Changement de mot de passes constant ? || Plus sécurisant ?
|
13-03-2014, 22h29
Message : #1
|
|
Banni Messages : 121 Sujets : 10 Points: 22 Inscription : Feb 2012 |
Changement de mot de passes constant ? || Plus sécurisant ?
Hey, je me suis posé une question il y a quelques minutes sur les sécurités contre le bruteforce, est-ce que vous pensez que ça serait plus secure contre le brute force de faire système de changement de mdp constant, je m'explique:
Etape 1:
Le client demande une connexion au sytème -> Le serveur répond, et remet en place le hash du mdp de passe de l'utilisateur.Etape 2:
Le client se déconnecte du système -> Le serveur déconnecte l'utilisateur, et il enregistre quelque part le hash du mdp du client. Etape 3:
Aucune connexion = Le serveur met en route le système de protection contre le bruteforce, Le serveur procède a un changement de mdp constant toute les x secondes jusqu'à qu'une requête de connexion soit demandée. Et à ce moment là ça devient une loop.Est-ce vraiment sécurisé ? Qu'en pensez-vous ? Il y aurait-il une autre manière de procéder moins coûteuse ? A vous les studios. |
|
15-03-2014, 20h11
Message : #2
|
|
b0fh
Membre actif Messages : 210 Sujets : 17 Points: 309 Inscription : Jul 2012 |
RE: Changement de mot de passes constant ? || Plus sécurisant ?
Hello,
Je ne sais pas si c'est pertinent ou si ça correspond à ton idée, mais il y a un mécanisme de One-Time Password dont l'idée de base fonctionne comme ça: Pré-requis: une fonction de chiffrement symétrique C, avec c = C(k,p) (p=plaintext, k=key, c=ciphertext), sécure contre les attaques a texte clair connu. Initialisation: le client choisit aléatoirement une valeur secrète x0 et un sel s. Puis il calcule et stocke itérativement plein de valeurs x1 = C(x0, s), x2 = C(x1, s), ...., x(n+1) = X(xn, s). Il envoie au serveur xn et s. Authentification: le serveur connait xn et s, le client envoie au serveur comme mot de passe la valeur x(n-1). Le serveur applique la fonction de chiffrement et vérifie que C(x(n-1), s) = xn. Si ce n'est pas le cas, le serveur rejette le login; sinon le serveur remplace xn par x(n-1), et le client efface la valeur x(n-1) et décrémente son compteur n de 1. Quand le compteur arrive à 0, c'est la merde, et le client doit refaire une initialisation avec le serveur pour générer de nouveaux codes. Preuve de sécurité: supposons que l'adversaire, ayant intercepté la ligne, aie obtenu les valeurs s et xn. si l'adversaire est capable de calculer une valeur x(n-1) telle que C(x(n-1),s) = xn, alors il est capable de résoudre l'équation c = C(k,p) lorsque k est inconnu. Il dispose donc d'une attaque a texte clair connu contre l'algo de chiffrement. Donc, si l'algo de chiffrement résiste aux attaques a texte clair connu, cet algorithme est sûr. |
|
« Sujet précédent | Sujet suivant »
|
Utilisateur(s) parcourant ce sujet : 2 visiteur(s)