La sécurité des mots de passe

[InstinctHack]

Pour reprendre une phrase d'un autre thread à moi :
http://n-pn.fr/forum/showthread.php?tid=2680

Les mots de passes sont un point centrale dans n'importe quel application, car une bonne sécurité au niveau programmation est inutile si les mdp utilisés pour l'administration sont faibles.

Je ne vais pas faire du double-post, car mon précédant post concernait les user et les mdp bien trop faibles qu'ils utilisent, là je veut parler des programmeurs négligeant.

Faire un site ou autre application avec des mots de passes est quelque chose à la porté du premier venu, en revanche en faire une qui n'ai pas de faille, ça personne n'en n'ai capable, et le jour où quelqu'un dump votre bdd, vous êtes dead, les mdp sont visibles.

Mais heureusement pas mal de dev hash leurs mdp, ce qu'il ne saisissent pas, c'est que md5 c'est pas sur, sha1 c'est pas sur, sha256 c'est pas sur.
Et pour cause : sha1("azerty") renvoie le même résultat depuis sa création (remarquez c'est mieux :p ) mais ça fait que des serveurs ont eu le temps de les calculer et de les stocker et donc reverse les hash c'est easy.

Tu me fait peur, on peux pas se protéger ?

Moi j'ai dis ça ? Bien sûr que si!

Je vais donc vous montrer étape par étape, différents niveau de sécurité en vous montrant à chaque fois, pourquoi c'est mieux que le niveau précédant. Ces niveaux de sécurité se font du coté SERVEUR, nous avons considéré un seul utilisateur lambda (un débile )

Level 1
Utilisateur choisi le mdp "password", l'application l'autorise, le pirate attaque la bdd, récupère le mdp, teste si le mdp est également celui de sa boite mail, il accède à la boite email, lit toutes les informations personnels, visite les sites de la victime, fait "mot de passe oublié" et récupère tous les mdp de tous les sites, tombe sur un fichier bancaire en pièce jointe et vide son compte.

Level 2
Le développeur décide que les mots de passe de moins de 10 caractères ne sont pas sûrs et protège donc son application ainsi:

Code PHP :


if(mb_strlen($_POST['password'])>10)
{
echo "mdp OK";
}else{echo "mdp trop faible";}
 

Ceci est la première chose à faire, filtrer les mdp qui n'en sont pas!
mais le débile l'utilisateur met "passwordpassword" et l'application accepte

Level 3
Le développeur filtre avec http://n-pn.fr/forum/showthread.php?tid=2680
mais l'utilisateur met "aaaaaaaaaaaaaaaaaaaaaaa"

Level 4
Le dévellopeur filtre avec http://www.passwordmeter.com/
et là l'utilisateur est obligé de mettre quelque chose qui tient vraiment!

Aurons-nous atteint le niveau ultime de sécurité ? Bien sûr que non!

Level 5
Il faut savoir qu'il existe 3 niveau d'authentification, et nous n'en sommes au premier, celui de la connaissance, car on connaît le mdp, le niveau supérieur (que j'avais mis en place dans un site en local) était un keyfile (les habitués de TrueCrypt comprendrons) c'est un fichier qui stocke votre mot de passe, le code php suivant peux vous aider à en générer

Code PHP :


base64_encode(openssl_random_pseudo_bytes(100));
 

Ce qui me renvoie chez moi quelque chose du genre :

9gB5HOOWQWU7Pt8s5gtewMxlafbbL3/5k3NEv8VD3eyBgKrxsRmRv5uJ7zOw1f3EOW4v6NPdFb8lGxSluo2Isxm/xRDjKXMNr42wN5l+jQpYbOp/C3bGQwh0Q2YLXq6FQkJLjw==

(Ca change de votre mdp habituel nan ? :p )
Mais l'utilisateur dowload et installe un obscure fichier et se fait voler le keyfile par un virus

Level 6
Le dévellopeur oblige l'utilisation d'un mdp sécurisé ET du keyfile

Level 7
Le dévellopeur rêve de passer au troisisème et dernier niveau d'authentification : Etre, mais cela est impossible.

Ici s'arrête la recherche du mdp le plus sûr qu'il soit.
######################################

Cette deuxième partie parleras de la sécurité mise en oeuvre pour stocker le mdp...

Level 1
Le développeur stocke ses mdp en clair et comme il code avec des pieds, une faille sql est use, et tous les mdps sont découverts, même celui du parano

A3=o:ZZ>Fxp'~H`TY9[2%nmz@Tk&LzR:

Level 2
le développeur hash en md5 les mdp, mais ne corrige pas sa faille, et 80% des mdp sont reverse grâce à http://md5decrypt.com/

Code PHP :


<?php echo md5("azerty");
 

Level 3
le développeur voit sur les forums que le sha1 est plus sûr, et donc seulement 50% des mdp sont reverse grâce à http://www.sha1-lookup.com/index.php?q=9...7035218921

Code PHP :


<?php echo sha1("azerty");
 

Level 4
le développeur pense à utiliser un sel, et le pourcentage des mdp reverse tombe à 10%

Code PHP :


<?php echo sha1("&;*£ù!"."azerty");
 

Beaucoup de gens s'arrête ici, donc c'est suffisant, sauf pour les paranos

Level 5
le développeur pète les plombs et utilise un sel unique à chaque user

Code PHP :


<?php echo sha1($timestamp_inscription."azerty");
 

Le pourcentage est en dessous de 1%

Level 6
le développeur deviens psychopathe et utilise pète les plombs et utilise whirlpool

Code PHP :


<?php echo hash('whirlpool',$timestamp_inscription."azerty");
 

Le pourcentage est en dessous de 0% :>

Level 7
le développeur se lance dans la programmation de sa propre fonction de hashage, mais cela feras partie d'un prochain billet

Ainsi se termine la sécurisation du stockage des précieux password
####################

A mort les idées reçus !
1. Tkt, personne ne vas te pirater, t'en vaut pas le coup.
Toi non, tes clients non, mais leurs informations si! les informations sont d'or, et les faciles à obtenir sont d'autant plus attirantes

2.le md5 c'est secure.
le md5 c'est mettre un cadenas et la clé sous le tapis, le sha1 est déjà mieux, mais sans sel, c'est pas suffisant, sha256 est bien

3. md5(md5()) c'est secure.
Nope

et md5(md5()) tu peux bien insister que c'est vraiment une idée pourrie

Et pour finir, je voudrais rajouter quelque truc :
Aucun système n'est sûr, et l'instabilité augmente avec la diminution de la distance qui le sépare de l'humain le plus proche :p
Protéger vos applications, sans tomber dans la parano (pour moi c'est déjà trop tard... :p )
Je suis pas un parano à coté d'eux => http://korben.info/diviser-pour-mieux-securiser.html (cette technique est vraiment dégeu, inutile, et couteuse)
Les crackers de hash vont beaucoup plus vite que vous pourriez l'imaginer => http://korben.info/barwf-cracker-un-mot-...clair.html
Et puis cet article vraiment pas mal, mais qui fait mal :
http://www.john-jean.com/blog/cryptograp...-softs-159
Lisez le dernier paragraphe et demandez-vous ce que peux faire un botnet de milliers de pc.... un simple sha1 et vous seriez à l'abri ? :')

La sécurité n'est pas un état, c'est une progression...

[InstinctHack]

Petit tableau du nombres de combinaisons de password par charset et par longueurs.

http://www.hostingpics.net/viewer.php?id...irate7.png

Et pour ceux qui n'utilise pas de logiciels de gestion de mdp, v'la un super lien (selon moi :p )
http://www.passwordcard.org/fr

Vous n'avez plus aucune raison de pas avoir de mot de passe de > 10 caractères

[thxer]

Assez drôle, perso je pense chacun son problème pour la difficulté du mp, mais le truc du "grain de sel" en plus est vraiment intéressant.

[airday]

J'ai juste envie de dire "Merci et +200 pour ton article".
Je pense que je vais devoir être plus paranos

[Junky]

Bonjour

Pour ma part voici ma gestion de mot de passe (je l'avais déjà mis je crois dans un post)

Code :

shut@M1nT ~ $ echo $(</dev/urandom tr -dc a-zA-Z0-9\;-_ | head -c52)
KJT6\AWkg7OFwNf_1OK2g;q1=cvO5vipwj^G[E5ix0nrZ\=VOdN^
shut@M1nT ~ $

Et tout ceci couplé avec un keepass.

Junky

[Kiwazaru]

"et md5(md5()) tu peux bien insister que c'est vraiment une idée pourrie"

J'aimerais comprendre pourquoi ^^' ? Si on hash un hash on se retrouve avec un deuxième code à 16 caractère qui , si il est décodé donnera un autre code md5 qui si il est décodé donnera notre mot de passe, or le premier md5 qui résulte de l'opération md5(md5()) n'aura pas grande chance d'être décrypté par une BDD d'un site comme http://md5decrypt.com/

Sinon pour le SEL je savais pas, c'est sympa merci

[InstinctHack]

Tu n'est pas le seul à d'avoir posé cette question
En réalité, je ne sais pas trop à répondre, il y as une histoire d'augmentation de collision si j'ai bien compris.
Mais j'imagine que bofh vas vite rapliqué et qu'il t'expliqueras plus en détail cela