JeuxOnLineForumsPlusConnectés : 235 (sites) | 385 (forums)Créer un compte
Dark Age of Camelot
Général
Les forums JOL > Dark Age of Camelot > DAoC - Général > L'art de l'obstination RSS
   
Répondre
Partager Outils Rechercher
Avatar de <Tiviti / Sethx >
<Tiviti / Sethx > [NS]
Alpha & Oméga
 
Avatar de <Tiviti / Sethx >
 
J'ai eu un problemes similaires ..
Ils m'ont demandé de répondre a des question posé
du genre :
-Nom ?
-Prénom ?
-Clé CD ?
Ect .. et ils m'ont envoyé mes passé après 2 jours d'attente
Lien direct vers le message - Vieux
Avatar de Felix de Nerzh'ul
Felix de Nerzh'ul [Banni]
Roi / Reine
 
Avatar de Felix de Nerzh'ul
 
Citation:
Provient du message de Tixu
hum tu ne sais pas de quoi tu parle la...

tiens je te donne un exemple tres simple

ton code c'est 1234
et la clef par exemple serait generé comme suis
(1+2)*(3+4) soit 21.

voila si tu rentre 1234, je verifie que ca fait 21 mais je n'ai aucun moyen de connaitre ton pass. (qui pourrait etre aussi bien 3007, ou 2143 etc...)
md5 c'est juste un algo plus complexe qui evite que les clef soit suceptible d'etre trop similaire (tu peux creer un md5 d'un fichier texte de 100 mo si tu veux).

...et ?

en quoi ça empeche le proprietaire du code source de connaitre ton pass ?
il est pourtant bien capable de te le renvoyer par mail , .. non ?
et c'est pas en local sur ta machine , que ton pass est dechiffré , .. non ? , c'est bien le serveur qui reconstitue lui meme ton mdp , .. non ? , et si le serveur t'appartient , et que tu es propriétaire du code source , tu as donc une complète reversibilité du md5 , .
Lien direct vers le message - Vieux
Avatar de Zerross
Zerross
Alpha & Oméga
 
Avatar de Zerross
 
De toute façon un criptage c'est un algoritmes, si tu a l'algo de criptage tu peux decripter.

Mais je pense pas que c'est un post sur sa ici, la personne avait un probleme, le probleme est résolu je pense que le post est clo.
Lien direct vers le message - Vieux
Avatar de Tixu
Tixu
Alpha & Oméga
 
Avatar de Tixu
 
tout est bien qui fini bien alors

pour hojosan: on parlais du md5, alors c'est bien la peine que je me tape une explication qui te demontre par a+b le fonctionnement de ce systeme de verification mais tu m'as l'air trop obtu pour comprendre ce que je te dis.

Le fait que Goa puisse envoyer les login passe prouve en revanche qu'ils ne sont pas verifié par md5, c'est tout. C'etait une supposition de ma part.
Lien direct vers le message - Vieux
Avatar de Felix de Nerzh'ul
Felix de Nerzh'ul [Banni]
Roi / Reine
 
Avatar de Felix de Nerzh'ul
 
bon dsl de poursuivre ce thread , mais le monsieur a dit que gt obtus !


Ta demonstation n'en etait pas une ... , enfin ceux qui pratiquent le sujet n'auront pas besoin que je mette le doigt sur les ptits trucs ..

Ensuite , je suis tous les jours confronté de pres ou de loin , a des comptes clients , cryptés en md5 , et autres algo suivant les cas . Il y a TOUJOURS un moyen , pour l'administrateur d'un parc de clients/comptes , de redonner au client , les informations telles qu'il les a fournies , que ce soit en md5 en ssl etc ... , si tu veux plus de details , je t'invite a m'envoyer un pm.

voila dsl . post clos


petite note qd meme :
mattes dans tes cookies et fichiers internet temporaires , tu verras que goa utilise bien le md5 , ou un cryptage apparenté , qui crype ton mdp en local sur ta machine , avant de leur envoyer .
Lien direct vers le message - Vieux
Avatar de Natsume Kage No Shin
Natsume Kage No Shin
Alpha & Oméga
 
Avatar de Natsume Kage No Shin
 
faut envoyer papa casser les locaux de goa mon ptit loup !
Lien direct vers le message - Vieux
Avatar de Tixu
Tixu
Alpha & Oméga
 
Avatar de Tixu
 
hehe c'est un peu facile de clore les post comme ca
je continue un peu ici, car c'est interessant de savoir comment fonctionne le md5 et pourquoi il est non reversible:


je la reprends ma demonstration pour que tu comprenne tres bien:

tu choisi un mot de passe disons code c'est 1234.

et la clef du mot de passe par exemple serait generé comme suis
(1+2)*(3+4) soit 21.
tu as donc l'algorythme on est d'accord?

ce qui est sotcke sur le site qui vérifie ton mot de passe sera donc 21.
pas ton mot de passe.
ensuite lorsque tu tape ton mot de passe le site se contente de faire le calcul et de regarder si la clef generé correspond a la clef stockée.
c'est important de comprendre qu'il n'y a aucun stockage du mot de passe, juste la clef.

petit jeu
avec mon algo pourri, j'ai choisi un mot de passe. voici la clef:
72.
amuse toi a retrouver mon mot de passe simplement. tu n'as aucun moyen à par le brut force. Maintenant remplace mon algo par un truc plus lourd (deplacement de bit, soustraction de constante etc...) tu mettras des siecles à trouver le passe correspondant. le md5 genere un unique ID de 32 octets tu as le la marge!

maintenant en temps qu'admin tu peux en effet generer un nouveau mot de passe, mais tu ne pourras jamais retrouver le mot de passe original.
le md5 fonctionne comme cela.

edit je te renvoies la pour plus d'info: http://www.faqs.org/rfcs/rfc1321.html
Lien direct vers le message - Vieux
Avatar de Blinnith
Blinnith
Roi
 
Avatar de Blinnith
 
Citation:
Provient du message de Zerross
De toute façon un criptage c'est un algoritmes, si tu a l'algo de criptage tu peux decripter.

Mais je pense pas que c'est un post sur sa ici, la personne avait un probleme, le probleme est résolu je pense que le post est clo.
Je ne peux pas laisser passer des betises pareilles sur un forum lu par des jeunes ames sensibles...


Le principe d'un bon cryptage, c'est de proposer un algorythme clair et connu (il doit etre public pour prouver qu'il est bien fait), qui applique une opération à un ensemble de donnée, de telle maniere que cette opération soit irréversible a toute personne connaissant l'algorythme, mais ne connaissant pas une clef de decryptage. Exemple le DES (un peu vieillot comme exemple mais connu de tous), plus connu sous sa forme amélioré 3DES. Ou encore le nouveau cryptage AES.


MD5 n'est pas un algo de cryptage, bon sang de bois !
C'est un algo d'authentification !
Allez voir ici pour ceux qui veulent des details (en anglais).
Citation:
[The MD5 algorithm] takes as input a message of arbitrary length and produces as output a 128-bit "fingerprint" or "message digest" of the input. It is conjectured that it is computationally infeasible to produce two messages having the same message digest, or to produce any message having a given prespecified target message digest. The MD5 algorithm is intended for digital signature applications, where a large file must be "compressed" in a secure manner before being encrypted with a private (secret) key under a public-key cryptosystem such as RSA.
Le principe de MD5 est de fournir une signature de 128 bits de long a partir de n'importe quel masse de donnée, qui soit pratiquement unique (en tout cas impossible à imiter, sauf coup de bol monumental).
Cette signature permettra de certifier le contenu.
C'est une sorte de super checksum en mieux pour ceux qui connaissent.

Exemple: la société X sort un logiciel important et le distribue par ftp. Elle applique MD5 sur le binaire du logiciel, et obtient la clef 453 (exemple bidon bien sur mais c'est pour la comprehension).
Un vilain petit piratin passe par la et change le fichier a telecharger pour y incorporer un vilain cheval de troie.
L'utilisateur lambda decide de telecharger le logiciel. Il lit sur le site la valeur 45 associé au logiciel. Il execute donc, car il est prudent, le MD5 sur ce qu'il a telecharger. Il obtient 546, et donc il sait que ce qu'il a telecharge ne correspond pas a ce que voulait fournir la société X. Il peut donc suspecter une malveillance et prevenir la société X.

Pour les mots de passe unix, ca fonctionne pareil: le systeme prend le mot de passe, applique md5, et compare le resultat a la signature qui est stocke dans ses fichiers. Si c'est pareil, c''est que l'utilisateur a rentrer le bon mot de passe (pourtant en pratique le systeme ne connait pas le mot de passe).
En général un admin ne peut donc pas retrouver le mot de passe de l'utilisateur, il peut juste lui permettre d'en mettre un nouveau.

Tout systeme ou tu peux retrouver le mot de passe de l'utisateur, soit n'utilise pas le stockage crypté (enfin une authentification), soit utilise un cryptage bidon (comme chez crosoft).
Lien direct vers le message - Vieux
Avatar de Tixu
Tixu
Alpha & Oméga
 
Avatar de Tixu
 
Blinnith
merci c'est ce que je me tue a expliquer depuis le debut.
Lien direct vers le message - Vieux
Avatar de Blinnith
Blinnith
Roi
 
Avatar de Blinnith
 
Le cryptage c bien, mangez-en !

4 facons de casser un cryptage :
- la methode brutale : utiliser une puissance phenomenale de calcul pour explorer toutes les possibilites d'un probleme (actuellement les cryptages se basent sur le calcul des nombres premiers d'un nombre tres, tres grand, donc il es toujours possible de calculer cette decomposition avec un ordinateur. Seul probleme pour le casseur, le cryptage est fait de telle sorte que ce calcul puisse prendre des milliers d'années...). C'est cette methode qui est utilisé actuellement pour tous les gros coups mediatiques dont on entend parler (exemple recent: le SSL)
- trouver une nouvelle methode mathematique pour solutionner le probleme a la base du cryptage (pour nous le calcul des nombres premiers de grand nombres): vous deviendrez un prox Nobel des mathématiques. Quoi ? pas de prix Nobel de math ? Bon une médaille Fields alors... (ah ! si un mathématicien n'avait pas couché avec la femme de Nobel...)
- exploiter des failles du code, ou de l'algorythme. Le code etant fait par un humain, il est possible qu'il ait laisse des failles dans le systeme. Tous les systemes de securites reposant sur une boite noire (un coeur que personne ne doit connaitre), sont donc faillibles, ca cache toujours un defaut de conception.. Ou encore le code de l'algorythme est un peu pourri (laissant apparaitre le message en clair en memoire par exemple), ce qui permet a un petit logiciel espion de capter l'info avant son cryptage (pourquoi se faire ch... à decrypter quand on peut avoir acces a l'original ?)
- attendre.... (rejoint methode 1)
au bout de 20 ans, vous aurez un pc capable de decrypter par force brute le message. Mais bon apres 20 ans il y a peu de chance que ca vous serve non ? Ou bien un mathématicien plus fort que vous aura trouvé LA méthode. Ou alors les extra terrestres auront debarqués.


Littérature sympa sur la crypto:
Le Cryptonomicon (thriller passionnant ds le monde de la crypto), en 3 tomes (les deux premiers existent déjà en poches)
Lien direct vers le message - Vieux
liltian
Roi
 
merci pour toutes ces réponses parce que je m'apprêtais à faire un cour de crypto à ce cher hojo, et du coup je peux retourner jouer ^^

enfin pour les plus obtus d'entre nous (nonon je ne désigne personne) voici un petit récapitulatif qui finira de vous convaincre

http://developpeur.journaldunet.com/...escrypto.shtml
__________________
[img]http://******************/liltian/images/divers/signature.jpg[/img]
Lien direct vers le message - Vieux
Avatar de Orzark
Orzark [ZzZz]
Roi
 
Avatar de Orzark
 
pour que ce genre de situation n arrive plus cree un un mail que tu reserveras exclusivement aux accomptes .

Lien direct vers le message - Vieux
Avatar de Blinnith
Blinnith
Roi
 
Avatar de Blinnith
 
On entend plus rien ?
C'est donc que c'est efficace
Lien direct vers le message - Vieux
Avatar de Sadyre
Sadyre
Alpha & Oméga
 
Avatar de Sadyre
 
Crois pas t'échapper comme ça
Petite question au sujet de crosoft, qui en effet utilise un algo plus que simpliste et douteux pour stocker les pass dans la bdr, mais au niveau réseau, l'algo basique utilisé, sans mettre en oeuvre toute la panoplie dispo est similaire au md5 depuis au moins w2k, que je sache, nope ?
Lien direct vers le message - Vieux
Avatar de Kroc Le Bô
Kroc Le Bô [Poilu]
Roi
 
Avatar de Kroc Le Bô
 
ouinnn <pensait etaler sa science>

Merci Blinnith, tu m'as fait gagner du temps, et je ne pense pas que j'aurais été aussi clair que toi.

c'est vrai que a la lecture du thread je bouillais en lisant les betises ci dites ...

La crypto c'est bon mangez en.
Nerf Crypto.

Lecture conseillée : Cryptographie Appliquée de Bruce Schneier. Tres bonne introduction.

PS-EDIT Blinnith, tu as oublié la méthode la plus courante de "Piratage" : l'extorsion de clé à la source ( par piratage social : "social Engineering" ...)
Lien direct vers le message - Vieux
Répondre
Les forums JOL > Dark Age of Camelot > DAoC - Général > L'art de l'obstination
   

Outils Rechercher
Rechercher:

Recherche avancée

Les vidéos de Dark Age of Camelot RSS
Les critiques de Dark Age of Camelot RSS
Thème visuel : Fuseau horaire GMT +1. Il est actuellement 07h04.
   

© JeuxOnLine, le site des MMO, MMORPG et MOBA. Tous droits réservés. - Conditions générales d'utilisation - Conditions d'utilisation des forums - Traitement des données personnelles - ! Signaler un contenu illicite