Gaim/Pidgin - Page 2

kim (./24) :
- l'authentification via le hash directement ne sert strictement à rien, cela revient à dire que le mot de passe *est* le hash, et donc le mdp est en clair.- non, mais un md5+salt par exemple est clairement mieux qu'un mdp en clair.

Ca, c'etait une reponse a Ximoon.. quant au petit-frere etc. Sinon oui, on est d'accord.

Pourqoui stocker ses mots de passe aussi ? C'est sûr qu'entre boites mails + messageries instantnées + forums + accès au poste de travail pro etc etc... Ca en fait quelques uns à taper, mais tant qu'on peut pas pirater les gens, la méthode la plus sûre c'est la mémoire (celle des boyaux de la tête, pas celle à base de silicium!).

lekteur (./33) :
tant qu'on peut pas pirater les gens

On peut... Hypnose, substances diverses (pour certaines personnes, même le commun éthanol est suffisant), social engineering (phishing, ...) etc.

Le manque de smiley dans ton post m'inquiète, KK

Les différents services secrets ne prennent peut-être pas ce qu'il a dit à la rigolade.

Sinon, le mieux c'est de ne pas stocker le mot de passe sur son ordi, et de l'oublier également soi-même.

Bah pour avoir un mot de passe, il suffit de le demander, c'est le plus simple

http://news.zdnet.co.uk/security/0,1000000189,39152442,00.htm

Il faut quand-même offrir une barre de chocolat en échange.

(Au travail, même pas besoin )

kim (./24) :

nEUrOO (./22) :

- une apps qui fonctionne comme pidgin ne peut pas encrypter le mdp pke ca doit effectuer la connection avec un serveur distant (ou alors fautdrait que les auth. permettent directement de checker avec le hash du mdp ce dont je ne suis pas sur) - le md5 n'est pas securise, mais n'est pas trivial non plus a peter

- l'authentification via le hash directement ne sert strictement à rien, cela revient à dire que le mot de passe *est* le hash, et donc le mdp est en clair.

Euh si, ça veut dire que si tu utilises le même mdp (ou deux mdp proches) pour deux services différents (c'est pas très sécurisé mais c'est une pratique courante sans système à la kwallet) le pirate ne pourra accéder qu'au service dont il peut lire les fichiers de conf... Ca veut dire aussi que le service peut implémenter une fonction "me déconnecter de toutes les applications" qui change le salt du md5 sans changer le mot de passe que tape l'utilisateur ^^

lekteur (./33) :
Pourqoui stocker ses mots de passe aussi ?

Sans doute parce que devoir taper systématiquement pour chaque site internet sur lequel on est habitué de venir, taper tous les mots de passe pour les IM qu'on utilise, il faudrait compter quelques minutes "juste pour ça". Si on peut réduire ça à 0 minutes, pourquoi ne pas l'envisager ?

Pollux (./40) :
Euh si, ça veut dire que si tu utilises le même mdp (ou deux mdp proches) pour deux services différents (c'est pas très sécurisé mais c'est une pratique courante sans système à la kwallet) le pirate ne pourra accéder qu'au service dont il peut lire les fichiers de conf... Ca veut dire aussi que le service peut implémenter une fonction "me déconnecter de toutes les applications" qui change le salt du md5 sans changer le mot de passe que tape l'utilisateur ^^

Hmmm on a pas du se comprendre. Si j'ai un mot de passe, mettons "toto", puis qu'on dise : toto permet de se connecter à gtalk, mais md5sum(toto) envoyé en clair au serveur de gtalk suffit aussi, alors ça signifie clairement que ce md5 devient aussi mot de passe d'authentification. Donc c'est naze. Après, ton idée de modifier le salt à chaque fois, ça veut dire qu'on a un md5 qui change tout le temps. Sauf que ça veut dire aussi qu'il faut pouvoir communiquer cette information, et ça veut aussi dire qu'il faut blinder ta fonction de déconnexion...

On peut envisager de réduire à 0 le temps passé à rentrer les mots de passe, mais ne pas aller plus loin que le stade "envisager"

oui, mais personnellement, au nom de mon confort, je suis prêt à regrouper l'ensemble des mots de passe que j'ai derrière un un peu plus béton qui ne serait utilisé qu'une fois et permettrait à toutes les applications de se connecter à droite et à gauche sans avoir :
1/ à taper mon mot de passe
2/ à devoir disposer en clair du mot de passe quelque part, peu importe où.

Les mots de passe stockés et chiffrés avec le SSHA1 de la reconnaissance digitale du pouce ?

Une identification purement biométrique c'est un bon moyen de "perdre" son pouce, oui

kim (./41) :

Pollux (./40) :
Euh si, ça veut dire que si tu utilises le même mdp (ou deux mdp proches) pour deux services différents (c'est pas très sécurisé mais c'est une pratique courante sans système à la kwallet) le pirate ne pourra accéder qu'au service dont il peut lire les fichiers de conf... Ca veut dire aussi que le service peut implémenter une fonction "me déconnecter de toutes les applications" qui change le salt du md5 sans changer le mot de passe que tape l'utilisateur ^^

Hmmm on a pas du se comprendre. Si j'ai un mot de passe, mettons "toto", puis qu'on dise : toto permet de se connecter à gtalk, mais md5sum(toto) envoyé en clair au serveur de gtalk suffit aussi, alors ça signifie clairement que ce md5 devient aussi mot de passe d'authentification. Donc c'est naze. Après, ton idée de modifier le salt à chaque fois, ça veut dire qu'on a un md5 qui change tout le temps. Sauf que ça veut dire aussi qu'il faut pouvoir communiquer cette information, et ça veut aussi dire qu'il faut blinder ta fonction de déconnexion...

Si si on parle bien de la même chose : bien sûr que le pirate peut accéder à gtalk à ta place une fois qu'il a volé ton md5, mais il ne sait pas que ton mot de passe est toto ce qui a plusieurs avantages :
- si tu utilises le mdp "tata" ou "toto2" pour un autre service il ne peut pas le deviner et donc pas s'y connecter
- même si tu utilises le mdp "toto" pour un autre service qui emploie md5(saltdelautreservice+toto) il ne peut rien faire non plus
- et si tu as un doute sur le fait que ton compte ait pu être piraté tu peux réinitialiser le salt pour te déconnecter (toi et l'éventuel pirate) de toutes les applications, c'est bcp moins compliqué que de trouver et retenir un nouveau mot de passe
(donc le nouveau md5 n'est évidemment pas retransmis à l'application : il faut retaper ton mot de passe pour te reconnecter, mais c'est rien par rapport au nb de fois où tu le taperais si tu ne stockais ton mdp nulle part de peur de te le faire voler ; et surtout on ne peut pas faire mieux : si le fichier de mdp est potentiellement accessible par un pirate il n'y a qu'une seule façon de distinguer entre un pirate qui a copié ton fichier de mdp et toi, c'est de t'obliger à retaper ton mdp de temps en temps)

Ca a aussi d'autres avantages : si tu vas dans un cybercafé potentiellement bourré de virus, c'est bien plus sûr d'utiliser un fichier de mdp qui contient un md5 salté que tu pourras invalider que de taper ton mot de passe en clair...

Pour ton point 2, faut encore que ça soit du smd5, parce que si c'est pas salé, bah dtc...