Generateur de mot de passe efficace ...

zut, j'ai oublié de dire que si le client est plutôt lunatique et perd
régulièrement son code 3 lettres ou 2 lettres, c'est plutôt salvateur...

Le Fri, 14 May 2004 09:34:08 +0000, Eric CHAPUZOT a écrit :

Ouep mais même si je rajoutais 20 caractères autorisés (encore faut-il
savoir lesquels)
ca ne ferait que compliquer la vie du client et pas celle du pirate...

J'ai compris, c'est du 2nd degré là.
On pourrait pas repasser à des réponses sérieuses ? Franchement. Parce
que bon, là, on frise la débilité crasse.

Sinon, passé un temps, j'avais fait un scrip shell qui me sortait 256
caractères de /dev/random, en faisait un MD5 et m'en sortait 10
caractères consécutifs pour le mdp.

--
Moi je dis : 3 lignes c'est suspect, c'est fait pour le GCU.
-+- SP in Guide du Neuneu sur Usenet : Allez hop ! Au GNoUf -+-

Merci à vous pour toutes ces réponses...

Après quelques tests je vais opter pour la solution openssl pour les
mots de passe critiques et apg pour les mots de passe prononcables.


Thks,
@+

'Jour tout le monde ! ;)


J'aurais besoin d'un bon générateur de mots de passe Windows ou Linux,
cad qui ne me sorte pas deux fois le même et dont la génération soit la
plus aléatoire possible...

Des idées ?


Thks.

tyuii <askme@ifyouwantit.com> wrote in message news:<c7vi8m$k43$1@news-reader5.wanadoo.fr>...

'Jour tout le monde ! ;)


J'aurais besoin d'un bon générateur de mots de passe Windows ou Linux,
cad qui ne me sorte pas deux fois le même et dont la génération soit la
plus aléatoire possible...

Des idées ?


Thks.

Je sais pas si c'est ce que tu cherchais mais j'ai fait un script perl
en 2 min pour générer des mots de passe sur Linux (que je crois
vraiment aléatoires quoique). En tout cas comme tu le vois dans le
script il prend les caractères ASCII de 33 à 126. De toute façon, le
Brute force de marchera pas sur un mot de passe crypté en MD5 avec une
graine pas comme sous NT.

#!/usr/bin/perl

use strict;

my $pass;
my $nbr;
my @chaine;

foreach $nbr ("33".."126")
{
push(@chaine, chr($nbr));
}
srand(time ^ $$ ^ unpack "%L*", `ps axww | gzip`);
for (my $i = 0; $i< 8; $i++) {
$pass .= $chaine[rand($#chaine)%$#chaine]
}
print "$passn";

"Eric Razny" <news_01@razny.net> a écrit dans le message de

Ensuite quel que soit le mot, à cause du faible choix de symbole, pour 6
caractères ça donne 26**6 soit 29 bits, ca va être du rapide à casser ça!

Ouep mais même si je rajoutais 20 caractères autorisés (encore faut-il
savoir lesquels)
ca ne ferait que compliquer la vie du client et pas celle du pirate...

C'est une blague ? Si un mot de passe du type ~#'_`- n'est certainement
pas viable pour le problème que tu exposes, tr6gh+ l'est tout à fait
pour un esprit humain normalement constitué.

Et pour information j'ai l'experience des utilisateurs refractaires qui
ne sont pas du tout enclin à accepter ce type de mot de passe, mais: 1.
ils s'habituent, 2. la sécurité est un élément trop important pour ne la
laisser qu'au seul desire de l'utilisateur. Sinon on ne parle pas de
sécurité ...

d'ailleurs, la solution raisonnable de 4 lettres est normalement
suffisamment suffisante

quelqu'un en train de bidouiller des codes sur ton clavier afin d'avoir
accès à ce qu'il n'a pas droit se fera forcément au moins remarquer... même
sur du long terme.

Bon c'est sur c'est une blague ou je n'ai pas suivi ...

que dire des cartes bancaires alors qui elles ne réclament que 4 chiffres ?

Heu il y a quand même grosse différence ta carte au bout de X erreurs
est retenue dans le DAB ou detruite. Après il te faut une identification
visuelle pour la recupérer (mais bon je ne t'apprends rien), donc le
schéma sécuritaire n'est le même, car tout n'est pas basé sur 'le mot de
passe' de ta carte, mais sur la pair carte + mot de passe.

Dans le cas d'un accès informatique l'essentiel repose sur le mot de
passe (à partir du moment ou l'application et l'implentation du système
de sécurité est bien implanté).

puis, je ne sais pas si toi, tu n'as jamais eu cette angoisse de te
retrouver devant une page web qui veut un pass mais que tu n'aurais pas déjà
utilisé ailleurs de multiples fois...
grâce à ca, on peut passer aisément des degré de sécurité...

Alors je n'ai pas bien compris, mais j'imagine que tu fais référence au
fait que l'on utilise plusieurs fois le même mot de passe sur différents
sites. Et bien c'est effectivement facheux et difficilement controlable,
mais c'est pour celà que dans une politique de sécurité il n'y a pas que
le format de celui-ci mais en plus d'autres paramètres comme la
periodicité du changement du mot de passe etc ...

et j'ai plusieurs fois expérimenté que l'inconscience arrive à tout
débloquer comme codes en moins de temps que l'on aurait imaginé... au point
d'entrer dans un laboratoire universitaire réglementé avec ma carte de
photocopieuse au lieu de la carte magnétique(véridique)

Oui mais si on suit ton raisonnement à ce moment là, parceque des
personnes ont un raisonnement proche du tien, rien ne sert de mettre un
mot de passe n'est ce pas ?

Cordialement,
--
RAKOTOMALALA RENAUD
W-CONSULTING http://www.w-consulting.fr
Librenet Network http://www.librenet.net
InsideNetworks http://www.insidenetworks.net

"RAKOTOMALALA Renaud" <renaud+news@w-consulting.fr> a écrit dans le message
de

Oui mais si on suit ton raisonnement à ce moment là, parceque des
personnes ont un raisonnement proche du tien, rien ne sert de mettre un
mot de passe n'est ce pas ?

j'espère que ma formulation va respecter la charte cette fois, paske ca

m'énerve de taper des posts pour les voir refusés...
les mots de passes, c'est bon si la technologie en face n'est pas trop
agressive...
exemple : pour quelqu'un qui va utiliser DOS, le mot de passe utilisateur de
WINDOWS n'a pas son sens.

un code régulier face à un code bourré d'exceptions n'a pas sa chance non
plus.

le pirate est par nature un tricheur, et les triches, ce n'est pas ce qui
manque dans la nature... (©Échap)

vu du DOS, un texte écrit par un idiot d'utilisateur Windows, ne sera pas
crypté automatiquement... ni d'ailleurs vu du clavier, ni de l'écran et de
pas mal d'autres périphériques...

c'est très proche de quand un prestidigitateur exécute un tour de magie ;
même de très près devant tes yeux, tu ne vois rien ou pas grand chose... une
rondelle de plus sur le fil du clavier, une camionette banalisée dans la
rue, une eprom insérée de plus dans une imprimante, que sais-je encore...

pire encore, un mot de passe est un moyen de détourner l'attention et de
faire baisser la vigilance de l'utilisateur...

je ne citerais que la fausse page demandant de bien vouloir ressaisir son
code...

Bref, oui, face à un pirate motivé et ingénieux, un code, ca sert à rien...

(moi ce doit être surtout le côté motivé qui me manque le plus...)

Cordialement,
--
(Glups, tu me fais penser que j'ai encore beaucoup à bosser dans la théorie

des cordes)

Amicalement --- É.chap.

RAKOTOMALALA RENAUD
W-CONSULTING http://www.w-consulting.fr
Librenet Network http://www.librenet.net
InsideNetworks http://www.insidenetworks.net

t'en as une de ces chances, on accepte que tu donnes tes liens...

Eric CHAPUZOT wrote:

"RAKOTOMALALA Renaud" <renaud+news@w-consulting.fr> a écrit dans le
message de

Oui mais si on suit ton raisonnement à ce moment là, parceque des
personnes ont un raisonnement proche du tien, rien ne sert de mettre
un mot de passe n'est ce pas ?

j'espère que ma formulation va respecter la charte cette fois, paske

ca m'énerve de taper des posts pour les voir refusés...

La charte est simple, claire et faite pour tout le monde. Sur les deux posts
que tu viens d'envoyer je viens d'en refuser un et si tu prends le temps de
lire la réponse tu verra qu'il n'y a pas photo.

les mots de passes, c'est bon si la technologie en face n'est pas trop
agressive...

Avec un bon mot de passe -en supposant que le logiciel s'en serve
correctement,- la seule technique qui marche à ma connaissance est
l'interception du mot de passe (key logger, pose de caméra, torture...). Je
m'inscris donc totalement en faux. C'est du pur FUD. (bon ok, du mauvais FUD
puisque loin d'être convainquant)

exemple : pour quelqu'un qui va utiliser DOS, le mot de passe
utilisateur de WINDOWS n'a pas son sens.

Et le mot de passe de ma machine ne sert pas à grand chose au DAB de ma
banque! Je n'arrive toujours pas à comprendre si c'est un troll ou de la
mal-compréhension (tiens, je fait dans le politiquement correct le samedi
maintenant!)

un code régulier face à un code bourré d'exceptions n'a pas sa chance
non plus.

Voici une phrase qui ne veut rien dire. Tu écris toi même ou c'est du
pipotron?

Je n'ai même pas pris la peine de répondre à ton précédent post mais :

code de 6 caractères parmis 26 majuscules : 29 bits
code code de 6 caractères parmis 26 majuscules + 26 minuscules + 10 chiffres
(même pas de caractère spéciaux) : 36 bits
Différence : 7 bits, soit 128 fois plus de combinaisons, 128 fois plus de
temps pour trouver le code par recherche exhaustive (est-il utile de
préciser que 6 caractères ne suffiront pas pour une protection efficace)

Ca ce sont des maths, pas un délire.

le pirate est par nature un tricheur, et les triches, ce n'est pas ce
qui manque dans la nature... (©Échap)

Et alors?
Raisonnement du même type : un voleur n'est pas honnête, il triche d'une
certaine manière. *Donc* je ne ferme pas ma maison à clef et je laisse les
vitres ouvertes. Super comme raisonnement. Tu ne vois pas un problème la?

vu du DOS, un texte écrit par un idiot d'utilisateur Windows, ne sera
pas crypté automatiquement... ni d'ailleurs vu du clavier, ni de
l'écran et de pas mal d'autres périphériques...

Je dois être mal réveillé mais sommes nous dans le même univers-bulle (bon,
ce serait plutôt une M-brane ces derniers temps mais bon...).
Accessoirement si tu parle de jeux de caractères je te fais remarquer que
c'est DOS qui n'utilise pas de code ISO...
En plus ton a priori annoncé sur l'utilisateur Windows est édifiant : toute
ton "argumentation" repose sur une succession d'a priori ne reposant sur
aucun fait.

c'est très proche de quand un prestidigitateur exécute un tour de
magie ; même de très près devant tes yeux, tu ne vois rien ou pas
grand chose... une rondelle de plus sur le fil du clavier, une
camionette banalisée dans la rue, une eprom insérée de plus dans une
imprimante, que sais-je encore...

Ca devient (non reste!) lourd. Même en te suivant dans ton délire, sous
prétexte que *potentiellement* si les DST/NSA/JamesBondClub sont aptes à
pieger quelqu'un tous les utilisateurs ne doivent plus se protéger
efficacement contre l'immense majorité des problèmes potentiels.

Si c'est ça ta vision de la sécurité effectivement nous n'avons pas la même.
Et je plainds sérieusement ceux qui suivraient tes conseils :(

pire encore, un mot de passe est un moyen de détourner l'attention et
de faire baisser la vigilance de l'utilisateur...

Tu es sur que tu as vu le monde réel récement?

je ne citerais que la fausse page demandant de bien vouloir ressaisir
son code...

Qui a dit qu'un passwd protège de tout???
N'importe qui lisant ce forum pendant quelque semaines ne peut que constater
qu'il n'existe pas de sécurité absolue et que cette dernière relève de
l'agencement précis de différentes méthodes/technique.

De plus tu contredis toi même tes déclarations précédentes : à ton avis,
pourquoi le gars qui construit la page veut un mot de passe? Capito?

Bref, oui, face à un pirate motivé et ingénieux, un code, ca sert à
rien...

Faux.

(moi ce doit être surtout le côté motivé qui me manque le plus...)

Je ne vais certainement pas te faire plaisir mais il me semble que ce ne
soit pas ça...

Eric

--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.

Avec un bon mot de passe -en supposant que le logiciel s'en serve
correctement,- la seule technique qui marche à ma connaissance est
l'interception du mot de passe (key logger, pose de caméra, torture...).
Je

m'inscris donc totalement en faux.

j'ai eu la même discussion, il y a 20 ans à l'université :
tout dépend de la couche logicielle et des points d'entrées du pirate(en
l'occurence, je me suis prêté au rôle du pirate et j'ai fait des vertes et
des pas mûres, en plus on m'en a apprises que j'aurais même pas imaginées)
j'en ai retenu essentiellement :
1)contourner brutalement un cryptage comme tu voudrais l'imaginer n'est
généralement pas réalisable... à moins d'être franchement initié à ce
cryptage.
2) au moment de la conception et du décryptage, il y a énormément de failles
qui ne seront jamais éliminées : aucun logiciel ne prévoit l'effacement
systématique des contenus des variables utilisés par les éditeurs de ces
documents --> il reste beaucoup d'images dans la mémoire de l'ordinateur
central du document non-crypté, et y a qu'à se servir avec une simple
recherche d'un mot-clé en mémoire.
3)on peut décrypter des documents sans même en connaitre le code.

Différence : 7 bits, soit 128 fois plus de combinaisons, 128 fois plus de
temps pour trouver le code par recherche exhaustive (est-il utile de
préciser que 6 caractères ne suffiront pas pour une protection efficace)

Ca ce sont des maths, pas un délire.

allez, montes, montes... ca ne s'arrêtera pas. Tu peux imaginer un code avec
2 millions de caractères et la protection ne sera quand même pas efficace.
Deux-trois fois, il m'est arrivé de casser du code à 26 caractères en moins
d'une demie-heure. Pourquoi ? paske l'assembleur ca va très vite...et en
plus avec des méthodes d'accélération, ca va encore plus vite

Raisonnement du même type : un voleur n'est pas honnête, il triche d'une
certaine manière. *Donc* je ne ferme pas ma maison à clef et je laisse les
vitres ouvertes. Super comme raisonnement. Tu ne vois pas un problème la?

Oui, tu vis dans une bulle, la première épine de passage peut tout faire
éclater...
(hihi, ca aussi, ce n'est qu'un parallèle, que je souhaite éminent faux)

Sous windows, le gars qui prend soin dans sa session bien protégée qu'il
croit par son mot-de-passe personnel de faire un fichier
Cadeaux_de_Noel_des_enfants.doc ne se doute pas que son gosse en
rentrant va cliquer dans "fichiers récents" et pan foutre parterre toute sa
belle stratégie de secret...

pire encore le gosse est malin et le papa a pensé à bien crypter son
fichier... il demande simplement Cadeaux_de_Noel_des_enfants.bak et pan,
encore tout faux....

comme je n'aime pas donner des mauvaises idées et grimper dans des escalades
à faire peur, j'arrête ici mais y aurait une suite ultra-longue... quelqu'un
de bien inspiré pourrait sans doute écrire "les mille-et-une manières
d'aller retrouver un texte crypté dans les fichiers temporaires et buffers
oubliés"

de conclure, une maison est cambriolable, un ordinateur est piratable...
même après 10 mots de passe

Le Sat, 15 May 2004 22:39:05 +0000, Eric CHAPUZOT a écrit :

de conclure, une maison est cambriolable, un ordinateur est piratable...
même après 10 mots de passe

Sauf que sans mot de passe, où avec les tiens de 4 caractères, c'est
immédiat. Avec un vrai mot de passe, il faut plus de temps ou trouver un
autre moyen qui demandera des connaissances un peu plus pointues. Ce n'est
pas parce qu'un système est piratable qu'il ne fait pas le protéger.

Et puisque tu as l'air de t'y connaître en assembleur qui va vite pour
casser 26 caractères, voilà un password hashé MD5 de 14 caractères
seulement, qu'un être humain normalement constitué peut retenir sans
soucis :

toto:$1$AYGe0odf$7X3Cwh8/wvqOqBrCza.7Z/:12553:0:99999:7:::

Bon courage...

Et pour les conneries :

Sous windows, le gars qui prend soin dans sa session bien protégée
qu'il croit par son mot-de-passe personnel de faire un fichier
Cadeaux_de_Noel_des_enfants.doc ne se doute pas que son gosse en
rentrant va cliquer dans "fichiers récents" et pan foutre parterre
toute sa belle stratégie de secret...

Si le papa et le fils ont leur session propre, les documents de l'un
n'apparaissent pas dans le "fichiers récents" de l'autre. Si en outre ils
utilisent un Windows genre XP Family, les documents de papa ne sont pas
accessibles depuis le compte de son fils, sauf s'il les place dans le
répertoire de partage local... Bref, bon voilà. Win9x/ME, c'est un peu
dépassé, et sur le plan de la sécurité, ça ne vaut rien, mais tout le
monde le sait. Depuis 20 ans, on a fait des progrès chez MS...

pire encore le gosse est malin et le papa a pensé à bien crypter son
fichier... il demande simplement Cadeaux_de_Noel_des_enfants.bak et pan,
encore tout faux....

Idem que au dessus.

Mais évidemment, si papa laisse son petit utiliser sa propre session...
Mais on tombe dans le problème d'éducation de l'utilisateur, qui est un
autre volet de la sécurité.

comme je n'aime pas donner des mauvaises idées et grimper dans des
escalades à faire peur, j'arrête ici mais y aurait une suite
ultra-longue...

Tu crois que tu as fait peur à quelqu'un avec ces idioties ?

quelqu'un de bien inspiré pourrait sans doute écrire "les mille-et-une
manières d'aller retrouver un texte crypté dans les fichiers
temporaires et buffers oubliés"

Encore faut-il que les fichiers temporaires en question soient
accessibles, quand ils existent.

Ah, j'oubliais, pour faire une recherche en mémoire, il faut être
superutilisateur. Et si tu es superutilisateur et que tu as envie
d'espionner tes utilisateurs, y'a des moyens nettement plus simple que de
faire "une simple recherche en mémoire". Et pour les documents qu'on peut
"décrypter sans connaître le code" (joli pléonasme au passage), il
faudrait peut-être aussi considérer que les outils cryptographiques
largement distribués aujourd'hui (genre PGP) ne me semble guère
attaquables en dehors du cassage de la passphrase. D'ailleurs, quand on
veut casser un zip chiffré par exemple, on casse le mot de passe...


--
Je m'appele syberbob, je voudrait savoir s'il est possible de flachez
mon modem ? Mon modem est un ROCKWELL 14400 Btp, et il n'et
pas prévu pour les norme V90.
-+- Syberbob in: GNU - J'me suis fait flacher à 14000 BTP -+-

"Cedric Blancher" <blancher@cartel-securite.fr> a écrit dans le message de

Si le papa et le fils ont leur session propre, les documents de l'un
n'apparaissent pas dans le "fichiers récents" de l'autre. Si en outre ils
utilisent un Windows genre XP Family, les documents de papa ne sont pas
accessibles depuis le compte de son fils, sauf s'il les place dans le
répertoire de partage local... Bref, bon voilà. Win9x/ME, c'est un peu
dépassé, et sur le plan de la sécurité, ça ne vaut rien, mais tout le
monde le sait. Depuis 20 ans, on a fait des progrès chez MS...

je n'ai pas encore mis windows XP sur mon ordi donc je n'ai pas testé encore
les manips dont tu causes.
Ca m'a valu de pouvoir survivre à Sasser.
d'ailleurs, je suppose que les sessions protégées par des mots-de-passe
différents n'affichent pas les fichiers récents des autres. Mais il faut
voir le côté réel et pratique de ce qui ce passe dans la vie courante, en
famille et en petites entreprises...

généralement, chacun a son poste fixe, papa et fiston, patron et employé...
mais y a pas trente-six mille sessions et mots-de-passe : y a la session
commune et une ou deux sections auxquelles on accède que si on a le
mot-de-passe adéquat... fiston ou l'employé, même pas très futé, trouve très
vite le moyen de contourner ces mots-de-passe (ils existent et pour des
raisons évidentes, je ne vais pas en faire une énumération... et non, c'est
pas du délire), qui à la limite ne font que faire perdre du temps à papa ou
au patron.

Déjà sous windows 98, impossible de rendre invisible un fichier à MS-DOS et
fo pas être super-utilisateur pour avoir "accès à toute la mémoire"(recours
des derniers suicidaires)

Fort à parier que c'est strictement identique sous XP.

De même sous les autres systèmes, y a toujours les couches de commandes
premières qui ouvriront sur le principe du troyen tout le reste grâce à un
programme "assembleur"... quand ce n'est pas le super-utilisateur, tellement
fier (ou tellement dépassé) de ses commandes qu'il en fait des exposés plus
détaillés que , sans lui, le pirate n'aurait lui-même pu jamais comprendre.

D'ailleurs, ce n'est pas un secret terrible, on sait tous qu'il existe un
niveau 2 de la piraterie qui est bien le social-engeniering et le
psycho-engeniering... et y a déjà vingt ans, on parlait déjà sérieusement
d'équipes pour mettre au point des virus psychologiques efficaces... de ma
connaissance, jamais vu, mais je veux bien croire que l'armée n'a pas craché
sur une telle éventualité.