[gentoo-user-fr] Algorithme de chiffrage des mots de passe.
26 réponses
Christophe Garault
Bonjour,
Voici une question que je ne m'étais jamais posé jusqu'ici, mais qui
depuis l'installation d'une SuSE me turlupine sérieusement: comment sont
chiffrés les mots de passe utilisateurs sous Gentoo? Il se trouve
qu'avec la SuSE ont a le choix entre: DES, MD5 plus un autre que j'ai
oublié (interface GUI alors que sous Gentoo je n'utilise que la CLI).
Je viens de faire quelques lectures (Shadow-password-Howto et le man de
crypt) mais sans que celà ne m'aide à répondre à ma question. Bien au
contraire, il semblerait que DES sur des des mots de passe de 16
caractères soit encore moins sûr. J'ai pensé trouver la réponse dans le
fichier login.defs mais sans succès.
Quelqu'un saurait-il comment est implémenté le chiffrage des mots de
passe, et éventuellement comment sélectionner l'algo de chiffrage?
Merci d'avance et bonne journée à tous.
--
Christophe Garault
Take your marks:
Gen too three: Emerge!
Le Wed, Jul 20, 2005 at 03:58:17PM +0200, Christophe Garault a écrit:
>Depuis quand est-ce que Thunderbird est un vrai MUA ? Depuis toujours si on le compare à gmail.
Et pourquoi pas à OE, voire à emacs (l'OS qui s'est pris pour un MUA un jour), pendant que tu y es ?
>Thunderbird est juste une application permettant d'afficher >correctement les mails en html dégueux que plein de >newsletters envoient, non ? Non. Et puis tout le monde n'a pas forcément envie de se mettre à eMacs ou à Mutt. Je parierai que tu utilises Pine pour Usenet toi non?
Ça va pas, non ? J'utilise slrn, évidemment. J'utilise ma pine pour heu oui bon, elle est où la sortie ?
Arnaud. (PS: regarde le sujet, quand même, hein) -- Perso: http://launay.org/blog/ Consulting: http://www.cusae.com/ Hébergement: http://www.nocworld.com/ -- mailing list
Le Wed, Jul 20, 2005 at 03:58:17PM +0200, Christophe Garault a écrit:
>Depuis quand est-ce que Thunderbird est un vrai MUA ?
Depuis toujours si on le compare à gmail.
Et pourquoi pas à OE, voire à emacs (l'OS qui s'est pris pour un
MUA un jour), pendant que tu y es ?
>Thunderbird est juste une application permettant d'afficher
>correctement les mails en html dégueux que plein de
>newsletters envoient, non ?
Non. Et puis tout le monde n'a pas forcément envie de se mettre à eMacs
ou à Mutt. Je parierai que tu utilises Pine pour Usenet toi non?
Ça va pas, non ? J'utilise slrn, évidemment. J'utilise ma pine
pour heu oui bon, elle est où la sortie ?
Arnaud.
(PS: regarde le sujet, quand même, hein)
--
Perso: http://launay.org/blog/
Consulting: http://www.cusae.com/
Hébergement: http://www.nocworld.com/
--
gentoo-user-fr@gentoo.org mailing list
Le Wed, Jul 20, 2005 at 03:58:17PM +0200, Christophe Garault a écrit:
>Depuis quand est-ce que Thunderbird est un vrai MUA ? Depuis toujours si on le compare à gmail.
Et pourquoi pas à OE, voire à emacs (l'OS qui s'est pris pour un MUA un jour), pendant que tu y es ?
>Thunderbird est juste une application permettant d'afficher >correctement les mails en html dégueux que plein de >newsletters envoient, non ? Non. Et puis tout le monde n'a pas forcément envie de se mettre à eMacs ou à Mutt. Je parierai que tu utilises Pine pour Usenet toi non?
Ça va pas, non ? J'utilise slrn, évidemment. J'utilise ma pine pour heu oui bon, elle est où la sortie ?
Arnaud. (PS: regarde le sujet, quand même, hein) -- Perso: http://launay.org/blog/ Consulting: http://www.cusae.com/ Hébergement: http://www.nocworld.com/ -- mailing list
Christophe Garault
Arnaud Launay a écrit :
Arnaud. (PS: regarde le sujet, quand même, hein)
J'avais bien vu, mais j'ai crû que c'était adressé en privé. Faut dire qu'à mon age, 8h de sommeil en 2 nuits c'est vraiment insuffisant.
-- # uname -a Christophe Garault # myuptime 16:49:51 up 16323 days, 7:19
-- mailing list
Arnaud Launay a écrit :
Arnaud.
(PS: regarde le sujet, quand même, hein)
J'avais bien vu, mais j'ai crû que c'était adressé en privé. Faut dire
qu'à mon age, 8h de sommeil en 2 nuits c'est vraiment insuffisant.
--
# uname -a
Christophe Garault
# myuptime
16:49:51 up 16323 days, 7:19
et autre petite correction le nom correct est "chiffrement" et non pas "chiffrage" (chiffrage c'est pour un devis ;-)
Oulà, oui merci. ;)
Je crois que pour Gentoo la seule solution retenue est l'algorithme MD5.
Ok, je vais donc regarder les sources de près pour y voir plus clair (qui m'a traité de presbyte?) Je n'ai d'ailleurs toujours pas très bien compris le rôle de la fonction 'crypt'.
Pour reconnaître l'algorithme utilisé : si l'empreinte commence par $1$ c'est du MD5, si elle commence par $2a$ c'est du Blowfish.
Merci, j'étais bien au courant pour tout le reste sauf pour ça, je garde ton email sous le coude. Mais puisque tu as l'air de connaitre le processus, n'y a-t-il donc plus de 'sel' à ajouter au mot de passe avant de vérifier que la fonction de hash retourne le même résultat? Dans le Howto ils indiquent qu'avec le même mot de passe on peut avoir jusqu'à 4096 résultats différent en fonction du 'sel'. Aurais-tu une info à ce sujet là ? Est-ce que la suite shadow a évolué depuis?
Merci.
PS: pour les collision MD5 j'ai suivi d'assez prêt et je crois qu'un chercheur (EPFL il me semble) a réussi à modifier le contenu d'un texte tout en produisant le même résultat MD5 (Article paru sur /. il y a quelques semaines). Toutefois il y a quelques mois un drôle de zygomar avait fait hurler de rire la communauté de fr.comp.sécurité en disant que des collisions MD5 étaient à prévoir. AMHA il faudra s'attendre tôt ou tard à voir MD5 et SHA1 (cassé aussi) tomber sous les coups de boutoir répétés des chercheurs en cryptanalyse/cryptographie. Et puis avec les rainbow tables, on est plus à l'abri de rien!
-- Christophe Garault Take your marks: Gen too three: Emerge!
-- mailing list
Laurent Jourden a écrit :
et autre petite correction le nom correct est
"chiffrement" et non pas "chiffrage" (chiffrage c'est pour un devis ;-)
Oulà, oui merci. ;)
Je crois que pour Gentoo la seule solution retenue est l'algorithme MD5.
Ok, je vais donc regarder les sources de près pour y voir plus clair
(qui m'a traité de presbyte?)
Je n'ai d'ailleurs toujours pas très bien compris le rôle de la fonction
'crypt'.
Pour reconnaître l'algorithme utilisé : si l'empreinte commence par $1$
c'est du MD5, si elle commence par $2a$ c'est du Blowfish.
Merci, j'étais bien au courant pour tout le reste sauf pour ça, je garde
ton email sous le coude. Mais puisque tu as l'air de connaitre le
processus, n'y a-t-il donc plus de 'sel' à ajouter au mot de passe avant
de vérifier que la fonction de hash retourne le même résultat? Dans le
Howto ils indiquent qu'avec le même mot de passe on peut avoir jusqu'à
4096 résultats différent en fonction du 'sel'. Aurais-tu une info à ce
sujet là ? Est-ce que la suite shadow a évolué depuis?
Merci.
PS: pour les collision MD5 j'ai suivi d'assez prêt et je crois qu'un
chercheur (EPFL il me semble) a réussi à modifier le contenu d'un texte
tout en produisant le même résultat MD5 (Article paru sur /. il y a
quelques semaines). Toutefois il y a quelques mois un drôle de zygomar
avait fait hurler de rire la communauté de fr.comp.sécurité en disant
que des collisions MD5 étaient à prévoir. AMHA il faudra s'attendre tôt
ou tard à voir MD5 et SHA1 (cassé aussi) tomber sous les coups de
boutoir répétés des chercheurs en cryptanalyse/cryptographie. Et puis
avec les rainbow tables, on est plus à l'abri de rien!
--
Christophe Garault
Take your marks:
Gen too three: Emerge!
et autre petite correction le nom correct est "chiffrement" et non pas "chiffrage" (chiffrage c'est pour un devis ;-)
Oulà, oui merci. ;)
Je crois que pour Gentoo la seule solution retenue est l'algorithme MD5.
Ok, je vais donc regarder les sources de près pour y voir plus clair (qui m'a traité de presbyte?) Je n'ai d'ailleurs toujours pas très bien compris le rôle de la fonction 'crypt'.
Pour reconnaître l'algorithme utilisé : si l'empreinte commence par $1$ c'est du MD5, si elle commence par $2a$ c'est du Blowfish.
Merci, j'étais bien au courant pour tout le reste sauf pour ça, je garde ton email sous le coude. Mais puisque tu as l'air de connaitre le processus, n'y a-t-il donc plus de 'sel' à ajouter au mot de passe avant de vérifier que la fonction de hash retourne le même résultat? Dans le Howto ils indiquent qu'avec le même mot de passe on peut avoir jusqu'à 4096 résultats différent en fonction du 'sel'. Aurais-tu une info à ce sujet là ? Est-ce que la suite shadow a évolué depuis?
Merci.
PS: pour les collision MD5 j'ai suivi d'assez prêt et je crois qu'un chercheur (EPFL il me semble) a réussi à modifier le contenu d'un texte tout en produisant le même résultat MD5 (Article paru sur /. il y a quelques semaines). Toutefois il y a quelques mois un drôle de zygomar avait fait hurler de rire la communauté de fr.comp.sécurité en disant que des collisions MD5 étaient à prévoir. AMHA il faudra s'attendre tôt ou tard à voir MD5 et SHA1 (cassé aussi) tomber sous les coups de boutoir répétés des chercheurs en cryptanalyse/cryptographie. Et puis avec les rainbow tables, on est plus à l'abri de rien!
-- Christophe Garault Take your marks: Gen too three: Emerge!
-- mailing list
kakou
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Christophe Garault wrote:
kakou a écrit :
just eune remarque : les mots de passe ne sont pas chiffrer ni crypter mais hasher
Ah, c'est pas plutôt cachés? ;-) Sinon, crypté n'étant effectivement pas approprié et hashé pas très français, on dira encodé:
Le mot de passe est enregistré dans un format /encrypté/. Si vous
demandez à un expert en cryptographie,
il (ou elle) vous répondra que le mot de passe n'est pas /encrypté/
mais /encodé/.
(extrait du Shadow-Password-HOWTO-2)
Voilà, fin du quadricapillotractage. :)
oui c'est vrai que hashé n'est pas très francais, mais c'etait juste pour bien faire la différence entre le cryptage (cle sym/asym ...) et le hashage (MD5, SHA, ..) -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.1 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
just eune remarque : les mots de passe ne sont pas chiffrer ni crypter
mais hasher
Ah, c'est pas plutôt cachés? ;-)
Sinon, crypté n'étant effectivement pas approprié et hashé pas très
français, on dira encodé:
Le mot de passe est enregistré dans un format /encrypté/. Si vous
demandez à un expert en cryptographie,
il (ou elle) vous répondra que le mot de passe n'est pas /encrypté/
mais /encodé/.
(extrait du Shadow-Password-HOWTO-2)
Voilà, fin du quadricapillotractage. :)
oui c'est vrai que hashé n'est pas très francais, mais c'etait juste
pour bien faire la différence
entre le cryptage (cle sym/asym ...) et le hashage (MD5, SHA, ..)
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
just eune remarque : les mots de passe ne sont pas chiffrer ni crypter mais hasher
Ah, c'est pas plutôt cachés? ;-) Sinon, crypté n'étant effectivement pas approprié et hashé pas très français, on dira encodé:
Le mot de passe est enregistré dans un format /encrypté/. Si vous
demandez à un expert en cryptographie,
il (ou elle) vous répondra que le mot de passe n'est pas /encrypté/
mais /encodé/.
(extrait du Shadow-Password-HOWTO-2)
Voilà, fin du quadricapillotractage. :)
oui c'est vrai que hashé n'est pas très francais, mais c'etait juste pour bien faire la différence entre le cryptage (cle sym/asym ...) et le hashage (MD5, SHA, ..) -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.1 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
Oui ca sent bien le troll par ici ;) meme les insultes ... menfin jurer n'aide pas a resoudre les problemes hein ... :) moi je sais meme pas en quoi je suis alors je vote pour les deux, l'utf-8 est surement moins casse pied mais pour moi le probleme viens de l' ISO-2022-JP ;)
Le 20/07/05, Arnaud Launay a écrit :
Le Wed, Jul 20, 2005 at 04:50:41PM +0200, Christophe Garault a écrit: > >(PS: regarde le sujet, quand même, hein) > J'avais bien vu, mais j'ai crû que c'était adressé en privé. Faut dire
Oh non, les trolls ne sont sympathiques que s'ils sont discutés en public, troller en privé n'offre aucun intérêt, autant être sérieux.
> qu'à mon age, 8h de sommeil en 2 nuits c'est vraiment insuffisant.
Oui ca sent bien le troll par ici ;) meme les insultes ... menfin
jurer n'aide pas a resoudre les problemes hein ... :) moi je sais meme
pas en quoi je suis alors je vote pour les deux, l'utf-8 est surement
moins casse pied mais pour moi le probleme viens de l' ISO-2022-JP ;)
Le 20/07/05, Arnaud Launay<asl@launay.org> a écrit :
Le Wed, Jul 20, 2005 at 04:50:41PM +0200, Christophe Garault a écrit:
> >(PS: regarde le sujet, quand même, hein)
> J'avais bien vu, mais j'ai crû que c'était adressé en privé. Faut dire
Oh non, les trolls ne sont sympathiques que s'ils sont discutés
en public, troller en privé n'offre aucun intérêt, autant être
sérieux.
> qu'à mon age, 8h de sommeil en 2 nuits c'est vraiment insuffisant.
Oui ca sent bien le troll par ici ;) meme les insultes ... menfin jurer n'aide pas a resoudre les problemes hein ... :) moi je sais meme pas en quoi je suis alors je vote pour les deux, l'utf-8 est surement moins casse pied mais pour moi le probleme viens de l' ISO-2022-JP ;)
Le 20/07/05, Arnaud Launay a écrit :
Le Wed, Jul 20, 2005 at 04:50:41PM +0200, Christophe Garault a écrit: > >(PS: regarde le sujet, quand même, hein) > J'avais bien vu, mais j'ai crû que c'était adressé en privé. Faut dire
Oh non, les trolls ne sont sympathiques que s'ils sont discutés en public, troller en privé n'offre aucun intérêt, autant être sérieux.
> qu'à mon age, 8h de sommeil en 2 nuits c'est vraiment insuffisant.
-Question bete : C'est quoi les "rainbow table" ( je prend tout sauf RTFM ;) )
2005/7/20, kakou :
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Christophe Garault wrote:
>kakou a écrit : > >>just eune remarque : les mots de passe ne sont pas chiffrer ni crypter >>mais hasher > > >Ah, c'est pas plutôt cachés? ;-) >Sinon, crypté n'étant effectivement pas approprié et hashé pas très >français, on dira encodé: > >>Le mot de passe est enregistré dans un format /encrypté/. Si vous > >demandez à un expert en cryptographie, > >>il (ou elle) vous répondra que le mot de passe n'est pas /encrypté/ > >mais /encodé/. > >(extrait du Shadow-Password-HOWTO-2) > >Voilà, fin du quadricapillotractage. :) > oui c'est vrai que hashé n'est pas très francais, mais c'etait juste pour bien faire la différence entre le cryptage (cle sym/asym ...) et le hashage (MD5, SHA, ..) -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.1 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
-Question bete : C'est quoi les "rainbow table" ( je prend tout sauf RTFM ;) )
2005/7/20, kakou <kakou@kakou.org>:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Christophe Garault wrote:
>kakou a écrit :
>
>>just eune remarque : les mots de passe ne sont pas chiffrer ni crypter
>>mais hasher
>
>
>Ah, c'est pas plutôt cachés? ;-)
>Sinon, crypté n'étant effectivement pas approprié et hashé pas très
>français, on dira encodé:
>
>>Le mot de passe est enregistré dans un format /encrypté/. Si vous
>
>demandez à un expert en cryptographie,
>
>>il (ou elle) vous répondra que le mot de passe n'est pas /encrypté/
>
>mais /encodé/.
>
>(extrait du Shadow-Password-HOWTO-2)
>
>Voilà, fin du quadricapillotractage. :)
>
oui c'est vrai que hashé n'est pas très francais, mais c'etait juste
pour bien faire la différence
entre le cryptage (cle sym/asym ...) et le hashage (MD5, SHA, ..)
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
-Question bete : C'est quoi les "rainbow table" ( je prend tout sauf RTFM ;) )
2005/7/20, kakou :
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Christophe Garault wrote:
>kakou a écrit : > >>just eune remarque : les mots de passe ne sont pas chiffrer ni crypter >>mais hasher > > >Ah, c'est pas plutôt cachés? ;-) >Sinon, crypté n'étant effectivement pas approprié et hashé pas très >français, on dira encodé: > >>Le mot de passe est enregistré dans un format /encrypté/. Si vous > >demandez à un expert en cryptographie, > >>il (ou elle) vous répondra que le mot de passe n'est pas /encrypté/ > >mais /encodé/. > >(extrait du Shadow-Password-HOWTO-2) > >Voilà, fin du quadricapillotractage. :) > oui c'est vrai que hashé n'est pas très francais, mais c'etait juste pour bien faire la différence entre le cryptage (cle sym/asym ...) et le hashage (MD5, SHA, ..) -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.1 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
Oui ca sent bien le troll par ici ;) meme les insultes ...
T'inquiètes pas, ça fait longtemps qu'il me cherche le gamin. Mais si un jour je le croise dans un bar de Paname il risque de se réveiller le lendemain (voire le surlendemain) avec l'impression qu'il manque des échelons à l'échelle de beaufort... ;) Et dans ma grande magnanimité je le laisse choisir entre Guinness et Mac Ewans Strong au cas où il préfèrerait une fin rapide.
moi je sais meme pas en quoi je suis
Merci, c'est vraiment tentant, mais je suis trop crevé: si qq veut s'en charger. ;) Aller, voilà ton entête:
Content-Type: text/plain; charset=ISO-8859-1
l'utf-8 est surement moins casse pied mais pour moi le probleme viens
de l' ISO-2022-JP ;)
Oui, j'avais d'ailleurs il y a qq temps filtré cet encodage suite à un flood, avant de comprendre que les rapports de bounces que je recevais de certaines ML venaient de là. Mon conseil est donc de ne pas filtrer sur les jeux de caractères car certains francophones peuvent résider au Japon. Maintenant si ton problème vient de Gmail, désolé mais je ne peux rien faire pour toi.
Et hop un petit poème d'une merveilleuse photographe pour agrémenter votre soirée que je vous souhaite agréable à tous:
-- Et sous les vieux haubans rongés de lente usure, Poulies aux yeux crevés sur l'infini perdu, Témoins momifiés des hommes disparus, Quel dieu féroce a pétrifié dans vos membrures Les fantômes railleurs de vos orgueils vaincus. - Anita Conti. -- mailing list
Romain Bourdy a écrit :
Oui ca sent bien le troll par ici ;) meme les insultes ...
T'inquiètes pas, ça fait longtemps qu'il me cherche le gamin. Mais si un
jour je le croise dans un bar de Paname il risque de se réveiller le
lendemain (voire le surlendemain) avec l'impression qu'il manque des
échelons à l'échelle de beaufort... ;)
Et dans ma grande magnanimité je le laisse choisir entre Guinness et Mac
Ewans Strong au cas où il préfèrerait une fin rapide.
moi je sais meme pas en quoi je suis
Merci, c'est vraiment tentant, mais je suis trop crevé: si qq veut s'en
charger. ;)
Aller, voilà ton entête:
Content-Type: text/plain; charset=ISO-8859-1
l'utf-8 est surement moins casse pied mais pour moi le probleme viens
de l' ISO-2022-JP ;)
Oui, j'avais d'ailleurs il y a qq temps filtré cet encodage suite à un
flood, avant de comprendre que les rapports de bounces que je recevais
de certaines ML venaient de là. Mon conseil est donc de ne pas filtrer
sur les jeux de caractères car certains francophones peuvent résider au
Japon. Maintenant si ton problème vient de Gmail, désolé mais je ne peux
rien faire pour toi.
Et hop un petit poème d'une merveilleuse photographe pour agrémenter
votre soirée que je vous souhaite agréable à tous:
--
Et sous les vieux haubans rongés de lente usure,
Poulies aux yeux crevés sur l'infini perdu,
Témoins momifiés des hommes disparus,
Quel dieu féroce a pétrifié dans vos membrures
Les fantômes railleurs de vos orgueils vaincus.
- Anita Conti.
--
gentoo-user-fr@gentoo.org mailing list
Oui ca sent bien le troll par ici ;) meme les insultes ...
T'inquiètes pas, ça fait longtemps qu'il me cherche le gamin. Mais si un jour je le croise dans un bar de Paname il risque de se réveiller le lendemain (voire le surlendemain) avec l'impression qu'il manque des échelons à l'échelle de beaufort... ;) Et dans ma grande magnanimité je le laisse choisir entre Guinness et Mac Ewans Strong au cas où il préfèrerait une fin rapide.
moi je sais meme pas en quoi je suis
Merci, c'est vraiment tentant, mais je suis trop crevé: si qq veut s'en charger. ;) Aller, voilà ton entête:
Content-Type: text/plain; charset=ISO-8859-1
l'utf-8 est surement moins casse pied mais pour moi le probleme viens
de l' ISO-2022-JP ;)
Oui, j'avais d'ailleurs il y a qq temps filtré cet encodage suite à un flood, avant de comprendre que les rapports de bounces que je recevais de certaines ML venaient de là. Mon conseil est donc de ne pas filtrer sur les jeux de caractères car certains francophones peuvent résider au Japon. Maintenant si ton problème vient de Gmail, désolé mais je ne peux rien faire pour toi.
Et hop un petit poème d'une merveilleuse photographe pour agrémenter votre soirée que je vous souhaite agréable à tous:
-- Et sous les vieux haubans rongés de lente usure, Poulies aux yeux crevés sur l'infini perdu, Témoins momifiés des hommes disparus, Quel dieu féroce a pétrifié dans vos membrures Les fantômes railleurs de vos orgueils vaincus. - Anita Conti. -- mailing list
Romain Bourdy
From: Christophe Garault User-Agent: Mozilla Thunderbird 1.0 (Windows/20041206) X-Accept-Language: fr, en
Content-Type: text/plain; charset=ISO-8859-15 X-Virus-Scanned: aimablement =?iso-8859-1?Q?vérifié?= par amavisd-new en utilisant ClamAV chez garault.com
On dirais que ton serveur mail gere mal le ISO-8859-15 ;)
-- mailing list
From: Christophe Garault <christophe@garault.org>
User-Agent: Mozilla Thunderbird 1.0 (Windows/20041206)
X-Accept-Language: fr, en
Content-Type: text/plain; charset=ISO-8859-15
X-Virus-Scanned: aimablement =?iso-8859-1?Q?vérifié?= par
amavisd-new en utilisant ClamAV chez garault.com
On dirais que ton serveur mail gere mal le ISO-8859-15 ;)
From: Christophe Garault User-Agent: Mozilla Thunderbird 1.0 (Windows/20041206) X-Accept-Language: fr, en
Content-Type: text/plain; charset=ISO-8859-15 X-Virus-Scanned: aimablement =?iso-8859-1?Q?vérifié?= par amavisd-new en utilisant ClamAV chez garault.com
On dirais que ton serveur mail gere mal le ISO-8859-15 ;)
-- mailing list
Christophe Garault
Romain Bourdy a écrit :
-Question bete : C'est quoi les "rainbow table" ( je prend tout sauf
RTFM ;) )
Ne t'inquiètes pas, c'est pas le genre de choses que l'on apprend dans les manuels. Et puis sinon j'ai coutûme de dire que les seules questions bêtes sont celles qui n'ont pas été posées.
En 2 mots, pour cracker un mot de passe il existe pas mal de techniques (dicos, inversions, brute force, mélange des 3) qui nécessitent beaucoup de temps CPU. Les rainbow tables (j'ignore l'origine du nom) sont des tables très volumineuses (au moins 20G pour les + grosses) qui contiennent le résultat de la fonction de hash avec le mot de passe, pour toutes les combinaisons de caractères possibles. Le tout étant précalculé, il ne faut que quelques secondes à partir du contenu du fichier shadow pour retrouver le mot de passe d'origine. Par contre ça prend énormément de temps à se construire; il y a donc eu dans certains milieux, une 'collaboration' entre plusieurs personnes pour se partager le temps de calcul de façon à créer de telles tables.
Voili, voilà.
-- Christophe Garault Take your marks: Gen too three: Emerge!
-- mailing list
Romain Bourdy a écrit :
-Question bete : C'est quoi les "rainbow table" ( je prend tout sauf
RTFM ;) )
Ne t'inquiètes pas, c'est pas le genre de choses que l'on apprend dans
les manuels. Et puis sinon j'ai coutûme de dire que les seules questions
bêtes sont celles qui n'ont pas été posées.
En 2 mots, pour cracker un mot de passe il existe pas mal de techniques
(dicos, inversions, brute force, mélange des 3) qui nécessitent beaucoup
de temps CPU. Les rainbow tables (j'ignore l'origine du nom) sont des
tables très volumineuses (au moins 20G pour les + grosses) qui
contiennent le résultat de la fonction de hash avec le mot de passe,
pour toutes les combinaisons de caractères possibles. Le tout étant
précalculé, il ne faut que quelques secondes à partir du contenu du
fichier shadow pour retrouver le mot de passe d'origine. Par contre ça
prend énormément de temps à se construire; il y a donc eu dans certains
milieux, une 'collaboration' entre plusieurs personnes pour se partager
le temps de calcul de façon à créer de telles tables.
Voili, voilà.
--
Christophe Garault
Take your marks:
Gen too three: Emerge!
-Question bete : C'est quoi les "rainbow table" ( je prend tout sauf
RTFM ;) )
Ne t'inquiètes pas, c'est pas le genre de choses que l'on apprend dans les manuels. Et puis sinon j'ai coutûme de dire que les seules questions bêtes sont celles qui n'ont pas été posées.
En 2 mots, pour cracker un mot de passe il existe pas mal de techniques (dicos, inversions, brute force, mélange des 3) qui nécessitent beaucoup de temps CPU. Les rainbow tables (j'ignore l'origine du nom) sont des tables très volumineuses (au moins 20G pour les + grosses) qui contiennent le résultat de la fonction de hash avec le mot de passe, pour toutes les combinaisons de caractères possibles. Le tout étant précalculé, il ne faut que quelques secondes à partir du contenu du fichier shadow pour retrouver le mot de passe d'origine. Par contre ça prend énormément de temps à se construire; il y a donc eu dans certains milieux, une 'collaboration' entre plusieurs personnes pour se partager le temps de calcul de façon à créer de telles tables.
Voili, voilà.
-- Christophe Garault Take your marks: Gen too three: Emerge!
