On Thu, May 08, 2014 at 10:36:53AM +0200, johann wrote:
> PS : au passage je suis tombé sur cette page qui donne matière à réflexion :
> http://www.troyhunt.com/2011/03/only-secure-password-is-one-you-cant.html
Au passage, un article [1] que j'ai lu y a déjà un moment, un peu long mais
très intéressant sur pourquoi toutes les combines qu'on donne aux gens
pour sécuriser leurs mots de passe sont mauvaises :
[1]
http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/
TL;DR:
Une méthode pour récupérer des mots de passe issus d'une base qui leak
est de faire du bruteforce sur toutes les combinaisons de quelques
caractères. Grâce aux mots de passe courts de certains utilisateurs, la
méthode de salage des hashs peut être déterminée facilement.
Ensuite, reste à tester des combinaisons, des mots de passe courts
combinés, plusieurs mots, du leet-speak, etc. Un élément que j'ai trouvé
intéressant, pour une attaque ciblée : si on cherche à casser la base
d'un site automobile, utiliser en priorité des mots qui se rapportent
aux voitures, voire même faire un dump du site et en faire un
dictionnaire. C'est vite fait, même avec la méthode XKCD, je suis là en
train de m'inscrire sur un site de pour acheter du fromage, je risque
d'avoir "reblochon" ou "tomme de Savoie" qui me passe par la tête au
moment d'arriver au formulaire…
Bref, un article très détaillé et très intéressant, si l'on ajoute à ça
les chaînes de Markov, dont a assez bien parlé un article de MISC il y a
quelques temps [2], ça confirme que mettre des mots de passes dont on
peut se rappeler est probablement une perte de temps, et que le meilleur
moyen est de stocker de longs mots de passe aléatoires (et bien choisir
sa passphrase sur ledit stockage).
[2]
http://connect.ed-diamond.com/MISC/MISC-058/Rainbow-Tables-a-espace-probabiliste