Bonjour,
NightLord a écrit :
> pablo a écrit :
>> Le mardi 24 mars 2009 à 10:17 +0100, Hervé de Dianous a écrit :
>>
>>> Hi !
>>> La force brute a frappé :
>>> http://it.slashdot.org/article.pl?sid=09/03/23/2257252&art_pos=5
>>>
>>> Un petite soft comme fail2ban aurait suffit :(
>>> http://www.fail2ban.org/wiki/index.php/Main_Page
>>>
>> Il me semble qu'un mot de passe fort devrait suffire, fail2ban ayant
>> tendance à être lourd, j'imagine ce que ça doit donner sur sur type de
>> machine...
>>
> Hello à tous,
>
> en préambule, le mail n'est absolument pas une critique mais une
> question pour ma culture générale.. donc tapez pas ! ;)
>
> Pour moi, une attaque en force brute est une attaque qui ne se préoccupe
> pas de la difficulté d'un mot de passe, et va prendre le temps qu'il
> faut pour essayer toutes les combinaisons... en conséquence un mot de
> passe faible a autant de chances de se faire plomber qu'un mot de passe
> fort, la seule différence étant le nombre de caractère pris en compte
> lors de l'attaque qui permet ou non de couvrir toutes les possibilités.
> Le fail2ban en revanche va s'attacher à vérifier les "source et les
> raisons" (le terme n'est pas adéquat, mais c'est l'idée générale) de
> l'attaque et donc bloquer au maximum l'étranger et du coup le ralentir
> tellement que l'attaque pourrait ne plus avoir de sens.
>
> Sur cette notion de mot de passe fort/faible... justement, pourquoi un
> mot de passe "fort" serait-il "suffisant" ? est-ce uniquement à cause du
> dictionnaire utilisé pour la génération des combinaisons ? y'a-t-il
> d'autres raisons ?
Il convient de distinguer 3 types d'attaques visant à chercher un
login/password :
- l'attaque par dictionnaire : L'intrus va tenter tous les mot d'un
certain dictionnaire qu'il aura sélectionné (prénoms, mots usuels,
etc...). Bien entendu, si il connaît déjà la langue de l'utilisateur,
cela l'aide un peu : Attaquer un compte géré par un utilisateur anglais
avec des mots comme "table" et "chaise" a moins de chance de passer
qu'avec des prénoms du type "john", "clara", etc...
- l'attaque par dictionnaire avec règles : Ici, il s'agit toujours
d'utiliser un dictionnaire, mais d'y rajouter en plus un soft qui va
faire des rajouts à celui-ci, en fonction de certains critères. Par
exemple en langage "expression régulière", cela donnerais :
[0-9]{,2}$word[+-,.]{,2}
ce qui permettrait, pour un le "$word" valant "chaise", de tester les
mots de type :
0chaise
01chaise-
chaise++
etc...
Cela va bien sûr considérablement augmenter le nombre de combinaisons
possibles. Mais le pourcentage de chance de tomber sur le bon mot de
passe augmente grandement
- enfin, l'attaque par force brute : Là, il n'y a plus de finesse :
Toutes les combinaisons de caractères/autres sont utilisées. Bien sûr
l'attaquant peut choisir de restreindre l'intervalle des mots de passe
avec plusieurs critères :
lettres minuscules
lettres majuscules
chiffres
caractères spéciaux "(:)*${}..."
caractères accentués "éêèàï..."
nombre de caractères maximum
C'est la raison pour laquelle je ne suis pas d'accord avec toi lorsque
tu écris ceci :
> Pour moi, une attaque en force brute est une attaque qui ne se préoccupe
> pas de la difficulté d'un mot de passe, et va prendre le temps qu'il
> faut pour essayer toutes les combinaisons... en conséquence un mot de
> passe faible a autant de chances de se faire plomber qu'un mot de passe
> fort, la seule différence étant le nombre de caractère pris en compte
Si l'utilisateur prends 8 caractères, avec seulement des
majuscules/minuscules (ce qui est un mot de passe que je qualifierai de
"moyen"), cela fait déjà (2 * 26)^8 = 534.59.728.531.456 possibilités
Par contre, si il prend un mot de passe "faible", disons 4 caractères
en minuscules unqiuement, cela ne fait "que" 26^4 = 456.976 combinaisons.
Donc lors d'un attaque par force brute, la 3ème que j'ai indiqué plus
haut, il y a un réel risque pour les mots de passe "faibles".
Cordialement,
Olivier
--
~~~~~~~ _____/\_____ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix / _ \/ _ \ Olivier Allard-Jacquin
/ / \ / \ \ Web: http://olivieraj.free.fr/
/___/ / \ \___\ Mail: olivieraj@???
~~~~ ///// ///\\\ \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!