Comment savoir que vous tapez le bon mot de passe ?

Korben · Novembre 10, 2015, 5:35

http://korben.info/comment-savoir-que-vous-tapez-le-bon-mot-de-passe.html
Quand vous entrez un mot de passe sur un formulaire d’authentification, comment savoir que c’est le bon et que vous n’avez pas fait d’erreur ? En général, on balance ses identifiants et on attend de voir si on se mange un message d’erreur. Mais avec l’extension Firefox Unicornpass, tout ça c’est terminé. En effet, une…

jpaul · Novembre 10, 2015, 6:43

C’est pas bête cette petite extension

jpaul · Novembre 10, 2015, 6:48

Rien à voir avec l’article (enfin quand même si) mais t’es au courant de ça Korben ? http://lesscro.com/2015/11/10/comment-savoir-que-vous-tapez-le-bon-mot-de-passe/ Je n’y voit pas vraiment ton nom.

Dodutils · Novembre 10, 2015, 7:02

donc du coup il faut se souvenir de chaque pass et aussi éventuellement de chaque code couleur … c’est trop pour me petite tête

esseb · Novembre 10, 2015, 7:55

Mais pour générer les couleurs il faut que le mot de passe soit enregistré dans le navigateur ? Du coup il devrait déjà être pré-saisi dans le champ du mot de passe sans avoir à le saisir ?

Peut-être faut-il saisir une première fois le mot de passe pour que l’extension enregistre elle même le sha1.

Iceksy · Novembre 10, 2015, 8:18

Après l’être baladé un peu, il récupère tous les articles de Korben à son nom.

Dji · Novembre 10, 2015, 8:59

lesscro !

gnomesgames · Novembre 10, 2015, 9:02

Pas besoins, le SHA1 est une fonction que tu applique sur le mot de passe, et en sortie ca sort une string unique par rapport au mot de passe, le plugin a ensuite surement une fonction qui pour in SHA1 donné renvoie un code couleur unique

esseb · Novembre 10, 2015, 9:18

Oui donc il doit falloir saisir le mot de passe une première fois et le plugin enregistre le sha1 dans sa bdd. Au début je pensais qu’il se basait sur les passwords enregistrés par le navigateur et je trouvais ça idiot vu qu’ils étaient déjà enregistrés. Mais je vois mieux maintenant

sebsauvage · Novembre 10, 2015, 9:23

Sinon il y a aussi ça:

Sam & Max avaient développé une version Javascript de VizHash (un hash visuel que j’avais développé):

(et la version php d’origine: http://sebsauvage.net/wiki/doku.php?id=php:vizhash_gd )

sebsauvage · Novembre 10, 2015, 9:24

EDIT: ils ont même fait plugin jQuery: http://sametmax.com/jquery-visual-password-creer-hash-un-visuel-dun-password-en-cours-de-frappe/

baptiste · Novembre 10, 2015, 9:29

Il porte bien son nom

gnomesgames · Novembre 10, 2015, 9:42

Même pas besoins d’enregistrer , example :
Mot de passe : Bobby
SHA1(Bobby) = “6028c94f2113ccbdea89f2c561aa532ffa4a9eca”

Il faut a partir de 6028c94f2113ccbdea89f2c561aa532ffa4a9eca récupérer un certain nombre de couleurs, une couleur c’est 3 bloc de valeur entre 0 et 255 (pour le rouge, le bleu et le vert), donc il nous faut 3x blocs de valeurs entre 0 et 255.
Le SHA1 fait 41 caractères de long, chaque caractères a 16 possibilités (c’est de l’hexadecimal, entre 0 et 9 et a,b,c,d,e et f), donc 2 caractères nous donne 16x16 -> 256 valeurs (exactement ce qu’on a besoins).
On prend donc les 36 premiers caractères, on les regroupe par deux, et on convertit chaque bloc de deux caractères en valeur entre 0 et 255.
Au total ca nous donne 36 / 2 / 3 -> 6 couleurs.

Et voilà , comme la fonction SHA1 garantie que pour une chaine de caractères donnée on aura toujours le même SHA1 en sortie, en faisants ces opérations a chaque fois, on peut ressortir toujours les même 6 couleurs pour le même mot de passe, sans avoir à stocker les couleurs :).

esseb · Novembre 10, 2015, 10:02

Mais c’est bien sur …
C’est juste un repère visuel en fait, y’a pas de comparaison par algo…
Merci pour tes lumières détaillées, on se croirait presque sur stackoverflow

gnomesgames · Novembre 10, 2015, 10:18

Ahah en rédigeant la réponse justement je pensais à çà :
http://www.commitstrip.com/fr/2015/11/03/guys-who-overdo-it-on-stackoverflow

esseb · Novembre 10, 2015, 10:32

J’y pensais également

jpp · Novembre 10, 2015, 1:13

ca me fait penser au login dans lotus notes, pour ceux qui connaissent…

redbug · Novembre 10, 2015, 1:35

Present depuis l’origine sur le gestionnaire de mot de passe sur mac, KyPass Companion.

islogged · Novembre 10, 2015, 2:12

lol clairement !
Qui copie qui ? http://lesscro.com/category/informatique/
Ca craint !

octy · Novembre 11, 2015, 1:28

Sauf que cela pose tout de même un petit problème de sécurité si quelqu’un est capable d’enregistrer les séquences de couleurs pendant la saisie du mot de passe (par exemple quelqu’un qui filmerait votre écran avec son tél, même de quelques mètres).

À chaque nouveau caractère saisi une nouvelle séquence de couleur apparait, donc:

Saisie du caractère 1 (: un code couleur est affiché. Grâce à ce code couleur il est facile de deviner le caractère, il suffit de tous les essayer pour trouver celui qui génère le code couleur (Majuscule+minuscules+chiffres+symboles, disons qu’il y a 80 possibilités pour arrondir).
Saisie du caractère 2: nouveau code couleur. Mais le premier caractère est dejà connu grâce à l’étape précedente, il faut donc calculer le SHA1 sur la concaténation du premier caractère avec toutes les possibilités pour le deuxième (encore environ 80 possibilités)

etc pour tous les caractères du mot de passe.

Donc en connaissant toutes les séquences de couleurs, on attaque un mot de passe de ‘n’ caractères en 80*n opérations alors que l’on espérait une compléxité de 80^n

Edit: cela m’intrigait tout de même qu’ils n’aient pas pensé à cela, je suis donc allé voir de plus prêt leur outil. Ils utilisent un salt pour le calcul du hash, donc cette attaque n’est pas possible sans avoir également le salt. Ce qui rend les choses plus compliquées (au moins on ne peut plus craque le mot de passe en espionnant les codes couleurs).