COMPLEXITE DES MOTS DE PASSE
us_30
Messages postés
2065
Date d'inscription
lundi 11 avril 2005
Statut
Membre
Dernière intervention
14 mars 2016
-
18 août 2009 à 12:17
Lily2Rose Messages postés 10 Date d'inscription mardi 24 novembre 2009 Statut Membre Dernière intervention 31 mars 2010 - 31 mars 2010 à 17:52
Lily2Rose Messages postés 10 Date d'inscription mardi 24 novembre 2009 Statut Membre Dernière intervention 31 mars 2010 - 31 mars 2010 à 17:52
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
https://codes-sources.commentcamarche.net/source/50459-complexite-des-mots-de-passe
https://codes-sources.commentcamarche.net/source/50459-complexite-des-mots-de-passe
31 mars 2010 à 17:52
pour moi le degers de sécurité du mot de passe n'est plus important(si il est long ou pas ou si il contient des caractères spéciaux ou pas);bah pour mes propres projets (soit web ou windows)j'utilise souvent les methodes de hashage pour le mot de passe.
comme exemple d'une méthode de hashage:
MD5: ( Fonction produisant un hachage unidirectionnel de façon à identifier un message.)
exemple d'un hashage d'un simple mot de passe:
mot de passe:mypass
mot de passe apres hashage(MD5):*43c8aa34cdc98eddd3de1fe9a9c2c2a9f92bb2098d75
là on peut disez que le mot de passe plus perferment.
N'embêtez plus à faire l'algo à la main ,il existe des libérées pertes a être ajouter à votre projet .
Merci pour l'effort;
Cordialement, Lily2Rose!
1 déc. 2009 à 11:40
Cordialement, Bacterius !
1 déc. 2009 à 11:30
effectivement AES n'est pas cassé complètement et il en est loin, mais il est néanmoins juste de dire que suivant le niveau de sécurité choisi il est vulnérable.
c'est certainement pour cette raison que les fournisseurs accès numérique ont relevé le niveau tout en concervant AES.
Cordialement.
1 déc. 2009 à 03:09
Par exemple, AES a probablement été cassé sur un nombre réduit de tours (genre 7 au lieu des 12 requis). C'est une découverte intéressante niveau crypto mais qui a absolument zéro implication directe dans les transactions chiffrées ... En revanche si AES commence à être cassé sur 10 ou 11 tours sur les 12 requis, on peut commencer à se poser des questions et à changer d'algorithme.
Pour information, AES utilise 10, 12 ou 14 tours (de la version la plus faible à la plus solide).
Cordialement, Bacterius !
30 nov. 2009 à 20:13
"bien entendu que c'est plus compliqué que cela, je voulais juste dire le principe"
Ah ! Je croyais que tu parlais du chiffrement asymétrique dans ses principes mathématiques. Eh bien oui j'imagine que c'est cela :)
"à mon avis aucune car rien n'est parfait, il faut juste bien évaluer sont besoin de sécurité pour adapter sa statégie de sécurité."
Tu as tout à fait raison, il faut adapter ses méthodes à ses besoins.
Tu devrais te renseigner sur les fonctions de hachage, si tu aimes bien la cryptographie, c'est un domaine formidable ..
Cordialement, Bacterius !
30 nov. 2009 à 20:04
c'est une joie de débattre avec toi, ça fait plaisir.
"Il n'a pas été cassé, AES ..."
ben si il est cassé AES, j'ai un peu un fouinneur il y a pas de temps sur certains sites pas recommandable.
"Les gens regardent et font ce qu'ils veulent."
c'était une pointe d'humour.
"Non c'est plus compliqué que ça, ce n'est pas aussi simple."
bien entendu que c'est plus compliqué que cela, je voulais juste dire le principe
une clé utilisateur
une clé fournisseur
une clé resultat qui est la combinaison de clé utilisateur+clé fournisseur+algo AES
"Il me semble que la DGSE veille au grain ..."
j'espère bien, sinon ça craint un peu !
alors la question reste entière quel est la meilleur protection ?
à mon avis aucune car rien n'est parfait, il faut juste bien évaluer sont besoin de sécurité pour adapter sa statégie de sécurité.
Cordialement.
28 nov. 2009 à 10:38
Il n'a pas été cassé, AES ...
"sinon il y aurait certainement beaucoup moins de gens qui regarderaient XXL !"
Les gens regardent et font ce qu'ils veulent. On est pas là pour veiller à ce que tout le monde fasse ce qu'on lui dit de faire.
"l'algo si je ne me trompe pas est une clé primaire combiné à une clé secondaire qui ont été fabriqué par un code fixe qui répète toujours la même chose.Donc il ont a le code code fixe, on peux re-crée le code reverssible."
Non c'est plus compliqué que ça, ce n'est pas aussi simple.
"tu as certainement raison, c'est pour cela que j'ai dit "il me semble". mais j'ai du mal avec le fait que la clé ne soient pas fourni au instances, ça touche la sécurité nationale si on retient ton principe de données sensible."
Je ne comprends pas ce que tu veux dire par "ça touche la sécurité nationale". Tu veux dire des informations dangereuses qui circuleraient de façon chiffrée ? Il me semble que la DGSE veille au grain ...
Cordialement, Bacterius !
28 nov. 2009 à 10:18
à mon avis, AES (j'entend le 128 bits) n'a pas fait ses preuves puisse qu-il à été cracké en 6 mois, sinon il y aurait certainement beaucoup moins de gens qui regarderaient XXL !
alors effectivement le 128 bis n'a pas tenu ses promesses, le 256 bits semble lui tenir mais pour combien de temps...
l'algo si je ne me trompe pas est une clé primaire combiné à une clé secondaire qui ont été fabriqué par un code fixe qui répète toujours la même chose.Donc il ont a le code code fixe, on peux re-crée le code reverssible.
Bien entendu c'est pas donné à tout le monde.
"Ces algorithmes sont brevetés, soit, mais sont librement utilisables. Il est vrai qu'avant 2004, tu avais l'obligation de fournir ta clef aux hautes instances du pays. Mais depuis ... 2004 je crois, le gouvernement français a autorisé la libre utilisation de la cryptographie dans le pays. Donc tu n'as rien à craindre niveau légalité."
tu as certainement raison, c'est pour cela que j'ai dit "il me semble". mais j'ai du mal avec le fait que la clé ne soient pas fourni au instances, ça touche la sécurité nationale si on retient ton principe de données sensible.
Cordialement.
28 nov. 2009 à 01:19
Non ! Le meilleur est celui qui a été testé, retesté, et reretesté par la communauté de cryptologues du monde entier.
Après, ça dépend : si c'est pour chiffrer tes codes de carte bancaire, utilise AES ou un algo sécurisé et qui a fait ses preuves, sinon tu mets ton compte bancaire en péril.
Si c'est pour chiffrer pour s'amuser, un algo perso peut être intéressant à faire.
Mais en aucun cas - en aucun cas ! - chiffrer des données sensibles avec son propre algorithme.
"AES principe de clé des chaines payantes... si vous voyez ce que je veux dire, RC4 ... RC6 et ainsi de suite et bien le sytème de construction est dispo sur le web puisque ces algo ont obligation d'être une clé dite public et décodable par nos instances !"
Je crois que tu confonds beaucoup de trucs là. Ces algorithmes sont brevetés, soit, mais sont librement utilisables. Il est vrai qu'avant 2004, tu avais l'obligation de fournir ta clef aux hautes instances du pays. Mais depuis ... 2004 je crois, le gouvernement français a autorisé la libre utilisation de la cryptographie dans le pays. Donc tu n'as rien à craindre niveau légalité.
Cordialement, Bacterius !
27 nov. 2009 à 23:07
http://cui.unige.ch/tcs/cours/crypto/crypto4/node5.html
27 nov. 2009 à 22:51
AES principe de clé des chaines payantes... si vous voyez ce que je veux dire, RC4 ... RC6 et ainsi de suite et bien le sytème de construction est dispo sur le web puisque ces algo ont obligation d'être une clé dite public et décodable par nos instances !
Donc tout cas pour dire qu'il y a aucun bon système à 100%.
effectivement le meilleur est sont propre algo mais encore faut-il qu'il reste privé sinon c'est illégale.
en faite reste à relativiser le besoin de sécurité.
14 oct. 2009 à 09:55
Cordialement, Bacterius !
7 sept. 2009 à 19:26
Autrement il n'est pas conseillé de faire totalement confiance à des softs tiers especialisés dans ce domaine.
Précisement, j'ai un project de ce genre que j'utilise assez souvent, et que comporte un sistème de cryptage rapide et presque impossible à décrypter même si l'on connait le mot de passe (exterieurement au programme). Après quelques modifications il sera publié sur vbfrance très bientôt
5 sept. 2009 à 23:36
Ce n'est que mon avis ! ok ? Bye a tous...
Dany
24 août 2009 à 19:55
Il reste la méthode des informations réliés au mot de passe que pour moi est le plus sûr de ne pas oublier. On écrit quelque part ces informations mais on n'écrit pas directement le mot de passe.
Exemple d'information pour ce site: JNsite4tante
Mot de passe à déduire: 10vbfrMatilde
Le mot 'JNsite4tante' n'est pas un mot de passe, contrairement à ce que les spywars 'penseront', mais il permet de déduire le 10 que c'est mon Jour de Naissance, le 'vbfr' que sont les premières 4 lettres de ce site, ainsi que le nom de ma seule tante Matilde. Toutes ces infos sont personels, à chaqun de faire ses propres mots clefs permettant induire un de mot de passe sofistiqué.
19 août 2009 à 17:02
Veloce35
19 août 2009 à 10:06
Ou tout simplement le mécanisme du tiers :Login/PSW + Phrase d'amorce/Réplique
cdt,JAN
19 août 2009 à 07:41
Brute force impose la compléxité et la longueur
Social ingé impose un mot pas trop devinable
Etre humain impose un code pas trop complexe, sinon il le trouve plus !
Donc je proposerai une voie différente (orientée user)
Pourquoi ne pas demander à cette user de tapper deux / trois mots qui lui parle (coté humain)et ensuite lui proposer son mot de passe modifié ?
écrit à l'envers ou une lettre sur deux inversés avec un code ascii spé...
il lui suffira de prendre celui qui lui parait le plus simple à mémoriser.
cordialement @dn
19 août 2009 à 05:29
faudrait fournir a la fonction une liste de mots à interdire, liée à l'utilisateur...
et y inclure en dur le nom des mois...
19 août 2009 à 01:22
Quiconque qui connaîtrait la forme grossière du mot de passe pourrait sérieusement réduire la recherche. Mais tu as pleinement raison de dire qu'il faut s'en souvenir au final des mots de passe. Ainsi, si un choix aléatoire de lettre répond mieux à la sécurité d'un niveau excellent, elle a tout les désavantages du problème mnémotechnique humain...
Néanmoins, à titre de réflexion, il me semble que "R2e0n0f2i$e2l0d" serait moins évident, et donc devrait être mieux classé, pourtant reste (encore) mnémotechnique (à former)... Ce que je souligne donc, dans tout cela, c'est le problème de la mesure du "désordre" (ou entropie pour faire savant -:); ) du mot de passe. Bref, juste une piste de réflexion...
Amicalement,
Us.
18 août 2009 à 12:25
à mon boulot, c'est la politique:
obligatoirement une minuscule, une majucule, un chiffre plus un caractère spécial.
avec au minimum 8 caractères.
ça me parait pas mal, ca évite les dates de naissance, les prénoms, etc...
en cas de bruteforce, faut bien élargir le champs des caractères, et ça prend tout suite plus de temps...
après, ça ne reste que mon avis...
on pourrais forcer par exemple l'emploi de deux caractères spéciaux, non collés...
mais bon, faut encore s'en souvenir au final des mots de passe :p
18 août 2009 à 12:17
Je trouve tout de même que la façon d'évaluer la pertinence d'un mot de passe... très mauvaise. En effet, - en modifiant vnMinLength - on s'aperçoit que pour obtenir un niveau considéré comme excellent, il suffit de rentrer : Une majuscule + Une minuscule + Un chiffre + Un caractère spécial. Par exemple : "Aa0$"... (complèté avec ce que l'on veut pour la longueur minimale de base du programme). Ainsi : "Agent007$" ou "JamesBond007$" sont des mots de passe évaluer comme Excellents ! ... Non, c'est vrai que James Bond est vraiment un agent secret ?
De plus, je ne vois pas en quoi on peut définir ces propres paramètres d'évaluation ?... IL me semble que tu utilises "VbScript.RegExp.test", astucieux par ailleurs...
Amicalement,
Us.