tag:blogger.com,1999:blog-6526130.post1557486020378173546..comments2023-10-18T10:09:17.414-04:00Comments on ZEROSECONDE.COM: Sur la chaîne de confianceMartin Lessardhttp://www.blogger.com/profile/14870791433485387754noreply@blogger.comBlogger4125tag:blogger.com,1999:blog-6526130.post-45456990266659795382012-06-09T07:03:41.718-04:002012-06-09T07:03:41.718-04:00Gate, l'idée n'est pas bête, mais à ce com...Gate, l'idée n'est pas bête, mais à ce compte, la plupart des mots de passe du commun des mortels serait refusé :-) Ça me semblerait impraticable.<br /><br />La protection que ces plateformes apportent se trouve au niveau du login: ils ne laissent pas qqun tenter toutes les combinaisons possibles de mots de passe, le système les bloque après X tentatives. Ce n'est pas à l'épreuve de tout, cryptologiquement parlant, mais au niveau probabilistique c'est probablement suffisant.Martin Lessardhttps://www.blogger.com/profile/14870791433485387754noreply@blogger.comtag:blogger.com,1999:blog-6526130.post-50790685576073498792012-06-09T06:55:46.654-04:002012-06-09T06:55:46.654-04:00Stéphane Denis, « Il n'y a pas de communicatio...Stéphane Denis, « Il n'y a pas de communication confidentielle informatique sans clé secrète. Il n'y a pas de partage de clé secrète sans relation de confiance». Bien difficile d'être contre. Et on pourrait même rajouter que le partage doit se faire sans possibilité qu'il y ait une interception par un tiers.<br /><br />Dans le cas de Leakedin, bien loin de l'idéal cryptographique que vous venez de décrire, il faut l'admettre, on n'a tout de même pas besoin de prendre autant de précaution: sans le nom du compte, le mot de passe n'a pas de valeur. Et même en renversant le hash, je vois mal qqun allez tenter par la force brut bombarder un site web pour trouver une combinaison (je reste sur l'impression qu'il vaut mieux pour un hacker d'entrer dans le système et d,aller voler les tables de passwords que de forcer un login)Martin Lessardhttps://www.blogger.com/profile/14870791433485387754noreply@blogger.comtag:blogger.com,1999:blog-6526130.post-87199995518981027092012-06-08T15:39:24.638-04:002012-06-08T15:39:24.638-04:00Le hachage simple est loin d'être une forme d&...Le hachage simple est loin d'être une forme d'encryption. C'est une fonction mathématique qui est réversible et dont les entrées possibles sont nombreuses pour une même valeur de sortie.<br /><br /> Si on renverse cette fonction on a une infinité de résultats possible pour un code de hachage donné. Ça adonne que pour un code de hachage qui représente un texte court les possibilitées sont multiples mais limités. On peux donc par force brute générer l'ensemble des codes de hachages qui correspondent aux milliards de possibilités de textes court et stocker les codes de hachages. <br /><br />Le cout du stockage étant ce qu'il est, il existe de nombreux sites web (comme http://www.sha1-lookup.com) qui donne accès à ce lexique inversé et permettent de décoder le mot de passe.<br /><br />Ce n'est pas en transmettant à travers une équation complexe qu'on gagne en confidentialité. Il n'y a pas de communication confidentielle informatique sans clé secrète. Il n'y a pas de partage de clé secrète sans relation de confiance.Anonymoushttps://www.blogger.com/profile/01133410320385816481noreply@blogger.comtag:blogger.com,1999:blog-6526130.post-19987027188055153782012-06-08T15:01:01.891-04:002012-06-08T15:01:01.891-04:00Basé sur ce texte, linkedin ne devrait-elle pas 1....Basé sur ce texte, linkedin ne devrait-elle pas 1. aviser tout ces usagers? 2. interdire ces mots de passe dans le futur.<br /><br />J'ai fait des tests sur leakedin avec des combinaisons "faciles" (pas mes mots de passe), et plusieurs combinaisons sont déjà hackées.<br /><br />D'autres sites par exemple, Facebook, Twitter, Google, Hotmail, etc. pourraient-ils aussi bloquer ces mots de passe?Anonymoushttps://www.blogger.com/profile/10171024352262009253noreply@blogger.com