[Ex] Sécurité par triple mot de passe

Partagez vos scripts, et vos applications AutoIt.
Règles du forum
.
Avatar du membre
sksbir
Niveau 7
Niveau 7
Messages : 384
Enregistré le : lun. 26 oct. 2009 17:57
Localisation : Lyon
Status : Hors ligne

Re: [Ex] Sécurité par triple mot de passe

#41

Message par sksbir »

TommyDDR a écrit :@skbir : fish n'a pas dit que le reset était visible, c'est lorsque vous validez une partie du mot de passe que ca reset ou attends la suite si la partie est correcte, vous ne pouvez pas savoir si le programme vous demande de recommencer ou de taper la suite.
Oui oui, j'ai un digicode en bas de chez moi aussi... si je commence à taper le code et que je me plante, je dois recommencer depuis le début. Mais ça, je le sais seulement quand j'ai fini de taper le code et que la porte ne s'ouvre pas...

Donc, pour résumer, on en est là : "l'avantage" du systeme proposé par fish, c'est qu'on ne peut pas éditer le mot de passe en cours de la frappe. ça revient à dire : la touche "effacer" ne fonctionnera pas à 3 étapes au cours de la saisie du mot de passe global. (saisie du mot de passe fractionné en 3 étapes..)

Donc, avec ce raisonnement, un systeme de type "digicode" serait encore plus efficace, puisque là, c'est carrément pour chaque touche tapée qu'on ne peut pas revenir en arrière ( pas de touche "effacer" du tout ).
Or, un systeme de type digicode est attaquable par force brute exactement de la même façon qu'un systeme où on peut revenir en arrière dans la saisie du mot passe : il suffit de finir par trouver le mot de passe global...
Avatar du membre
Fish
Niveau 5
Niveau 5
Messages : 178
Enregistré le : sam. 23 oct. 2010 19:28
Localisation : Devant mon ordinateur.
Status : Hors ligne

Re: [Ex] Sécurité par triple mot de passe

#42

Message par Fish »

sksbir a écrit :
TommyDDR a écrit :@skbir : fish n'a pas dit que le reset était visible, c'est lorsque vous validez une partie du mot de passe que ca reset ou attends la suite si la partie est correcte, vous ne pouvez pas savoir si le programme vous demande de recommencer ou de taper la suite.
Oui oui, j'ai un digicode en bas de chez moi aussi... si je commence à taper le code et que je me plante, je dois recommencer depuis le début. Mais ça, je le sais seulement quand j'ai fini de taper le code et que la porte ne s'ouvre pas...

Donc, pour résumer, on en est là : "l'avantage" du systeme proposé par fish, c'est qu'on ne peut pas éditer le mot de passe en cours de la frappe. ça revient à dire : la touche "effacer" ne fonctionnera pas à 3 étapes au cours de la saisie du mot de passe global. (saisie du mot de passe fractionné en 3 étapes..)

Donc, avec ce raisonnement, un systeme de type "digicode" serait encore plus efficace, puisque là, c'est carrément pour chaque touche tapée qu'on ne peut pas revenir en arrière ( pas de touche "effacer" du tout ).
Or, un systeme de type digicode est attaquable par force brute exactement de la même façon qu'un systeme où on peut revenir en arrière dans la saisie du mot passe : il suffit de finir par trouver le mot de passe global...
Je te lance un défit alors. Je mets le même nombres de caractères que dans ton digicode et on va voir combien de temps tu mets. Okay? ^^
Cordialement,
Fish-panai.
P.S (Pas Salé): Vive le poisson pané.
Avatar du membre
sksbir
Niveau 7
Niveau 7
Messages : 384
Enregistré le : lun. 26 oct. 2009 17:57
Localisation : Lyon
Status : Hors ligne

Re: [Ex] Sécurité par triple mot de passe

#43

Message par sksbir »

Fish a écrit :Je te lance un défit alors. Je mets le même nombres de caractères que dans ton digicode et on va voir combien de temps tu mets. Okay? ^^
Pas de problème.
Mon digicode, c'est 10 chiffres ( 0 à 9 ) , il en faut 5 pour ouvrir la porte.
ça fait donc de 00000 à 99999, soit 100000 combinaisons possibles.

Donc, maintenant, tu m'expliques comment, en tapant 5 chiffres de 0 à 9 ( et rien d'autre ), tu peux obtenir plus de combinaisons ?
Avatar du membre
Iste
Niveau 11
Niveau 11
Messages : 1870
Enregistré le : jeu. 04 déc. 2008 14:21
Localisation : 76
Status : Hors ligne

Re: [Ex] Sécurité par triple mot de passe

#44

Message par Iste »

@sksbir : en suivant le fil et en voyant que pour 5 caractère, Fish nous pond un mdp de 7 caractères !
C'est donc bien plus long a forcer qu'un code de 5, mais comme les 2 en plus répondent a une certaine règle, c'est moins long a forcer qu'un code de 7

Non, le réel avantage de cette méthode elle qu'elle n'est pas conventionnelle. Donc il faut réécrire un bruteforcer. De plus, étant basé sur le secret, si l'attaquant ne connait pas son fonctionnement, il ne pourra jamais trouver le mdp avec une attaque classique.

@Baku : On peut aussi dire qu'on parle d'AutoIt a ce compte...
On discutait donc au final uniquement de la méthode de sécurisation, qui sera efficace dans le cas d'un client/server par exemple.
Signez ici
Avatar du membre
Fish
Niveau 5
Niveau 5
Messages : 178
Enregistré le : sam. 23 oct. 2010 19:28
Localisation : Devant mon ordinateur.
Status : Hors ligne

Re: [Ex] Sécurité par triple mot de passe

#45

Message par Fish »

Je précise : c'est comme dans un cas de figure réel : tu ne sais rien du système (nombre de mots de passes à taper inconnu).
Cordialement,
Fish-panai.
P.S (Pas Salé): Vive le poisson pané.
Avatar du membre
sksbir
Niveau 7
Niveau 7
Messages : 384
Enregistré le : lun. 26 oct. 2009 17:57
Localisation : Lyon
Status : Hors ligne

Re: [Ex] Sécurité par triple mot de passe

#46

Message par sksbir »

Iste a écrit :@sksbir : en suivant le fil et en voyant que pour 5 caractère, Fish nous pond un mdp de 7 caractères !
C'est donc bien plus long a forcer qu'un code de 5, mais comme les 2 en plus répondent a une certaine règle, c'est moins long a forcer qu'un code de 7
chuuut, je sais tout ça, c'est bien pour ça que j'ai précisé "et rien d'autre" , et puis c'est pas moi qui ait lancé un défi sur un digicode hein ? :lol:

En attendant, iste, tu rejoins ma pensée quand je proposais de coder en autoit quelque chose qui ressemble au verrouillage android dont j'ai cité un lien précédemment dans ce topic : Le but est bien de désarçonner les possibilités d'attaque par bruteforce.
Par ailleurs, je suis assez d'accord avec TommyDDR : la méthode des 3 mots de passes est trop lourde pour être attrayante.

@fish : ça ne change rien au statistiques comparées. Évidemment, ça fait un peu plus que 100000 combinaisons brutes, car 01 n'est pas identique à 001, mais j'ai bien précisé que la solution était un nombre à 5 chiffres. Le programme par force brute n'a pas d'états d’âmes du genre "pffff, je sais pas combien yen a, alors je suis découragé"... il va commencer à 0 et s'arrêter quand il aura trouvé la bonne combinaison...
Avatar du membre
Fish
Niveau 5
Niveau 5
Messages : 178
Enregistré le : sam. 23 oct. 2010 19:28
Localisation : Devant mon ordinateur.
Status : Hors ligne

Re: [Ex] Sécurité par triple mot de passe

#47

Message par Fish »

Bonne chance!
Combien de temps tu te donne? :)
Fichiers joints
Bonne chance x86.rar
(289.5 Kio) Téléchargé 251 fois
Modifié en dernier par Fish le lun. 16 avr. 2012 14:10, modifié 1 fois.
Cordialement,
Fish-panai.
P.S (Pas Salé): Vive le poisson pané.
Avatar du membre
sksbir
Niveau 7
Niveau 7
Messages : 384
Enregistré le : lun. 26 oct. 2009 17:57
Localisation : Lyon
Status : Hors ligne

Re: [Ex] Sécurité par triple mot de passe

#48

Message par sksbir »

Fish a écrit :Bonne chance!
Combien de temps tu te donne? :)
n'est pas une application win32 valide.. l'appli dans le rar fait 820 542 octets. t'es parti de la même taille ?
Avatar du membre
Fish
Niveau 5
Niveau 5
Messages : 178
Enregistré le : sam. 23 oct. 2010 19:28
Localisation : Devant mon ordinateur.
Status : Hors ligne

Re: [Ex] Sécurité par triple mot de passe

#49

Message par Fish »

Ah mais t'es pas sous x64? Okay, je t'en refais une.
C'est édité!
Cordialement,
Fish-panai.
P.S (Pas Salé): Vive le poisson pané.
Avatar du membre
mikell
Spammer !
Spammer !
Messages : 6292
Enregistré le : dim. 29 mai 2011 17:32
Localisation : Deep Cévennes
Status : Hors ligne

Re: [Ex] Sécurité par triple mot de passe

#50

Message par mikell »

:wink:
Fish a écrit :Bravo
Tu a gagné, FishPanai à perdu!
" L'échec est le fondement de la réussite. " (Lao-Tseu )
" Plus ça rate, plus on a de chances que ça marche " (les Shadoks )
Avatar du membre
Fish
Niveau 5
Niveau 5
Messages : 178
Enregistré le : sam. 23 oct. 2010 19:28
Localisation : Devant mon ordinateur.
Status : Hors ligne

Re: [Ex] Sécurité par triple mot de passe

#51

Message par Fish »

Ca c'est simple, me dire quels sont les mots de passe en me les envoyant par mp, ça l'est moins. Moi aussi je sais dé-compiler un .exe. :mrgreen: Qui me dit que tu n'a pas fait comme ça.
Et puis je doute que si tu à joué réglo tu ai fait ça à la main, fais voir le code de ton bruteforcer modifié?
Cordialement,
Fish-panai.
P.S (Pas Salé): Vive le poisson pané.
Avatar du membre
mikell
Spammer !
Spammer !
Messages : 6292
Enregistré le : dim. 29 mai 2011 17:32
Localisation : Deep Cévennes
Status : Hors ligne

Re: [Ex] Sécurité par triple mot de passe

#52

Message par mikell »

Si je veux casser une protection par mdp, c'est pas dans le but d'obtenir le mdp dont je me fous complètement, c'est pour avoir accès aux infos planquées derrière :wink:
Tu te vois dire au pirate qui cracke ton soft "hé, c'est de la triche, c'est pas réglo, t'as pas joué le jeu !" :mrgreen:
Dans le titre de ton sujet ya le mot "sécurité", donc il suffit de montrer qu'une protection par mdp aussi chiadée soit-elle, si elle est seule ne vaut pas grand'chose
Bien sûr pour le pékin moyen c'est suffisant, mais alors dans ce cas la sophistication est inutile ^^
CQFD
" L'échec est le fondement de la réussite. " (Lao-Tseu )
" Plus ça rate, plus on a de chances que ça marche " (les Shadoks )
Avatar du membre
Fish
Niveau 5
Niveau 5
Messages : 178
Enregistré le : sam. 23 oct. 2010 19:28
Localisation : Devant mon ordinateur.
Status : Hors ligne

Re: [Ex] Sécurité par triple mot de passe

#53

Message par Fish »

Dans le cadre d'une relation client serveur, tu ne peux savoir ce qu'il y a derrière, mets toi en situation. Et ta victoire n'est pas complète du coup. ;) Au fait : http://www.autoitscript.fr/wiki/FAQ_Decompilation
Wiki AutoIT a écrit :Si vous mentionnez que vous avez utilisé un tel décompilateur, vous serez bloqué de manière définitive du forum et du tracker. Vous pouvez être bloqués pour n'importe laquelle des raisons suivantes:

* Admettre avoir décompilé votre propre script avec un tel décompilateur.
* Admettre que vous avez décompilé le script d'un autre utilisateur avec un tel décompilateur.
* Écrire sur un forum n'importe quel script qui aurait été décompilé par un tel décompilateur.

Ceci inclus la décompilation de scripts sous forme binaire. Sous aucunes circonstances, un script ne doit être décompilé ,sans la permission explicite de son auteur et que le script soit décompilable avec le décompilateur officiel.
De plus, trouver le mot de passe est plus qualitatif que de le contourner : Tu peux très bien défoncer la porte ou il y a le digicode dont on parlait. Mais la meilleure solution reste de trouver le code pour accéder a l’intérieure discrètement et a plusieurs reprises.
Cordialement,
Fish-panai.
P.S (Pas Salé): Vive le poisson pané.
Avatar du membre
mikell
Spammer !
Spammer !
Messages : 6292
Enregistré le : dim. 29 mai 2011 17:32
Localisation : Deep Cévennes
Status : Hors ligne

Re: [Ex] Sécurité par triple mot de passe

#54

Message par mikell »

Fish a écrit :Et ta victoire n'est pas complète du coup. ;)
Bien sûr que si, voyons... j'ai traversé la protection, point-barre !
Un mot de passe doit être interprété par un soft dans le but d'autoriser quelque chose, si j'arrive à m'introduire dans le soft en question, alors c'est bon
Ah mais, je ne me souviens pas avoir mentionné quoi que ce soit à ce sujet... en fait si tu veux tout savoir, j'ai lu la solution dans la boule de cristal qui est dans la poche de droite de l'étui de mon outil qui s'appelle mikellator.exe
Fish a écrit :De plus, trouver le mot de passe est plus qualitatif que de le contourner : Tu peux très bien défoncer la porte ou il y a le digicode dont on parlait.
En l'occurence on parle plutôt de court-circuiter le digicode (c'est moins salissant et ça réveille pas les voisins) :mrgreen:
" L'échec est le fondement de la réussite. " (Lao-Tseu )
" Plus ça rate, plus on a de chances que ça marche " (les Shadoks )
Avatar du membre
Fish
Niveau 5
Niveau 5
Messages : 178
Enregistré le : sam. 23 oct. 2010 19:28
Localisation : Devant mon ordinateur.
Status : Hors ligne

Re: [Ex] Sécurité par triple mot de passe

#55

Message par Fish »

Autoit Wiki a écrit :Si vous mentionnez que vous avez utilisé un tel décompilateur, vous serez bloqué de manière définitive du forum et du tracker. Vous pouvez être bloqués pour n'importe laquelle des raisons suivantes:

* Admettre avoir décompilé votre propre script avec un tel décompilateur.
* Admettre que vous avez décompilé le script d'un autre utilisateur avec un tel décompilateur.
* Écrire sur un forum n'importe quel script qui aurait été décompilé par un tel décompilateur.

Ceci inclus la décompilation de scripts sous forme binaire. Sous aucunes circonstances, un script ne doit être décompilé ,sans la permission explicite de son auteur et que le script soit décompilable avec le décompilateur officiel.
Comment tu trouve la MsgBox sans avoir le mot de passe? Je te le demande.
Tu te rends coupable de choses très très graves là... :o
T'a pas été réglo c'est tout... Réessaye sans décompiler.
Modifié en dernier par Fish le lun. 16 avr. 2012 17:50, modifié 1 fois.
Cordialement,
Fish-panai.
P.S (Pas Salé): Vive le poisson pané.
Avatar du membre
mikell
Spammer !
Spammer !
Messages : 6292
Enregistré le : dim. 29 mai 2011 17:32
Localisation : Deep Cévennes
Status : Hors ligne

Re: [Ex] Sécurité par triple mot de passe

#56

Message par mikell »

Pas la peine de s'énerver, tu vois du script dans ce que j'ai écrit ici ?
Moi je ne vois qu'une sympathique petite phrase de félicitations, extraite de ton dernier MP (que je viens malencontreusement d'effacer) :P
" L'échec est le fondement de la réussite. " (Lao-Tseu )
" Plus ça rate, plus on a de chances que ça marche " (les Shadoks )
Avatar du membre
Fish
Niveau 5
Niveau 5
Messages : 178
Enregistré le : sam. 23 oct. 2010 19:28
Localisation : Devant mon ordinateur.
Status : Hors ligne

Re: [Ex] Sécurité par triple mot de passe

#57

Message par Fish »

C'est directement tiré du script que j'ai fait, et dont l'exe se trouve bien gentiment rangé dans mon message.
Je prends la peine de prendre des screens ou pas? Ma boite d'envoi est vide.

Admets juste que tu n'a pas été réglo en contredisant les règles... On ne sera pas obligé de faire tout ce flan.
Cordialement,
Fish-panai.
P.S (Pas Salé): Vive le poisson pané.
Avatar du membre
mikell
Spammer !
Spammer !
Messages : 6292
Enregistré le : dim. 29 mai 2011 17:32
Localisation : Deep Cévennes
Status : Hors ligne

Re: [Ex] Sécurité par triple mot de passe

#58

Message par mikell »

Hum... il me semble percevoir comme une affligeante absence de fair-play

Pour ta gouverne, en plus des MP providentiels il existe aussi des outils appelés debuggers, qui ont l'agréable propriété de te permettre de naviguer en 'live' dans un processus en cours d'exécution... toute ma jeunesse Image
" L'échec est le fondement de la réussite. " (Lao-Tseu )
" Plus ça rate, plus on a de chances que ça marche " (les Shadoks )
Avatar du membre
Iste
Niveau 11
Niveau 11
Messages : 1870
Enregistré le : jeu. 04 déc. 2008 14:21
Localisation : 76
Status : Hors ligne

Re: [Ex] Sécurité par triple mot de passe

#59

Message par Iste »

On va éviter le gros rouge clignotant qui pique les yeux si vous voulez bien. Merci.

On sait tous ici que AutoIt n'est pas un refuge sécurisé pour nos infos.
Aussi, ce débat n'a de sens que si l'on prend en compte le fait que cette technique pour mot de passe n'est appliqué dans un cadre ou l'on ne peut pas accéder au contenu de la boite noire, comme dans le cas d'un client/server.

Sinon, c'est aussi idiot que de dire que dans tout les cas, il suffit de trouver un admin et de le tabasser pour avoir le mdp :o

Donc si certain veulent prouver quelque chose, qu'il le fassent par du code ou des maths.
On ne parle pas de décompilation sur ce forum, encore moins quand ca n'apporte rien au sujet !

Au passage, jchd et TommyDDR ont déjà donné de très bonnes réponses sur les ordre de grandeurs des temps de crackage, qui aurait du clore le débat depuis déjà bien longtemps.
Signez ici
Avatar du membre
sksbir
Niveau 7
Niveau 7
Messages : 384
Enregistré le : lun. 26 oct. 2009 17:57
Localisation : Lyon
Status : Hors ligne

Re: [Ex] Sécurité par triple mot de passe

#60

Message par sksbir »

moi, j'en suis resté là avec la version X86:
PROXY INTERNET - Accès refusé
L'accès à cette page vous a été refusé
car ce virus a été détecté :
ClamAV: Trojan.Autoit-124
Finalement, c'est peut-être ça la meilleure protection :mrgreen:
Blague à part, j'ai pas eu le temps de regarder plus loin pour le moment...
Répondre