Re: Comment font-ils pour cracker

Sylvain a écrit :
> ChP wrote on 26/03/2008 11:12:
>>
>> Mon but est de protéger un mot de passe, pas de cracker un code, mais 
>> je me suis toujours posé cette question.
> 
> "protéger" peut signifier plusieurs choses, vous ne dites pas clairement
> lesquelles vous préoccupent, on peut citer:
> - protéger son stockage: être sur qu'il n'est pas lisisble par qui n'est 
> pas autorisé,
> - protéger son utilisation: ne pas autoriser un nombre illimité d'essai
> - protéger son rejeu: s'assurer qu'une présentation valide dérobée ne 
> peux pas être représentée pour obtenir les droits associés.
> 
>> [...]
>> Le nombre de combinaisons que cela représente doit être gigantesque. 
>> De plus, à chaque essai, un test doit être fait pour voir si le 
>> résultat est correct.
> 
> faire un nombre gigantesque d'opérations ne sert à rien si nombres 
> d'entre elles s'annulent, ou participent juste à construire ce qui sera 
> vérifié (ie un pattern peut être imprévisible et non le mot de passe 
> saisi).
> 
> certes si cette construction prend 10mn cela freinera une attaque 
> exhaustive mais cela sera sûrement inacceptable pour l'utilisateur 
> légitime.
> 
>> Du haut de mon ignorance, j'ai du mal à imaginer qu'on puisse aisément 
>> cracquer un tel cryptage s'il est peu répandu.
> 
> penser que quelque chose est sur car son procédé est inconnu est souvent 
> une erreur.
> 
> de ce que vous dites il semble que ce chiffrement sera inutile, 
> l'attaque soumettra un mot de passe quelconque qui passera comme dans le 
> cas nominal par cette machine à brouiller, l'attaquant ne moque de 
> savoir si vous brouillez ou pas, il attaque de la même façon.
> 
> ce chiffrement évite l'utilisation des mots de passes dans le cas où le 
> fichier des mots de passe peut être dérobé; mais ce cas n'est pas un 
> strict problème de crypto. si cette attaque est possible vous devez 
> l'adresser en premier en sécurisant son accès.
> 
> Sylvain.

Merci pour ces explications.

Mon problème est le suivant : J'ai un site WEB chez un FAI. Sur ce site, 
il y a une base de données et son accès ne peut se faire que si on donne 
un mot de passe. Cette base de données contient des tables de liens vers 
des images que tout le monde peut consulter. Je ne demande pas à 
l'internaute qui visite mon site de fournir un mot de passe. Par 
conséquent, je dois avoir, quelque part sur mon site, crypté ou pas, ce 
mot de passe pour que je puisse accéder à la base de données.

J'ai cru comprendre que malgré des protections nominales (.htaccess 
entre autres) des petits malins étaient capables d'aller explorer les 
fichiers et donc d'en extraire un mot de passe (mais peut-être je me 
trompe). C'est pour cette raison que je souhaite le crypter.

Ce que j'ai fait comprend quatre niveaux de transformations et doit bien 
prendre quelques microsecondes de traitement !

Cordialement.

Pierre