[Ex] Sécurité par triple mot de passe
Règles du forum
- Merci de consulter la section "Règles du forum" et plus particulièrement "Règles et Mentions Légales du site autoitscript.fr" avant d'écrire un message.
- Fish
- Niveau 5
- Messages : 178
- Enregistré le : sam. 23 oct. 2010 19:28
- Localisation : Devant mon ordinateur.
- Status : Hors ligne
Re: [Ex] Sécurité par triple mot de passe
@mikell : Si je ne fait pas preuve de fair-play c'est que tu te soustrais aux règles et que tu nie.
Essayer de trouver le pass sans utiliser de moyens autres que le bruteforce, c'était le défi...
Essayer de trouver le pass sans utiliser de moyens autres que le bruteforce, c'était le défi...
Cordialement,
Fish-panai.
P.S (Pas Salé): Vive le poisson pané.
Fish-panai.
P.S (Pas Salé): Vive le poisson pané.
- Iste
- Niveau 11
- Messages : 1870
- Enregistré le : jeu. 04 déc. 2008 14:21
- Localisation : 76
- Status : Hors ligne
Re: [Ex] Sécurité par triple mot de passe
D'ailleurs @Fish, les regles de ce forum interdisent de poster un exe sans les sources.
Aussi, je vous demanderez de bien vouloir les fournir.
En échange, ceux qui voudront forcer votre code seront donc bien obligé de poster un brutforcer
Aussi, je vous demanderez de bien vouloir les fournir.
En échange, ceux qui voudront forcer votre code seront donc bien obligé de poster un brutforcer
Signez ici
- Fish
- Niveau 5
- Messages : 178
- Enregistré le : sam. 23 oct. 2010 19:28
- Localisation : Devant mon ordinateur.
- Status : Hors ligne
Re: [Ex] Sécurité par triple mot de passe
Pas de problèmes, le contenu des variables est crypté.
J'édite le .rar.
Edit : en fait si il y a un problème! Le contenu des variables, même si elles sont cryptés sont de tailles variables (en longueur visible). Si je poste la source exacte de l'exe, n'importe qui peux savoir combien de caractères il y a dans une variable, combien de mots de passes sont nécessaires pour entrer. Dans ce cas, l'exemple en tout début de poste servirait de source non?
J'édite le .rar.
Edit : en fait si il y a un problème! Le contenu des variables, même si elles sont cryptés sont de tailles variables (en longueur visible). Si je poste la source exacte de l'exe, n'importe qui peux savoir combien de caractères il y a dans une variable, combien de mots de passes sont nécessaires pour entrer. Dans ce cas, l'exemple en tout début de poste servirait de source non?
Modifié en dernier par Fish le lun. 16 avr. 2012 18:41, modifié 1 fois.
Cordialement,
Fish-panai.
P.S (Pas Salé): Vive le poisson pané.
Fish-panai.
P.S (Pas Salé): Vive le poisson pané.
- sksbir
- Niveau 7
- Messages : 384
- Enregistré le : lun. 26 oct. 2009 17:57
- Localisation : Lyon
- Status : Hors ligne
Re: [Ex] Sécurité par triple mot de passe
Puisqu'on parle de fair-play...Fish a écrit :@mikell : Si je ne fait pas preuve de fair-play c'est que tu te soustrais aux règles et que tu nie.
Essayer de trouver le pass sans utiliser de moyens autres que le bruteforce, c'était le défi...
Si la teneur du défi consistait à réaliser un outils pour cracker ton systeme, iste a parfaitement résumé le truc:
Pour ça , faudrait déjà que j'ai des connaissances pour écrire un bruteforcer "classique", ce qui n'est pas le cas.Iste a écrit :Non, le réel avantage de cette méthode elle qu'elle n'est pas conventionnelle. Donc il faut réécrire un bruteforcer. De plus, étant basé sur le secret, si l'attaquant ne connait pas son fonctionnement, il ne pourra jamais trouver le mdp avec une attaque classique.
maintenant, je te mets au défi de répondre par toi même à la question posée:
Au fait, autre question : dans le programme que tu livres, il est bien entendu que la solution est un mot de passe de 5 chiffres qu'on tape comme sur un digicode ( c'est à dire sans rien faire de spécial entre chaque chiffre, pas de changement de case, pas de touche enter,etc... )sksbir a écrit :Donc, maintenant, tu m'expliques comment, en tapant 5 chiffres de 0 à 9 ( et rien d'autre ), tu peux obtenir plus de combinaisons ?
Il est aussi entendu que si la solution est par exemple : 12345, alors 012345 , 9812345 , 06781212345 sont également des solutions ( c'est comme ça que fonctionne un digicode...)
- Fish
- Niveau 5
- Messages : 178
- Enregistré le : sam. 23 oct. 2010 19:28
- Localisation : Devant mon ordinateur.
- Status : Hors ligne
Re: [Ex] Sécurité par triple mot de passe
Ce n'est pas ce qui était convenu : Tu devais trouver un mot de passe de 5 caractères de long insérés dans mon système. Relis le poste si tu veux.
Comment obtenir plus de solutions possibles? C'est le but même de mon système, la aussi tout est dans les 2 premières pages du topic.
Après si ça engendre des conflits autant arrêter de se prendre le choux tout de suite.
Fish a écrit :Je te lance un défit alors. Je mets le même nombres de caractères que dans ton digicode et on va voir combien de temps tu mets. Okay? ^^
Comment obtenir plus de solutions possibles? C'est le but même de mon système, la aussi tout est dans les 2 premières pages du topic.
Après si ça engendre des conflits autant arrêter de se prendre le choux tout de suite.
Cordialement,
Fish-panai.
P.S (Pas Salé): Vive le poisson pané.
Fish-panai.
P.S (Pas Salé): Vive le poisson pané.
- Iste
- Niveau 11
- Messages : 1870
- Enregistré le : jeu. 04 déc. 2008 14:21
- Localisation : 76
- Status : Hors ligne
Re: [Ex] Sécurité par triple mot de passe
La solution n'a pas a etre cachée.
C'est le meme principe qu'un exo de maths ou l'on demande "montrez que a + b = 20"
C'est pas le résultat qui compte, mais la façon de l'obtenir.
Donc en postant un code simple et claire, la seule façon de prouver qu'on a une solution de forçage est d'en montrer une qui marche !
J'irais meme un peu plus loin en proposant un code qui s'auto-crack (qui génére une clef et la recherche sans s'en inspirer)
Ca éviter les pertes de temps qu'on a sur un post classique mais pas sur un post dédié au cracking.
C'est le meme principe qu'un exo de maths ou l'on demande "montrez que a + b = 20"
C'est pas le résultat qui compte, mais la façon de l'obtenir.
Donc en postant un code simple et claire, la seule façon de prouver qu'on a une solution de forçage est d'en montrer une qui marche !
J'irais meme un peu plus loin en proposant un code qui s'auto-crack (qui génére une clef et la recherche sans s'en inspirer)
Ca éviter les pertes de temps qu'on a sur un post classique mais pas sur un post dédié au cracking.
Signez ici
- Fish
- Niveau 5
- Messages : 178
- Enregistré le : sam. 23 oct. 2010 19:28
- Localisation : Devant mon ordinateur.
- Status : Hors ligne
Re: [Ex] Sécurité par triple mot de passe
Voila le code alors :
► Afficher le texte
Cordialement,
Fish-panai.
P.S (Pas Salé): Vive le poisson pané.
Fish-panai.
P.S (Pas Salé): Vive le poisson pané.
- sksbir
- Niveau 7
- Messages : 384
- Enregistré le : lun. 26 oct. 2009 17:57
- Localisation : Lyon
- Status : Hors ligne
Re: [Ex] Sécurité par triple mot de passe
Fish a écrit :Ce n'est pas ce qui était convenu : Tu devais trouver un mot de passe de 5 caractères de long insérés dans mon système. Relis le poste si tu veux.
La saisie dans un digicode se fait d'un seul tenant. Donc, déjà, l'énoncé est biaisé.Fish a écrit :Je te lance un défit alors. Je mets le même nombres de caractères que dans ton digicode et on va voir combien de temps tu mets. Okay? ^^
Maintenant, supposons que ton système existe , mais fait par un bricoleur qui n'aurait que des portes et des digicodes sous la main :
A priori, ça serait une seule porte avec 3 digicodes. Mais alors, où est la différence entre 3 digicodes qui contiennent chacun une partie de mot de passe global et un seul digicode qui contient tout le mot de passe global ?
La seule différence, c'est que par exemple pour un code 5 chiffres
12-34-5 ( c'est à dire 12 tapé sur le 1er digicode, 34 sur le 2eme ,etc... ) n'est pas identique à 1-23-45.
C'est bien sur ce point que tu bases toute ton argumentation comme quoi ton programme est plus difficile à passer, n'est ce pas ?
Sauf que ....
Le fait de devoir changer de digicode en cours de saisie n'est qu'un élément de plus. On peut alors tout aussi bien imaginer un seul digicode avec la touche "*" en plus ( par exemple hein ), et "simuler" le changement de digicode avec la touche *
Le code deviendrait donc 12*34*5, et là, tu te rends bien compte que tu es revenu à la case départ en terme de conception : tu es revenu à un seul digicode, mais juste avec une touche de plus. Donc, tu saisis ton mot de passe en base 11 et non plus en base 10, ce qui augmente le nombre de possibilité, mais ne change fondamentalement rien au principe.
CQFD
[edit]
Au fait, il y a 2 solutions à ton défi :
- <rien> <rien> 4 8 0
- <rien> <rien> <rien> 8 0
pourquoi 2 solutions ?
Voici le code que j'ai écrit pour trouver:
► Afficher le texte
donc le code, c'est **480 ou ***80, et un seul digicode suffit, comme je l'ai démontré plus haut, donc une seule saisie suffit également, et c'est plus simple à retenir.
Autre remarque à propos de ton programme : suppose un instant qu'un farceur soit venu taper des trucs sur ton interface pendant que tu avais le dos tourné : plus moyen de taper le bon code à moins de relancer le programme... pas glop non plus ça...
- Fish
- Niveau 5
- Messages : 178
- Enregistré le : sam. 23 oct. 2010 19:28
- Localisation : Devant mon ordinateur.
- Status : Hors ligne
Re: [Ex] Sécurité par triple mot de passe
Alors la, je pense que ya beaucoup de faux dans ce que t'as dit. M'envais les recenser.
Voila ce qu'il fallait faire : (Je précise qu'avec la remise à zéro en cas d'échec, ça ne marche plus, notre technique.)
Pas du tout! Il a été dit que je mettait le nombre de caractères que tu mets dans ton digicode, intégré dans mon système! L’énoncé est intact.Tu a écrit : La saisie dans un digicode se fait d'un seul tenant. Donc, déjà, l'énoncé est biaisé.
Déjà, pour le farceur, une seule mauvaise partie de mot de passe fausse reset le mot de passe, je n'ai pas vu ça dans ton script pour trouver le mot de passe. Au pire des cas, il vous suffira d'enter un mauvais bout de code volontairement pour remettre a zéro le système.Tu a écrit :Autre remarque à propos de ton programme : suppose un instant qu'un farceur soit venu taper des trucs sur ton interface pendant que tu avais le dos tourné : plus moyen de taper le bon code à moins de relancer le programme... pas glop non plus ça..
Exactement vrai! C'est la suite qui n'est pas correcte :Tu a écrit :Le fait de devoir changer de digicode en cours de saisie n'est qu'un élément de plus. On peut alors tout aussi bien imaginer un seul digicode avec la touche "*" en plus ( par exemple hein ), et "simuler" le changement de digicode avec la touche *
Si ça change car tu n'est pas sur avec mon système d'être arrivé au bout puisque dès que tu aura préssé entrée, si le bout de passe est faux, il faudra tout recommencer. Pas sur le digicode avec des "*" puisqu'il n'y a qu'une vérification finale. C'est ce que je me tue à vous dire depuis la première page de ce topic.Tu a écrit :Le code deviendrait donc 12*34*5, et là, tu te rends bien compte que tu es revenu à la case départ en terme de conception : tu es revenu à un seul digicode, mais juste avec une touche de plus. Donc, tu saisis ton mot de passe en base 11 et non plus en base 10, ce qui augmente le nombre de possibilité, mais ne change fondamentalement rien au principe.
Ton code est faux, il n'y a pas de reset en cas d'échec à une partie de mot de passe.Tu a écrit :Au fait, il y a 2 solutions à ton défi :
- <rien> <rien> 4 8 0
- <rien> <rien> <rien> 8 0
pourquoi 2 solutions ?
Voici le code que j'ai écrit pour trouver:
Voila ce qu'il fallait faire : (Je précise qu'avec la remise à zéro en cas d'échec, ça ne marche plus, notre technique.)
► Afficher le texte
Eh non, comme expliqué plus haut, mieux vaut plusieurs saisies pour plus de tests pour plus de chances d'échec.Tu a écrit :Explique moi comment on commence par ne <rien> taper sur un digicode. Avec ton programme, c'est en fait la touche <entree> qui sert de touche "*".
donc le code, c'est **480 ou ***80, et un seul digicode suffit, comme je l'ai démontré plus haut, donc une seule saisie suffit également, et c'est plus simple à retenir.
Cordialement,
Fish-panai.
P.S (Pas Salé): Vive le poisson pané.
Fish-panai.
P.S (Pas Salé): Vive le poisson pané.
- TommyDDR
- Modérateur
- Messages : 2086
- Enregistré le : mar. 22 juil. 2008 21:55
- Localisation : Nantes
- Status : Hors ligne
Re: [Ex] Sécurité par triple mot de passe
Juste histoire de simplifier le script (Apprenez à utiliser les tableaux / fonctions quand votre code se répète)
► Afficher le textecode
3.1415926535897932384626433832795028841971693993751058209749445923078164062862089986280348253421170679
- sksbir
- Niveau 7
- Messages : 384
- Enregistré le : lun. 26 oct. 2009 17:57
- Localisation : Lyon
- Status : Hors ligne
Re: [Ex] Sécurité par triple mot de passe
N'importe quelle autre action en dehors de taper sur les touches 0-9 fait sortir l'énoncé des clous.Fish a écrit :Pas du tout! Il a été dit que je mettait le nombre de caractères que tu mets dans ton digicode, intégré dans mon système! L’énoncé est intact.
Avec ton programme , il faut obligatoirement utiliser la touche entree ( ou la souris, c'est pareil ).
Dont acte.Fish a écrit :Au pire des cas, il vous suffira d'enter un mauvais bout de code volontairement pour remettre a zéro le système.
bon, alors c'est toi qui a raison et ....Fish a écrit :Si ça change car tu n'est pas sur avec mon système d'être arrivé au bout puisque dès que tu aura préssé entrée, si le bout de passe est faux, il faudra tout recommencer. Pas sur le digicode avec des "*" puisqu'il n'y a qu'une vérification finale. C'est ce que je me tue à vous dire depuis la première page de ce topic.
jchd a écrit :Allons, si mon mot de passe est jchd que je bruteforce en entrant une lettre à la fois ou en un seul coup ne change strictement rien ! L'espace des clés est le même.
TommyDDR a écrit :Le fait d'avoir plusieurs mot de passe ne change finalement pas grand chose, cela revient à rajouter un caractère.On va prendre pour exemple que le caractère ¥ signifie "valide la partie et passe à la suivante"....
Tous ces gens ont forcément tort.Iste a écrit :... il s'agit comme bien trop souvent d'une sécurité basée sur le secret au lieu de la complexité.
Au final, cela ne fait qu'un mot de passe classique qui doit contenir 3 caractères "validé"
haaa, le meilleur pour la fin. Mon code est peut-être faux, mais quand j'ai utilisé les 2 codes détectés avec ce code soit-disant faux, sur ton programme publié pour défi, ben ça a marché dans les 2 cas... Mais tu vas sans doute oser dire que les codes sont faux aussi.. on n'est plus à ça près...fish a écrit :Ton code est faux, il n'y a pas de reset en cas d'échec à une partie de mot de passe.
Voila ce qu'il fallait faire : (Je précise qu'avec la remise à zéro en cas d'échec, ça ne marche plus, notre technique.)
Allez , continue a essayer de faire passer des formes carrées par des trous rond.. .bon courage.
Fin de ma participation ici.C'était un homme, il suivait toujours son idée.
C'était une idée fixe, et il s'étonnait de ne pas avancer.
Jacques Prevert
@TommyDDR : j'ai repris vite fait le code de fish et je l'ai transformé à minima pour créer le programme qui permettait de forcer son mot de passe . c'est clair que c'est pas propre, mais c'était un programme one-shot.
- Iste
- Niveau 11
- Messages : 1870
- Enregistré le : jeu. 04 déc. 2008 14:21
- Localisation : 76
- Status : Hors ligne
Re: [Ex] Sécurité par triple mot de passe
Beaucoup d'incompréhensions entre sksbir et Fish ici dirait-on.
@sksbir : le but du code n'est pas de trouver le mdp, qui aurait du être en claire au début du script, mais de le trouver par bruteforce sans court-circuiter le programme.
prenez plutot exemple sur ce code :
On se fiche de savoir que le bon code est "01,10,11", changez moi la boucle du milieux en quelque chose arrivant a faire dire "True" a ma fonction mdp, quelque soit le code ecrit en haut !
Bon au final ca nous apprendra pas grand chose car tout a déjà été dit, mais il faut rester cohérent dans la discutions si on veut qu'elle puisse resservir a l'avenir.
@sksbir : le but du code n'est pas de trouver le mdp, qui aurait du être en claire au début du script, mais de le trouver par bruteforce sans court-circuiter le programme.
prenez plutot exemple sur ce code :
► Afficher le texte
Bon au final ca nous apprendra pas grand chose car tout a déjà été dit, mais il faut rester cohérent dans la discutions si on veut qu'elle puisse resservir a l'avenir.
Signez ici
- Fish
- Niveau 5
- Messages : 178
- Enregistré le : sam. 23 oct. 2010 19:28
- Localisation : Devant mon ordinateur.
- Status : Hors ligne
Re: [Ex] Sécurité par triple mot de passe
Essaye de crypter ces pass, ce sont ceux la que j'ai utilisés pour les défis (crypte les par eux même en niveau 6 ):Tu a écrit :haaa, le meilleur pour la fin. Mon code est peut-être faux, mais quand j'ai utilisé les 2 codes détectés avec ce code soit-disant faux, sur ton programme publié pour défi, ben ça a marché dans les 2 cas... Mais tu vas sans doute oser dire que les codes sont faux aussi.. on n'est plus à ça près...
Allez , continue a essayer de faire passer des formes carrées par des trous rond.. .bon courage.
Pass1 :22
Pass2 :
Pass3 :4
Pass4 :8
Cordialement,
Fish-panai.
P.S (Pas Salé): Vive le poisson pané.
Fish-panai.
P.S (Pas Salé): Vive le poisson pané.
- TommyDDR
- Modérateur
- Messages : 2086
- Enregistré le : mar. 22 juil. 2008 21:55
- Localisation : Nantes
- Status : Hors ligne
Re: [Ex] Sécurité par triple mot de passe
► Afficher le texteBruteforce
Mais voila, le principe est là, (inverser les commentaires sur Chars pour commencer proche de la solution
3.1415926535897932384626433832795028841971693993751058209749445923078164062862089986280348253421170679
- Fish
- Niveau 5
- Messages : 178
- Enregistré le : sam. 23 oct. 2010 19:28
- Localisation : Devant mon ordinateur.
- Status : Hors ligne
Re: [Ex] Sécurité par triple mot de passe
Ca irais plus vite comme ça?
Évidemment c'est si je ne me suis trompé nul part, et j'en doute fort. ^^
► Afficher le texte
Cordialement,
Fish-panai.
P.S (Pas Salé): Vive le poisson pané.
Fish-panai.
P.S (Pas Salé): Vive le poisson pané.
- TommyDDR
- Modérateur
- Messages : 2086
- Enregistré le : mar. 22 juil. 2008 21:55
- Localisation : Nantes
- Status : Hors ligne
Re: [Ex] Sécurité par triple mot de passe
Code : Tout sélectionner
Return StringSplit($Retour, $CharSpace[UBound($CharSpace, 1)-1], 3)
Tableau que vous avez défini :
Code : Tout sélectionner
Global $CharSpace[11] = ["0", "1", "2", "3", "4", "5", "6", "7", "8", "9", ""]
3.1415926535897932384626433832795028841971693993751058209749445923078164062862089986280348253421170679
- Fish
- Niveau 5
- Messages : 178
- Enregistré le : sam. 23 oct. 2010 19:28
- Localisation : Devant mon ordinateur.
- Status : Hors ligne
Re: [Ex] Sécurité par triple mot de passe
Woops... :/
Cordialement,
Fish-panai.
P.S (Pas Salé): Vive le poisson pané.
Fish-panai.
P.S (Pas Salé): Vive le poisson pané.
- TommyDDR
- Modérateur
- Messages : 2086
- Enregistré le : mar. 22 juil. 2008 21:55
- Localisation : Nantes
- Status : Hors ligne
Re: [Ex] Sécurité par triple mot de passe
L'important n'est pas "rapide ou non" l'important est que vous voyez que la seule difficulté ajouté est en fait résumé à "ajouter un caractère dans le jeu de caractères"
Par exemple, au lieu d'avoir 0 1 2 3 4 5 6 7 8 9 j'ai du mettre 0 1 2 3 4 5 6 7 8 9 ¥
Donc au final, s'embêter à ajouter retenir plusieurs mot de passe pour si peu de gain de sécurité... je doute que vous puissiez le breveter ^^.
Ma démonstration s'arrête ici, ainsi que mes messages dans ce topic.
Par exemple, au lieu d'avoir 0 1 2 3 4 5 6 7 8 9 j'ai du mettre 0 1 2 3 4 5 6 7 8 9 ¥
Donc au final, s'embêter à ajouter retenir plusieurs mot de passe pour si peu de gain de sécurité... je doute que vous puissiez le breveter ^^.
Ma démonstration s'arrête ici, ainsi que mes messages dans ce topic.
3.1415926535897932384626433832795028841971693993751058209749445923078164062862089986280348253421170679