Le mercredi 25 mars 2009 à 11:44 +0100, NightLord a écrit :
> NightLord a écrit :
> > pablo a écrit :
> >> Le mardi 24 mars 2009 à 10:17 +0100, Hervé de Dianous a écrit :
> >>
> >>> Hi !
> >>> La force brute a frappé :
> >>> http://it.slashdot.org/article.pl?sid=09/03/23/2257252&art_pos=5
> >>>
> >>> Un petite soft comme fail2ban aurait suffit :(
> >>> http://www.fail2ban.org/wiki/index.php/Main_Page
> >>>
> >> Il me semble qu'un mot de passe fort devrait suffire, fail2ban ayant
> >> tendance à être lourd, j'imagine ce que ça doit donner sur sur type de
> >> machine...
> >>
> > Hello à tous,
> >
> > en préambule, le mail n'est absolument pas une critique mais une
> > question pour ma culture générale.. donc tapez pas ! ;)
> >
> > Pour moi, une attaque en force brute est une attaque qui ne se
> > préoccupe pas de la difficulté d'un mot de passe, et va prendre le
> > temps qu'il faut pour essayer toutes les combinaisons... en
> > conséquence un mot de passe faible a autant de chances de se faire
> > plomber qu'un mot de passe fort, la seule différence étant le nombre
> > de caractère pris en compte lors de l'attaque qui permet ou non de
> > couvrir toutes les possibilités. Le fail2ban en revanche va s'attacher
> > à vérifier les "source et les raisons" (le terme n'est pas adéquat,
> > mais c'est l'idée générale) de l'attaque et donc bloquer au maximum
> > l'étranger et du coup le ralentir tellement que l'attaque pourrait ne
> > plus avoir de sens.
C'est juste que si tu évites les user=stephane et pass=stephane, tu
contre déjà une bonne part des attaques. Celles-ci sont d'ailleurs
faites la plupart du temps par dictionnaire.
Ensuite, un mot de passe de -- disons -- plus de dix caractères, qui
mélange chiffres, majuscules/minuscules à déjà beaucoup moins de chance
d'être bruteforcé, si on compte, disons 10 attaques/secondes, je te
laisse deviner le temps qu'il faut pour trouver le passe en question (et
encore faut-il avoir l'user).
> >
> > Sur cette notion de mot de passe fort/faible... justement, pourquoi un
> > mot de passe "fort" serait-il "suffisant" ? est-ce uniquement à cause
> > du dictionnaire utilisé pour la génération des combinaisons ? y'a-t-il
> > d'autres raisons ?
> >
> > Stéphane
> Re petit point de détail... ce qui est exposé ci-dessus est ma manière
> de voir les choses... c'est peut-être tout faux hein.. ;) si c'est faux,
> même partiellement, j'aimerais avoir la correction qui va bien :)
> Stéphane
>
