mots de passe d'une application enregistré

5 réponses
Avatar
marioski
bonjour,

Je travaille sous Windows 7 =E9dition familiale premium.

Les mots de passe de passe des navigateurs sont certes enregistrables et re=
trouvables:il suffit que l'utilisateur puisse les afficher.
J'ai remarqu=E9 que lorsque j'ai acc=E9d=E9 =E0 une application par un mot =
de passe,ce dernier est enregistr=E9 dans un fichier de configuration propr=
e =E0 l'application mais sous une autre forme(finalement heureusement) d'o=
=F9 mes questions d'initi=E9:

1)cette autre forme est-elle de l'hexad=E9cimal?
-Si oui,il existe des sites sur lequel on peut convertir de l'hexad=E9cimal=
en texte.J'y ai essay=E9 mais je n'ai pas retrouv=E9 le mot de passe initi=
al une fois converti:pourquoi?
-si non,quelle est cette autre forme?Est-elle convertissable,c'est-=E0-dire=
peut-on en fait retrouver le mot de passe initial?

2)le mot de passe enregistr=E9 n'est-il pas finalement automatiquement cryp=
t=E9?
-si oui,le cryptage est-il sym=E9trique ou asym=E9trique?
-Y a-t-il automatiquement une cl=E9 qui est g=E9n=E9r=E9e afin de crypter l=
e mot de passe?Si oui,o=F9(dans quel fichier propre au dossier de l'applica=
tion) se trouve cette cl=E9?Si non,le mot de passe est-il quand m=EAme d=E9=
cryptable?Comment?

3)autres choses =E0 m'apprendre?

merci de votre aide

5 réponses

Avatar
Yliur
Le Sat, 2 Apr 2016 19:08:23 -0700 (PDT)
marioski a écrit :

Je travaille sous Windows 7 édition familiale premium.



Mais ça n'indique pas les applications que tu utilises.


Les mots de passe de passe des navigateurs sont certes enregistrables
et retrouvables:il suffit que l'utilisateur puisse les afficher. J'ai
remarqué que lorsque j'ai accédé à une application par un mot de
passe,ce dernier est enregistré dans un fichier de configuration
propre à l'application mais sous une autre forme(finalement
heureusement) d'où mes questions d'initié:



Là on ne parle plus de navigateurs ? Quelles sont ces applications qui
demandent un mot de passe ?


1)cette autre forme est-elle de l'hexadécimal?



L'hexadécimal est une manière de représenter des nombres, pas des mots
de passe ni du texte en général :
<https://fr.wikipedia.org/wiki/Hexad%C3%A9cimal>.


-Si oui,il existe des sites sur lequel on peut convertir de
l'hexadécimal en texte.J'y ai essayé mais je n'ai pas retrouvé le mot
de passe initial une fois converti:pourquoi? -si non,quelle est cette
autre forme?Est-elle convertissable,c'est-à-dire peut-on en fait
retrouver le mot de passe initial?

2)le mot de passe enregistré n'est-il pas finalement automatiquement
crypté? -si oui,le cryptage est-il symétrique ou asymétrique?
-Y a-t-il automatiquement une clé qui est générée afin de crypter le
mot de passe?Si oui,où(dans quel fichier propre au dossier de
l'application) se trouve cette clé?Si non,le mot de passe est-il
quand même décryptable?Comment?

3)autres choses à m'apprendre?



Pour l'ensemble de ce qui précède...

Les mots de passe sont en général hachés et non chiffrés (cryptés).
Donc il n'y a pas de clé : le hachage consiste à réduire ton mot de
passe en une bouillie qui ne permet pas de retrouver le mot de passe
d'origine. Si la clé se trouvait pas loin du mot de passe il serait
facile de retrouver le mot de passe tapé : ça n'a pas d'intérêt de
chiffrer quelque chose pour laisser la clé juste à côté.

Pour vérifier que le mot de passe que tu saisis lors de ton
identification est correct, il suffit de réappliquer le même algorithme
de hachage et de vérifier que la bouillie obtenue est bien la même que
celle enregistrée dans le fichier. C'est ce que font les logiciels qui
hachent les mots de passe. Il n'y a pas besoin (et en gros pas moyen) de
retrouver le mot de passe d'origine à partie de la bouillie (plus
formellement appelée "empreinte").
Avatar
Nicolas George
Yliur , dans le message , a écrit :
Les mots de passe sont en général hachés et non chiffrés (cryptés).
Donc il n'y a pas de clé : le hachage consiste à réduire ton mot de
passe en une bouillie qui ne permet pas de retrouver le mot de passe
d'origine. Si la clé se trouvait pas loin du mot de passe il serait
facile de retrouver le mot de passe tapé : ça n'a pas d'intérêt de
chiffrer quelque chose pour laisser la clé juste à côté.



Attention, ce que tu dis est valable pour les programmes qui ont besoin de
VÉRIFIER le mot de passe fourni par l'utilisateur. C'est à dire, en
pratique, le système pour les mots de passe des comptes utilisateurs et les
serveurs.

Ce qu'évoque marioski, je pense, c'est les cas d'applications qui ont besoin
de pouvoir fournir le mot de passe: le logiciel de mail qui stock le mot de
passe IMAP, le client chat qui stock le mot de passe du compte Jabber, etc.
Dans ce cas, l'application a besoin du vrai mot de passe, en clair. Donc
pour le stocker, un haché le ne convient pas.

Au mieux, le mot de passe sera stocké chiffré avec une clef qui est bien
juste à côté : codée en dur dans le logiciel ou stockée dans un fichier pas
loin. Le mieux qu'on puisse faire, c'est pour les logiciels qui stockent
plein de mot de passe, avoir la clef fournie par l'utilisateur sous la forme
d'un mot de passe maître.
Avatar
marioski
Le dimanche 3 avril 2016 11:36:09 UTC+2, Nicolas George a écrit :
Yliur , dans le message , a écrit :
> Les mots de passe sont en général hachés et non chiffrés (crypt és).
> Donc il n'y a pas de clé : le hachage consiste à réduire ton mot de
> passe en une bouillie qui ne permet pas de retrouver le mot de passe
> d'origine. Si la clé se trouvait pas loin du mot de passe il serait
> facile de retrouver le mot de passe tapé : ça n'a pas d'intérêt de
> chiffrer quelque chose pour laisser la clé juste à côté.

Attention, ce que tu dis est valable pour les programmes qui ont besoin d e
VÉRIFIER le mot de passe fourni par l'utilisateur. C'est à dire, en
pratique, le système pour les mots de passe des comptes utilisateurs et les
serveurs.

Ce qu'évoque marioski, je pense, c'est les cas d'applications qui ont b esoin
de pouvoir fournir le mot de passe: le logiciel de mail qui stock le mot de
passe IMAP, le client chat qui stock le mot de passe du compte Jabber, et c.
Dans ce cas, l'application a besoin du vrai mot de passe, en clair. Donc
pour le stocker, un haché le ne convient pas.

Au mieux, le mot de passe sera stocké chiffré avec une clef qui est b ien
juste à côté : codée en dur dans le logiciel ou stockée dans un fichier pas
loin. Le mieux qu'on puisse faire, c'est pour les logiciels qui stockent
plein de mot de passe, avoir la clef fournie par l'utilisateur sous la fo rme
d'un mot de passe maître.



J'ai remarqué,alors que j'avais utilisé l'application qui cache sous Wi ndows 7,que les mots de passe des fichiers/dossiers cachés se retrouvent dans Linux au sein des fichiers cachés ini.
D'où ma simple question bête:
Si je crypte ces fichiers cachés ini,la reconnaissance de ces mots de pas se par l'application cachante s'effectuerait-elle quand même ?
Avatar
Olivier Miakinen
Le 03/04/2016 04:08, marioski a écrit :

Je travaille sous Windows 7 édition familiale premium.

Les mots de passe de passe des navigateurs sont certes enregistrables e[...]
J'ai remarqué que lorsque j'ai accédé à une application par un mot de p[...]



(lignes trop longues)

1)cette autre forme est-elle de l'hexadécimal?



Ha ha ha ! Tu nous feras toujours rire.

Tiens, voilà le mot « hexadécimal » codé en UTF-8 et en hexadécimal :
hexadécimal

Bien entendu, pour voir les nombres correspondant à chaque caractère,
tu peux utiliser un éditeur hexadécimal, mais je t'assure que ce sont
bien ceux-là. Tu peux aussi utiliser l'utilitaire 'od' si tu l'as, avec
comme paramètre '-t x1'.

En fait, tu pourrais lire ceci :
68 65 78 61 64 C3 A9 63 69 6D 61 6C

Ou cela :
68 65 78 61 64 c3 a9 63 69 6d 61 6c

-Si oui,il existe des sites sur lequel on peut convertir de l'hexadécima[...]



(ligne trop longue)

La réponse est oui, mais en principe si ce sont des mots de passe on
peut supposer que l'application les a chiffrés et pas seulement stockés
tels quels.

--
Olivier Miakinen

« Au fond, diviser par zéro revient à unifier la Mécanique Quantique
et la Relativité Générale. » -- M.A. le 7/3/2016 dans fr.sci.maths
Avatar
Yliur
Le Sun, 3 Apr 2016 06:38:33 -0700 (PDT)
marioski a écrit :

Le dimanche 3 avril 2016 11:36:09 UTC+2, Nicolas George a écrit :
> Yliur , dans le message , a
> écrit :
> > Les mots de passe sont en général hachés et non chiffrés
> > (cryptés). Donc il n'y a pas de clé : le hachage consiste à
> > réduire ton mot de passe en une bouillie qui ne permet pas de
> > retrouver le mot de passe d'origine. Si la clé se trouvait pas
> > loin du mot de passe il serait facile de retrouver le mot de
> > passe tapé : ça n'a pas d'intérêt de chiffrer quelque chose pour
> > laisser la clé juste à côté.
>
> Attention, ce que tu dis est valable pour les programmes qui ont
> besoin de VÉRIFIER le mot de passe fourni par l'utilisateur. C'est
> à dire, en pratique, le système pour les mots de passe des comptes
> utilisateurs et les serveurs.
>
> Ce qu'évoque marioski, je pense, c'est les cas d'applications qui
> ont besoin de pouvoir fournir le mot de passe: le logiciel de mail
> qui stock le mot de passe IMAP, le client chat qui stock le mot de
> passe du compte Jabber, etc. Dans ce cas, l'application a besoin du
> vrai mot de passe, en clair. Donc pour le stocker, un haché le ne
> convient pas.
>
> Au mieux, le mot de passe sera stocké chiffré avec une clef qui est
> bien juste à côté : codée en dur dans le logiciel ou stockée dans
> un fichier pas loin. Le mieux qu'on puisse faire, c'est pour les
> logiciels qui stockent plein de mot de passe, avoir la clef fournie
> par l'utilisateur sous la forme d'un mot de passe maître.

J'ai remarqué,alors que j'avais utilisé l'application qui cache sous
Windows 7,



Tu n'as toujours pas précisé de quelle application il s'agissait ni ce
qu'elle faisait exactement.

que les mots de passe des fichiers/dossiers cachés se
retrouvent dans Linux au sein des fichiers cachés ini.



C'est encore plus mélangé.

Par exemple dans Linux et Windows il existe des moyens de "cacher" des
fichiers mais il ne s'agit pas d'un système de sécurité, simplement de
quelque chose de pratique. Donc si les "fichiers cachés ini" sont juste
des fichiers cachés de Windows c'est normal que tu les voies apparaître
sous Linux (en lisant ton disque Windows, c'est bien ça ?).

D'où ma simple
question bête: Si je crypte ces fichiers cachés ini,la reconnaissance
de ces mots de passe par l'application cachante s'effectuerait-elle
quand même ?



Il faudrait décrire la procédure. Si tu es en train de parler de
réaliser en dehors de l'application du trafic sur ses fichiers, je ne
vois pas comment elle s'y retrouverait. Ou bien on revient au
chiffrement de partition, mais ça n'a pas l'air de correspondre à ce
que tu veux ici.

En fait tant que tu n'expliques pas ce que tu veux faire (quel genre
d'informations cacher, contre qui, ...) il est difficile de répondre
correctement à tes questions.