Vous souhaitez réagir à ce message ? Créez un compte en quelques clics ou connectez-vous pour continuer.



 
AccueilPortail*Dernières imagesS'enregistrerConnexionHaut de page
Le Deal du moment :
Boutique Nike : -25% dès 50€ sur TOUT le ...
Voir le deal

Partagez | 
 

 mot de passe historique!!

Voir le sujet précédent Voir le sujet suivant Aller en bas 
AuteurMessage
fleur
V.I.P. en chef
V.I.P. en chef
fleur

Féminin
Nombre de messages : 25499
Age : 63
Localisation : france
Emploi/loisirs : les gens
Humeur : bipolaire
Date d'inscription : 13/08/2011

mot de passe historique!! Empty
MessageSujet: mot de passe historique!!   mot de passe historique!! EmptySam 18 Aoû 2012 - 22:55

:aime:

Que valent les mots de passe que vous utilisez quotidiennement? Sont-ils réellement efficaces? Comment savoir quel type de mot de passe il faut créer pour se protéger efficacement?

Pour le savoir, utilisez notre calculateur de mots de passe, il vous permet de déterminer la longueur et la complexité nécessaires pour une protection efficace. Cette page vous explique pourquoi.

Cette page explique comment sont fabriqués les mots de passe, comment on peut les attaquer et quelle résistance ils peuvent avoir. Cette page peut vous aider à mieux comprendre comment choisir les bons mots de passe.

1. Les attaques
2. Les algorithmes de cryptage
3. La composition des mots de passe
4. Le bon mot de passe

1. Les attaques
Pour mesurer l'efficacité des mots de passe, nous devons considérer plusieurs niveaux d'attaques possibles. Ceux-ci correspondent à différents types de hackers et aux moyens qu'ils ont à leur disposition.

Les méthodes principales de pénétration des systèmes ainsi que les profils types de hackers sont décrits ci-dessous.

1.1. Les méthodes
Parmi les méthodes les plus courantes nous trouvons:

cracking
password guessing
brute force
man in the middle
Cracking
Le système est pénétré en exploitant une faille de la sécurité. Si l'algorithme d'encryption utilisé n'est pas très évolué, il est possible de trouver les mots de passe ou les clés en utilisant par exemple l'algorithme inverse. Il est aussi possible de modifier le code du programme afin de ne plus avoir à introduire de mot de passe. Les innombrables jeux piratés témoignent de l'efficacité de cette méthode.

Les programmes actuels se protègent de telles attaques en utilisant dans leurs algorithmes des fonctions mathématiques dont l'inverse est (pour l'instant ;-)) difficilement calculable. Comme par exemple la factorisation en nombres premiers de très grands nombres (utilisé par le système RSA notamment).

Si le cracking est trop difficile, le hacker peut passer à la méthode "password guessing".

Password guessing
Ou "deviner les mots de passe". Le hacker utilise un programme testant systèmatiquement les mots de passe les plus courament utilisés. Il s'agit des mots des dictionnaires ainsi que de leurs dérivés. Par exemple le programme teste le mot "password", mais également ses dérivés: "p@ssword", "passw0rd", "pass_word", etc. ainsi que les combinaisons de ceux-ci.

Afin de pouvoir tester ces combinaisons, le hacker doit se procurer une copie du fichier contenant les mots de passe. Il peut ensuite tester tranquillement les combinaisons sans être en liaison directe avec le système attaqué.

Si le "password guessing" n'aboutit pas, le hacker continue avec la "brute force".

Brute force
Ou "force brute". Il s'agit en fait d'une extension de la méthode "password guessing". Le programme teste dans ce cas toutes les combinaisons possibles. Afin d'aboutir on mise sur la rapidité du système de piratage (calculé en nombre de combinaisons testées par seconde), sur la chance et sur le fait qu'au moins un utilisateur utilise un mauvais mot de passe.

La probabilité qu'une telle méthode aboutisse est donnée par le temps que mettrait la machine de piratage pour tester la moitié de toutes les combinaisons possibles. A ce moment là il y a une chance sur deux pour que le mot de passe ait été découvert.

Man in the middle
Ou "homme au milieu". Il s'agit dans ce cas de se procurer le mot de passe en se plaçant sur le parcours de celui-ci ou de manière détournée. La façon la plus simple est de se faire passer pour un administrateur et de demander simplement le mot de passe à l'utilisateur (et ça marche plus souvent qu'on ne le croit!). Il est également possible de payer une personne ayant accès aux locaux (entreprise de nettoyage par exemple) pour qu'elle lise discrètement les mots de passe inscrits sous les tapis de souris.

On peut aussi utiliser un programme simulant le "login" du système, mais mémorisant en fait le mot de passe que vous tapez avant de restituer le processus au véritable "login". De tels programmes sont nommés "chevaux de Troie". D'autres programmes comme les "sniffers" écoutent tout ce qui passe par votre réseau. Enfin, grâce à la miniaturisation, il est possible d'installer des micro-caméras à vote insu vous filmant lorsque vous tapez les mots de passe au clavier.


1.2. Les hackers
Les profils type des hackers peuvent être groupés par:

Le hacker par accident
L'étudiant
L'organisation
Le haineux
Le professionel
Hacker par accident
C'est votre collègue de travail s'amusant sur votre PC lors de votre absence. Il essaie par hasard le prénom de votre femme ou le nom de votre chat et pénètre votre système. Il n'a aucune idée de la programmation et abandonne rapidement.

Au pire des cas il a trouvé sur le net un programme très simple d'utilisation lui permettant certains piratages. Ce type d'attaque est en général inoffensive et vous remarquerez l'intrusion en découvrant sur votre écran un message moqueur vous signifiant que votre collègue est un crack et que vous êtes vraiment stupide d'utiliser des mots de passe aussi simples.

Moyens à disposition du hacker: 0$

Niveau de danger: bas.

L'étudiant
L'étudiant tente de démontrer sa supériorité en pénétrant un système de préférence réputé inviolable (comme par exemple la NASA, le FBI ou la BNS).

C'est un vrai crack. Si une faille existe dans le système, il la trouve. C'est lui que l'entreprise victime engagera comme responsable de la sécurité par la suite. Il utilise des programmes élaborés tels que "SAINT", ainsi que des utilitaires appliquant le "password guessing" et la "brute force". Une fois le système pénétré, il s'empressera de publier ses résultats. Il ne fait en général pas de déguats mais prélève un élément prouvant son exploit (comme par exemple des listes de numéros de cartes de crédits).

Il existe également des clubs de hackers qui fourmillent d'étudiants, comme par exemple le "Chaos Computer Club" en Allemagne.

Moyens à disposition du hacker: < 10'000$

Niveau de danger: moyen.

L'organisation
L'organisation peut être criminelle ou étatique. Les moyens à disposition sont énormes. Le but est de pénétrer un système déterminé afin d'y soustraire des informations. Il s'agit par exemple d'espionnage industriel, d'espionnage tout court ou de terrorisme.

Toutes les méthodes connues sont utilisées ainsi que d'autres moins connues comme par exemple l'utilisation d'appareils capables de lire l'affichage d'un écran à distance uniquement par le rayonnement électromagnétique émis (système TEMPEST).

On ne se rend compte d'une telle attaque en général que trop tard, le but étant de laisser un minimum de traces. Bien que très puissantes, ces attaques ne sont pas les plus dangereuses pour l'utilisateur "lambda" à moins d'être complice. Le terrorisme est une forme d'attaque organisée.

Moyens à disposition du hacker: >1'000'000$

Niveau de danger: haut.

Le haineux ou le jaloux, ou encore le vengeur
C'est quelqu'un qui vous veut du mal et est prêt à tout pour vous nuire. Tous les moyens sont bons pour s'introduire dans votre système. Cette personne vous connaît, est à même de percer vos secrets et sait ce qui vous blesse. Elle trompe votre confiance, installe des micro-caméras, soudoie votre secrétaire ou peut avoir recours à des professionels du piratage. Une fois dans le système, elle utilisera les informations contre vous. (Ne regardez pas comme ça votre collègue, je suis sûr qu'il est tout à fait correct... :-)

Les moyens à disposition du hacker sont cependant moins importants que lorsqu'il s'agit d'organisations, il est donc plus facile de s'en protéger.

Moyens à disposition du hacker: de 0 à 100'000$

Niveau de danger: maximum.



Le professionel
Le professionel sait qu'il peut vivre de ses talants de hacker. Il vole des informations afin de les revendre, il crée des outils de piratage qu'il revend également. Il loue enfin ses services contre rémunération.

Il n'a rien contre vous personnellement, mais vous êtes un des éléments qu'il attaquera sans état d'âme afin d'honorer son contrat. Peu importe pour lui les dégâts qu'il peut vous occasionner. Par contre il aura tendance à rechercher le maillon faible et est donc relativement facile à décourager si vous offrez un peu de résistance.

Comme le professionel loue ses services il n'est pas considérer comme un hacker dans la suite de ce document, mais uniquement comme un outil à la disposition des hackers cités plus haut, qui eux cherchent à atteindre un but.

Moyens à disposition du hacker: selon contrat

Niveau de danger: moyen.




2. Les algorithmes de cryptage
A quoi sert un "bon" mot de passe si le système est violable quelque soit le mot de passe choisi? L'efficacité du mot de passe dépend en premier lieu de la non vulnérabilité de l'algorithme de cryptage utilisé par le système. Nous n'allons pas mentionner quels sont ces algorithmes, il vous suffit de savoir qu'il y en a de bons et de moins bons.

Il est possible de grouper les systèmes en 2 catégories:

Les mauvais systèmes sont ceux qui peuvent être violés relativement facilement quelque soit le mot de passe utilisé.
Les bons systèmes sont ceux qui utilisent des algorithmes pratiquement impossibles à violer lorsqu'on utilise un bon mot de passe.
Le site http://www.lostpassword.com/ offre par exemple des logiciels de recouvrement de mots de passe et vous donne une idée sur la fiabillité de votre système. A noter que ces logiciels utilisent la force brute sur des systèmes récents et que le recouvrement du mot de passe n'est pas garanti. Par contre, les systèmes moins récents possèdent certaines failles exploitées avec succès par ces logiciels. Notez également qu'on trouve sur internet des logiciels non commerciaux remplissant les même fonctions!

Le tableau 1 ci-dessous donne une estimation (libre) de l'efficacité en pourcent d'un bon mot de passe utilisé sur un bon ou mauvais système:
Revenir en haut Aller en bas
http://www.dornat2.com/
fleur
V.I.P. en chef
V.I.P. en chef
fleur

Féminin
Nombre de messages : 25499
Age : 63
Localisation : france
Emploi/loisirs : les gens
Humeur : bipolaire
Date d'inscription : 13/08/2011

mot de passe historique!! Empty
MessageSujet: Re: mot de passe historique!!   mot de passe historique!! EmptySam 18 Aoû 2012 - 22:58

Qualité des mots de passe


Spoiler:


Edit Ch le 19.08.2012 : suppression du lien - article sous spoiler


Dernière édition par Chantal le Dim 19 Aoû 2012 - 0:47, édité 1 fois (Raison : suppression du lien)
Revenir en haut Aller en bas
http://www.dornat2.com/
 

mot de passe historique!!

Voir le sujet précédent Voir le sujet suivant Revenir en haut 

 Sujets similaires

-
» Facebook passe à la loupe les conversations privées
» Yahoo! confirme le vol de 450.000 identifiants et mots de passe
» mes passe-temps.
» passe le savon
» Que ce passe t'il avec mes plantes.
Page 1 sur 1

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
 :: Espace utile ... :: >>> OUVRIR l'espace utile... :: Informatique : liens et aides...-