Moi je l'aime bien ce topic
<mode 'ce mec est chiant' ON = faut pas lire si le topic vous gonfle>
>>Ca ne me choque pas que les admins aient accès à mes mods de pass.
Sans offense pour personne bien sur, c'est simplement inadmissible. Et le fait que les gens utilisent des mots de passe simples, toujours les memes, que certains sites encodent et d'autres pas, que ces memes mdp circulent en clair sur le net et que, et que et que... Rien a faire. Ce sont de fausses excuses. Ce n'est pas parce que tout autour de toi est mauvais qu'il ne te faut pas essayer de bien faire.
Y a pas plus tétu qu'un Grunt
Une petite remarque sur le net et les messages qui circulent contenant des mdp. Comme le disait Kromack (respect Grunt Urgh !) certes le sniffeur est le meilleur moyen de pecher des passwords, mais il faut être a un endroit "précis" et juste au "bon" moment... contrairement à une base de données qui, généralement, reste au "même" endroit un "long" moment...
>>le problème c'est que pour un Y, il y a plusieurs X possible.
Yep. Cela s'appele la "collision resistance" et selon la transformation mathématique utilisée cette "possibilité" est chiffrable. Ex pour MD5() elle est de 1 / 340 billion de billion de billion de billion...
Et cela permettrais en effet de se loguer avec un mot de passe n'étant pas l'original (on ne le connais toujours pas) mais produisant le même resultat...
Pour info, cet été le premier cas de collision (2 valeurs d'entrée produisant la même valeur de sortie) de l'algorithme MD5 a été annoncé... après +-12 ans d'utilisation.
Mais ce n'est pas du tout la meme chose que de "decrypter" l'original (la "preimage resistance").
>>il existe des program(m)e(s) pour retourner les fonctions
Disons pour inverser certains algorithmes de cryptage. Certes oui. Maintenant si aujourd'hui tu peux déduire d'un hash MD5 la valeur qui a servi a le generer... ben tu vas devenir célébre. Et vite. La théorie des signatures electroniques (utilisé dans ssl,pgp etc) s'appuyant sur ces fonctions dites irréversibles... t'as gagné le jackpot ami.
Cependant je tiens a faire remarquer que personne ne demande (poliment de surcroit
aux admins de pondre un systeme inviolable... (deconnez pas sinon ils vont devenir riches et célébres!)
Mais entre un mdp lisible dans une DB et une chaine meme simplement encodée (et non cryptée) en B64 come le fait http, la difference est d'importance. Elle se situe dans l'effort que devra effectuer quelqu'un pour "satisfaire sa curiosité"... Cet effort vaut zéro dans un cas (donc la /vilaine personne/ *va* exploiter cette information un jour ou l'autre) et... pas zéro dans l'autre cas et la, le nombre de /vilaines personnes/ diminue instantanément !
La tentation est d'autant plus grande qu'elle est facilement accessible...
>>"La meilleure arme des traunds reste la naïveté des autres !"
chut...
>>je me demande combien parmi vous ont un mot de passe du type : "azerty" ou ...
>>>>bcp bcp bcp plus que tu ne l imagines en tout cas.
humm... de ceci on pourrait presque déduire que les mdp sont en clairs dans les DB des jeux dont tu t'occupes... Ce monde est pourri
<mode 'chiant voir plus' OFF>
(mais c'est pas faut ce que je dit!)