>> en conséquence un mot de
> > passe faible a autant de chances de se faire plomber qu'un mot de passe
> > fort, la seule différence étant le nombre de caractère pris en compte
> > lors de l'attaque qui permet ou non de couvrir toutes les possibilités.
C'est pas faux, mais si ton mot de passe "faible" ne contient que 1 caractère
il se fera plombé plus vite qu'un mot de passe à 2 caractères.
(Si on suppose que le développeur de la brute-force va d'abord tester tous les
mots de passe de 1, puis de 2, puis de n caractères.)
> > Le fail2ban en revanche va s'attacher à vérifier les "source et les
> > raisons" (le terme n'est pas adéquat, mais c'est l'idée générale) de
> > l'attaque et donc bloquer au maximum l'étranger et du coup le ralentir
> > tellement que l'attaque pourrait ne plus avoir de sens.
Si celle-ci est distribuée, le fail2ban va remplir une base de donnée
potentiellement importante (d'autant plus en IPv6) et cette fois ton serveur
va succomber à une DDOS, mais on aura pas ton mot de passe ;-)
> Donc lors d'un attaque par force brute, la 3ème que j'ai indiqué plus
> haut, il y a un réel risque pour les mots de passe "faibles".
"réél" faut pas non plus sombrer dans la parano. J'utilise depuis longtemps
des mots de passe aléatoire de 8 caractères uniquement en minuscules (plus
simple à retenir) et je les considère comme suffisent.
Reprenons ton calcul avec de nouvelles données :
( man sshd_config)
- ssh par défaut n'autorise que 10 connexions simultanées non authentifiées
- il attends 2 secondes après chaque échecs
Ce qui donne à l'attaquant la possibilité de tester 5 mots de passe par
secondes.
En supposant quand même qu'il va y arriver après n'avoir testé que la moitié
(il a droit à un peu de chance quand même)
Il lui faudra :
26^8/5/3600/24/365/2=662 années
J'espère qu'il n'est pas pressé...
--
sly
Sylvain Letuffe sylvain@???
qui suis-je :
http://slyserv.dyndns.org
