas le FN
Le #26394649
On Sat, 30 Jan 2016 04:23:09 +0100,

N'y a-t-il pas moyen,un site,un outil qui changerait automatiquement et
dynamiquement un mot de passe?



Le mieux est l'authentification à 3 facteurs dans ce cas (login + mot
de passe + one time password)



Il y a une solution login+pwd+OTP pour linux ?
Existe t il une solution type "RSA securid"
http://www.tokenguard.com/images/tokens/SID700.gif
mais qui coute pas un bras et pas bouré de pub ?
Le top en opensource et pour smartphone android.
--
« le politiquement correct ne proclame pas la tolérance ; il ne fait qu'organiser la haine. » (Jacques Barzun)
C'est une doctrine obligatoire, qui n'est en réalité que l'expression la plus autoritaire du conformisme
none
Le #26394963
Le 04/04/2016, La Norme Française c'est pas le FN a supposé :
On Sat, 30 Jan 2016 04:23:09 +0100,

N'y a-t-il pas moyen,un site,un outil qui changerait automatiquement et
dynamiquement un mot de passe?



Le mieux est l'authentification à 3 facteurs dans ce cas (login + mot
de passe + one time password)



Il y a une solution login+pwd+OTP pour linux ?
Existe t il une solution type "RSA securid"
http://www.tokenguard.com/images/tokens/SID700.gif
mais qui coute pas un bras et pas bouré de pub ?
Le top en opensource et pour smartphone android.



J'imagine que ça doit être relativement facile via un radius (par ex
freeradius + motp)
MAIxxx
Le #26396696
Le 04/04/2016 19:58, La Norme Française c'est pas le FN a écrit :
On Thu, 21 Jan 2016 12:21:24 -0800 (PST), marioski

Le mercredi 20 janvier 2016 16:18:01 UTC+1, Nicolas George a écrit :
MAIxxx , dans le message
J'avais une solution simple : transformer le "mot de passe" en algorithme.



Tous les experts en sécurité s'accordent à dire que c'est une très mauvaise
idée. L'algorithme doit être bien connu pour être bien étudié et ne pas
avoir de failles, et s'il était compromis, il faudrait refaire l'étude.

Donc la bonne pratique, c'est un algorithme standard bien étudié et une clef
secrète générée de manière aussi libre que possible.

Le serveur pose la question "mot de passe = ?" peut être remplacé par
le serveur envoie une donnée aléatoire de connexion X
Le client répond alors avec une donnée D=f(X). c'est une RFC existante
si je me souviens bien mais limitée à une fonction spécifiée fixe.



C'est ce qu'on appelle authentification par challenge-réponse. Et oui,
chaque protocole utilise une fonction fixe (ou une petite liste de fonctions
autorisées), pour la raison ci-dessus.

La fonction f peut être arithmétique quelconque, par exemple un polynôme.



Non. Pour qu'une fonction soit utilisable dans ce contexte, il faut que la
donnée de la valeur pour différentes entrées ne permette pas facilement de
déterminer la valeur pour une autre entrée. Si ce n'est pas le cas, un
espion qui a observé plusieurs échanges peut s'en servir pour
s'authentifier.

La plupart des fonctions qu'un dilettante peut inventer tout seul dans son
garage n'ont pas cette propriété, elles risquent même d'assez facilement
laisser reconstituer la clef elle-même.



je pensais qu'il existe ou existera un serveur intégré à chaque navigateur dans lequel l'intrusion serait impossible et qui retiendrait tous les mots de passe enregistrés et auto-changeables dynamiquement à une fréquence choisie,de telle manière qu'à chaque moment où l'internaute se connecte à un site avec son mot de passe(qui aura changé plusieurs fois auparavant et automatiquement),il l'utilisera.Si bien qu'aucun pirate ne pourrait rentrer dans un site puisqu'il n'aura jamais le temps de récupérer le bon mot de passe qui sera changé automatiquement,rapidement et à pludieurs reprises!
Cette technologie existe-t-elle déjà ou sera-t-elle un jour envisageable?



Moi j'utilise ce principe
https://fr.wikipedia.org/wiki/Mot_de_passe_%C3%A0_usage_unique

Mais bon, tu peux avoir une porte blindée, si tes murs sont en placo,
ça sert à rien. Donc "Jamais"....



Je n'ai pas l'impression d'avoir été compris.
Le système challenge-réponse est déjà meilleur qu'un simple id+mdp.

Voyez la RFC 6287 ui n'est pas à proprement parler une spec mais un
cadre général pour une classe de système d'identification3


L'idée que j'avais est d'introduire dans les éléments challenge et
réponse des données aléatoires d''où le client ou le serveur peuvent
extraire à l'aide du "secret" les valeurs pertinentes. Autrement dit les
clés sont noyées dans du "bruit", ce qui rend malaisé sinon impossible
de "craquer" le système même avec la connaissance d'un grand nombre de
couples challenge-réponse.
Publicité
Poster une réponse
Anonyme