http://elfe444.chez.com/brute_force6.php (on génère toutes les combinaisons, on hache, on compare: DAAD s’affiche en rouge. enfantin.)

Merci encore pour tes explications très claires Androc.

Pourquoi certains webmaster stockent les hash des mots de passe ?
La vraie question est « pourquoi certains stockent leurs mot de passe en clair ? ».

Il faut stocker les hash des mots de passe, tout simplement parce que si quelqu’un utilise une faille sur le site web et réussi à accéder à la base de données, il aura tous les mots de passe en clair.
Alors que si il obtient les hash ils faudra en plus qu’il les pète.

« Oui mais, les mots de passe circulent en clair, donc quel est l’intérêt de les stocker sous forme de hash si ils sont interceptés avant ? ».

En effet, si ils sont interceptés en clair, t’es niqué. D’un autre côté il arrive bien plus souvent que le site web soit vulnérable plutôt qu’un attaquant ai la possibilité d’écouter la ligne.
De plus, il existe SSL pour se prémunir de l’écoute.

En effet Lea a dit « ça sert à tester l’integrité », c’est le but premier du hash.
Mais dans le cas des mots de passe, cela permet de masquer un texte clair pour éviter que le secret soit éventé directement.

J’ai une question : Pourquoi certains webmasters hachent les mots de passe stockés en bdd? Mauvaise habitude ? quelle est l’utilité ?? (Ne vaudrait-il pas mieux les chiffrer, à la limite ?) Surtout que Lea a bien précisé que le hachage sert seulement à tester l’intégrité.

Je ne me suis pas servi de ton indice et j’ai fait tourné un bruteforcer codé rapidement en Python en testant toutes les combinaisons (minuscules, majuscules, chiffres, caractères spéciaux) en partant de 1 caractère, jusqu’à trouver la solution.

Héhé, j’attends de voir tourner ton algorithme en ligne, si c’est « si simple ».

Je n’allais pas mettre un mot de passe hyper-difficile, sinon même un brute force aurait pris des siècles.

Par contre, personne n’a encore trouvé la solution, c’est donc toujours un challenge. ^^

Ca n’est pas un challenge, désolé

Bon, quelques indices supplémentaires :

-le mot est composé de seulement 4 lettres majuscules. ( pas de chiffres, ni minuscules, ni caractères spéciaux.)

-Il suffit donc de comparer toutes les lettres possibles avec leur hash correspondant!

Il n’y pas un Hacker dans la salle ???

Le 3ème et dernier challenge est à votre hauteur, chers amis.
Il s’agit cette fois de cracker le mot suivant, haché en SHA-256 :

4148a40b6f91e2b22b89a901559ee3d4ff08ff410b0c850250b20cf1bce41bbc

Cette fois, les plugins de firefox ne pourront pas vous aider.
Un indice toutefois : le mot est composé uniquement de lettres majuscules.

Je donnerai la solution dans quelques jours…
Good Hacking!!

Nous ne sommes pas non plus là pour tester tes challenges de sécurité afin de te prouver que tu n’utilises pas la bonne approche

Si tu veux apprendre des choses en sécurité/crypto en t’amusant, va ici : http://www.newbiecontest.org
Il y a plusieurs petits challenges sympas, notamment en JavaScript, tu verras qu’aucune protection reposant sur de l’obfuscation de code est efficace.

@Androc

J’ai pensé que je pourrais vendre cette super protection Javascript à la société qui est citée dans ton lien « thedailkywtf.com ».
Avec un peu de bol, ils vont l’acheter! lol

p.s: Le nouveau champ est là pour le fun. Mais il peut servir à hacher.
RV sur le challenge n°3. Ce sera du sérieux cette fois.

J’ajouterai, pour enfoncer le clou, que cette fois ni le login, ni le mot de passe n’étaient requis pour réussir

@Elfe : ne va pas croire qu’il nous a fallu 2h à Cool ou moi même pour trouver la solution, on ne surveille pas non plus le fil tout le temps. En tout et pour tout, il nous a fallu le temps de « découvrir » ta nouvelle interface de connexion (5s), de comprendre à quoi sert ce nouveau champ (optionnel, 10s), de regarder la source (5s), de lancer Firebug (2s), de mettre des espions sur la/les valeurs qui vont bien (10s).

Encore une fois, je ne sais pas ce qui se cache derrière le hash, je n’ai même pas essayé de comprendre à quoi sert ce nouveau champ, on obtient directement la valeur de la page à afficher sans problème.

A la rigueur, si tu veux vraiment t’amuser avec une protection JavaScript, fais la méthode que je t’ai indiqué ou utilises jCryption mais c’est juste pour s’amuser.

Il 2 ne 1 faut 9 pas 9 faire 6 de protections de ce type, ça ne sert à rien

Edit : @cool: oups j’avais pas vu, pareil

Ca sert a rien de transformé les caractères en hexa.

J’utilise firebug, et je lance
console.log(_0x4921);

Et paf, j’ai tout en clair!

grande différence entre chiffrer un formulaire et protéger une connexion!!

Et effectivement, tu as raison. Si quelqu’un sniffe la connection, c’est mort.

J’ai testé encore ce matin, le sniffer enregistre tout! Mot de passe chiffré ou pas. Il affiche les fichiers auquels on s’est connecté avec leur contenu source complet… ça fait froid dans le dos… Donc SSL obligatoire, oui.

J’ai appris vraiment beaucoup de choses, merci!

————————————————————
Bon, un petit jeu de Hack juste pour le fun : (attention, c’est pour s’amuser)

Essayez de casser ma protection javascript et de lire le nombre affiché sur la page 2 de mon site :
login=challenge
mot de passe haché en SHA-256 = be178c0543eb17f5f3043021c9e5fcf30285e557a4fc309cce97ff9ca6182912

http://allwebradio.free.fr/index2.php

P.S : ATTENTION Comme l’a écrit Androc, ce type de « protection » NE VAUT RIEN! car il suffit de décoder Javascript. Et En cas de sniffer, ça vaut que dalle.

C’est juste pour voir en combien de temps quelqu’un peut trouver la solution et accéder à la page. Qui va réussir en 1er ? encore Androc ? ^^

Good Hacking!

si le RSA est correctement implémenté, ça peut éventuellement « le faire ».
Mais bon … il faut que la personne en face ai JavaScript d’activer.
Je pense que tu trouveras plus souvent un client qui supporte SSL mais pas JavaScript que l’inverse.
J’en veux pour preuve mon ancien portable qui ne supportait pas JavaScript mais avec lequel je pouvais me connecter sur des sites sécurisés.

Le problème, c’est que du côté serveur tu es obligé de gérer cette authentification, en envoyant ta clé dans la page mais apparemment, c’est prévu par les deux plugins.

MAIS ces deux plugins n’utilisent le RSA que pour la partie chiffrement et non authentification.

Donc, dans le cadre d’une procédure de login, avec ça tu vas résister à des attaques de type écoute passive->rejeu mais en aucun cas à une attaque du type main in the middle.

Donc, si c’est juste pour faire ça il y a beaucoup plus simple à faire :
- le serveur envoi une chaîne aléatoire au client
- le client hash le mot de passe, concatène avec la chaîne aléatoire et hash le tout
- le client envoie le hash final au serveur
- le serveur compare le hash final avec chaîne aléatoire+hash du mot de passe correspondant au login et boum, ça fait des chocapic

Tu as sans doute sensiblement la même sécurité pour un effort de calcul bien moindre.

L’intérêt de ces deux plugins c’est de pouvoir chiffrer n’importe quel formulaire et non pas uniquement « protéger » un mécanisme de login, mais bon ça reste un exercice amusant qui ne doit pas être utilisé là où la sécurité est vraiment primordiale.

Ca peut être intéressant pour masquer les données aux petits malins qui ne font qu’écouter la ligne mais c’est tout.

Si quelqu’un est actif sur la ligne (man in the middle) t’es tout con avec ton RSA en JavaScript.

- envoie de la clé publique du serveur au client
- le vilain intercepte cette clé publique, la stocke et envoie au client SA propre clé publique
- le client reçoit la clé publique du vilain, chiffre ses données avec et l’envoie au « serveur »
- le vilain pas beau reçoit le message chiffré, le déchiffre avec sa clé privée, le lit, se marre bien parce que le nom de ta rue est « poilaubras », note sur un bout de papier ton numéro de carte bleue, chiffre le message clair avec la clé publique du serveur et l’envoie au serveur
- le serveur est tout content car il a reçu une nouvelle commande d’un client

Bref …

Donc ça peut être rigolo pour résister aux écoutes passives « vite fait » mais c’est tout.

Et encore, vu que la longueur de clé par défaut est 512bits, si les données sont intéressantes sur la durée (numéro de CB, préférences sexuelles, mot de passe, etc.) le vilain pas beau tout moche peut casser le chiffre en différé.

Le premier, (utilisant javascript, jQuery et RSA pour le chiffrement : ‘Jcryption’ est disponible ici : http://www.jcryption.org
(en anglais). Daniel Griesser, son auteur, nous dit:
« I created jCryption because I thought there must be an easier way to protect data of HTML forms in the internet than to install a SSL certifacte. So I started with jCryption and I hope it’s useful. »

Le deuxième projet, ‘jCryption2′, en français, de Samuel Roze, est dispo ici : http://www.d-sites.com/projets/jcryption2/
« jCryption est une petite application JavaScript utilisant jQuery à ajouter à votre site qui permet de crypter un formulaire de données à l’aide d’un système de clé publique/clé privée. Ainsi, tout ce qui circule sur le réseau est protégé! Cela peut être utile lorsque qu’il vous est impossible de mettre en place un accès HTTPS ou lorsque le client (le visiteur) ne supporte pas le HTTPS mais a le JavaScript. »

Voilà 2 auteurs que je vais contacter pour participer à les aider!

@ Androc, qu’en penses-tu ? car selon toi, SSL est obligatoire.
Ta technique redoutable permet aussi de craquer leur chiffrement ?
Penses-tu que leur système est fiable, ou craquable en cas de sniffage ?
Si ça résiste au sniffer, je l’installe pour mes applis. ^^

Démo ici : http://www.jcryption.org/examples/
J’apprends beaucoup de choses avec Lea et toi, merci beaucoup!

Existe t-il un moyen (non payant) d’échapper aux sniffers ?

Tu peux chiffrer avec ce que tu veux ça n’a aucune importance dans le cas présent.

Tu devrais éviter de réinventer la roue, surtout avec des outils non adaptés et te concentrer sur de la vraie sécurité.

Mais bon, rassure toi, il y a des experts qui font bien pire que toi : http://thedailywtf.com/Articles/So-You-Hacked-Our-Site!.aspx

Edit : ah oui et puis ça ne sert à rien non plus de rendre illisible ton javascript, je n’ai même pas regardé la source de ta page.

En fait tu « fais un truc » côté client et tu envois unes chaîne d’authentification au serveur.

Celui-ci reçoit un « login » et un « mot de passe ».

Tu as beau l’envoyer en clair, en klingon, en couleur, à l’envers, en base 64, en buvant de la bière ou en te grattant le cul, du point de vue du serveur c’est un login et un mot de passe. Du moment que le client et le serveur sont en phase pour savoir comment obtenir le login/mot de passe, ça sera équivalent à un message en clair.

Alors, ok l’humain ne connaîtra pas le mot de passe, dans ton exemple, mais il n’en a pas besoin vu que le serveur authentifie l’utilisateur en fonction de son hash.

Tu peux même « renforcer » la « sécurité » de ton site en hashant le login, si quelqu’un sniff la connexion, c’est mort.

Le seul avantage d’avoir hashé ton mot de passe est que si tu l’utilises pour une autre appli (tes mails, un compte de jeu sur internet, etc) le méchant hacker ne pourra pas s’authentifier car il n’aura pas le mot de passe en clair.

Tu peux te convaincre de ce que je raconte en installant Tamper Data pour Firefox.

- Tu vas sur ton site
- Ensuite tu fais Outils->Altérer données->Démarrer altération
- Tu tapes « challenge » en login sur ton site et « prout » (ou n’importe quoi) en mot de passe, tu valide
- Tu fais « altérer les données » dans la popup Tamper Data, tu remplaces le hash que tu vois par le hash que tu as donné et bingo

@elfe : relis l’attaque que j’ai écrite. On a jamais besoin de connaitre le mot de passe dans ton truc. Man-in-the-Middle attack, tu connais? Et schtroumpf! une fonction de hachage c’est pour faire de l’intégrité pas du chiffrement

Bon la thésarde en rédaction que je suis craque… Elfe, utilise une solution classique. ssl c’est cool…

Help, please…

Comment se fait-il que le mot de passe circule en clair puisque je le réçois haché sur le serveur ? même wireshark me le donne haché et non pas en clair…

Je pensais que js est à sa place, puisqu’il ne sert pas à déchiffrer le mdp.

Tu peux me dire comment tu obtiens le mdp en clair ?? Merci de m’expliquer.