Accueil du forum
Tableau de bord
Liste des membres
Qui est en ligne?
Mon profil
Messages privés
Nouveau message
Recherche
Calendrier
Zine
URL de redirection
Créer un PasteBin
Classement (Top 100)
Proposez un challenge! 
Hacking
Hacking 
Spirit of hack
Messages: 32 820
Client IRC en ligne
|
Changement de mot de passes constant ? || Plus sécurisant ?
|
|
13-03-2014, 22h29
Message : #1
|
|
EpicOut
Membre actif   Messages : 121 Sujets : 10 Points: 22 Inscription : Feb 2012 |
Changement de mot de passes constant ? || Plus sécurisant ?
Hey, je me suis posé une question il y a quelques minutes sur les sécurités contre le bruteforce, est-ce que vous pensez que ça serait plus secure contre le brute force de faire système de changement de mdp constant, je m'explique:
Etape 1:
Le client demande une connexion au sytème -> Le serveur répond, et remet en place le hash du mdp de passe de l'utilisateur.Etape 2:
Le client se déconnecte du système -> Le serveur déconnecte l'utilisateur, et il enregistre quelque part le hash du mdp du client. Etape 3:
Aucune connexion = Le serveur met en route le système de protection contre le bruteforce, Le serveur procède a un changement de mdp constant toute les x secondes jusqu'à qu'une requête de connexion soit demandée. Et à ce moment là ça devient une loop.Est-ce vraiment sécurisé ? Qu'en pensez-vous ? Il y aurait-il une autre manière de procéder moins coûteuse ? A vous les studios.
Plein de mouches peuvent rentrer en boucle close.
![[Image: vQs9wRu.png]](http://i.imgur.com/vQs9wRu.png)
|
|
|
|
|
15-03-2014, 20h11
Message : #2
|
|
|
b0fh
Membre actif  Messages : 210 Sujets : 17 Points: 309 Inscription : Jul 2012 |
RE: Changement de mot de passes constant ? || Plus sécurisant ?
Hello,
Je ne sais pas si c'est pertinent ou si ça correspond à ton idée, mais il y a un mécanisme de One-Time Password dont l'idée de base fonctionne comme ça: Pré-requis: une fonction de chiffrement symétrique C, avec c = C(k,p) (p=plaintext, k=key, c=ciphertext), sécure contre les attaques a texte clair connu. Initialisation: le client choisit aléatoirement une valeur secrète x0 et un sel s. Puis il calcule et stocke itérativement plein de valeurs x1 = C(x0, s), x2 = C(x1, s), ...., x(n+1) = X(xn, s). Il envoie au serveur xn et s. Authentification: le serveur connait xn et s, le client envoie au serveur comme mot de passe la valeur x(n-1). Le serveur applique la fonction de chiffrement et vérifie que C(x(n-1), s) = xn. Si ce n'est pas le cas, le serveur rejette le login; sinon le serveur remplace xn par x(n-1), et le client efface la valeur x(n-1) et décrémente son compteur n de 1. Quand le compteur arrive à 0, c'est la merde, et le client doit refaire une initialisation avec le serveur pour générer de nouveaux codes. Preuve de sécurité: supposons que l'adversaire, ayant intercepté la ligne, aie obtenu les valeurs s et xn. si l'adversaire est capable de calculer une valeur x(n-1) telle que C(x(n-1),s) = xn, alors il est capable de résoudre l'équation c = C(k,p) lorsque k est inconnu. Il dispose donc d'une attaque a texte clair connu contre l'algo de chiffrement. Donc, si l'algo de chiffrement résiste aux attaques a texte clair connu, cet algorithme est sûr. |
|
|
|
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)