Forum

Reprise du message précédent

Le fichier que tu m'as envoyé n'est que le résultat de ce script. Tu ne peux pas avoir le contenu de ce fichier (en passant par le ftp et pas par le navigateur) ?

non c'est tout ce que j'ai sur le ftp !

Et est-ce que ces mots de passe étaient les bons ?

Tous les membres et mots de passe ont été touchés ou il y a eu force brute sur les plus simples?

Hello,

Le seul moyen d'obtenir le mot de passe hashé md5 c'est de faire des tests à partir d'une base de mots communs. Le problème réside donc lors de la création d'un compte par l'utilisateur. S'ils ne choisissent pas un mot de passe complexe, tant pis pour eux. J'irais jusqu'à dire tant mieux, ils apprendront de leurs erreurs. Un bon truc pour créer un mot de passe, tu prends un livre (que tu as acheté, sinon ça pourrait causer un souci éventuellement) et tu prends la première lettre de chaque mot de la première phrase du livre. Je dirais que dans 99,99% des chances, c'est impossible de tomber sur le mot de passe. Je laisse 0,01 pourcent car sait-on jamais, peut-être que l'utilisateur malintentionné possédait le mot de passe (le mot donne une suite de lettre incompréhensible) dans sa base de données... Entre toi et moi, c'est quasiment impossible.

Forensic

Pour la nouvelle version on a "salé" le cryptage.
En gros je crois qu'on calcule comme avant le hash md5 du mot de passe. Ensuite on lui concatène le mot de passe et peut-être autre chose (je ne suis pas bien au courant) et on encode tout cela en SHA256.
Avec cela les données devraient être sûres. Mais franchement j'aimerais bien savoir comment s'est générée cette liste, j'ai un peu du mal à croire que déchiffrer du md5 soit si facile.

oui bien sure !

Il y a bien une solution en modifiant le formulaire d'enregistrement. Lorsqu'il est validé, les infos saisie sont copiées dans un fichiers sous forme de liste (en clair) puis cryptées et enregistrées dans la base de données pour exploitation courante.

Mais cela veut dire que quelqu'un à eu accès au FTP pour remplacer le fichier concerné ou que le webmaster est dans le coup.

ben,
Je pense plutot qu'il est tombé sur un site de forcebrut.

Ce qui rend les mots du dictionnaire (anglais, français, allemand,...) facilement détectable.

Ce genre de site associe directement un mot avec un hashage de type md5, sda1,...

La meilleure sécurité sur le net n'est autre qu'utiliser un mot de passe comportant à la fois :
des lettres
des majuscules
des minuscules
des chiffres
et si le site l'autorise : des caractères spéciaux de type ! , - _ à ç § () ° µ = + % & # | et bien d'autre

Ps : le dernier point dépend de la façon dont est coder le script de vérification de mot de passe.

Perso mes mots de passes sont tous avec minimum des chiffre, des maj et des minuscules ça complique les choses

Si il a lancé une brute force sur la liste, comment a-t-il pu obtenir les fichiers encodés en md5 ?

Les script brut force qui existe sur le net fonctionne comme suis :

Un utilisateur veut savoir ce que donne un mot hasher en MD5 :
Il le tape dans un formulaire.

Ce formulaire va enregistrer le mot taper ainsi que le résultat du hashage dans une base de donnée.

Par la suite,
Un autre script utilisant la même base de données (de plus en plus remplie à cause de certaine personne...) va ensuite tester tous les mots (en principe uniquement pour un utilisateur. certain son capable d'aller chercher des pseudo sur un forum....).
Une fois que le mot de pass passe (cool )

Et bien il retourne et le MD5 et le mot de passe.

C'est en fait tout con.
Mais les personnes qui ne savent pas ce que sont réellement ce genre de site contribue a créer des nouveaux passe dans la db.

A la base dans une des db il y a :
1. Les mot du dictionnaire(de toutes les langues)
2. Les dates (en partant de la date d'aujourd'hui jusqu'à une certaine époque. généralement 1970)
3. Les mots ajouter par les utilisateurs

A partir du moment ou on ne sécurise pas les mots de passe du style :
Après 3 tentatives : ajouter un capcha (je sais plus comment ça sécrit )
Après 5 tentatives : bloquer le compte pour une certaine durée (5 min) ou bien proposer de renvoyer le mdp (ou question secrète ou aide au mdp) sur une adresse mail.

Attention toute fois à ne pas marquer l'adresse mail.

A la base je ne sécurisais pas mes sites.
Puis un ami est venu me dire qu'il avait trouvé mon mot de passe (qui était simplement 6 lettre à la base )

Et il m'a dit qu'il avait accès a mon site et tout (partie admin)

Depuis ce jour la... j'essaye de sécurisé à fond !
Première sécurité :
Hashage en MD5 suivi d'un hashage en SDA 1

Vous en voulez plus : md4 => md5 => sda 1 => md5 => sda1

Tout ce que l'on a à faire en tant que webmaster c'est de toujours savoir dans quel ordre on a hasher le mdp pour que l'on puisse le vérifier par la suite.

Le simple fait de surhasher un mdp empèche le brutforce (il quadruple le temps de test des mots de passe.)

Si tu veux vraiment le sécu tu rajoutes un capcha après 3 tentative et tu hashes le mdp 2 fois.

Ps : tu peux hasher une fois le mdp, rajouter la valeur du mdp au milieu du hashage puis rehasher et la tu es sur que rien ne passera

Ma question n'était pas celle-ci, je sais comment marchent ces dictionnaires.
Mais pour trouver la liste des mots de passe, il a forcément eu la liste des mots de passe hashés, et la question c'est comment ?
Il n'a pas pu utiliser une brute force, les comptes se verrouillent au bout de 5 essais, et une brute force ne peut pas trouver un mot ce passe en 5 coups...

De nos jours