A voir également:
- Dofus brute force
- Telecharger dofus - Télécharger - Rôle RPG
- Force download ✓ - Forum Téléchargement
- Supprimer un fichier de force - Guide
- Force-download - Forum Téléchargement
- Forcer le téléchargement d'une vidéo en mp4 - Forum Webmastering
2 réponses
Pacorabanix
Messages postés
3248
Date d'inscription
jeudi 23 août 2007
Statut
Membre
Dernière intervention
19 mai 2013
660
Modifié par Pacorabanix le 22/04/2010 à 00:52
Modifié par Pacorabanix le 22/04/2010 à 00:52
effectivement, un mot de passe est en théorie tout à fait vulnérable à ce genre d'attaque.
Néanmoins plusieurs bémols rassurants à cela :
- il y a 62 puissance 6 possiblités de faire un mot de passe avec 6 caractères tirés de 62 sympboles. ceci donne 56'800'235'584 .
à quelques millions de possibilités par seconde (disons 10 millions), ça fait 5'680 secondes ou autrement dit environ une heure et demi. Voilà ce qu'on appelle "pas longtemps" (et effectivement, c'est pas très long!).
pour un mot de passe à 8 caractères, ça fait 62*62 = 3844 fois plus de possibilités, et donc 3'844 fois plus de temps. On parle maitenant de 6064 heures, et là ça fait environ 8 mois !!!
C'est pour cela qu'on conseille des mots de passe longs.
- D'autre part le réseau va beaucoup moins vite que le processeur. Je veux dire par là qu'un travail que le processeur fait directement avec la mémoire de l'ordinateur est effectivement très rapide, mais pour communiquer avec un serveur c'est une autre paire de manche : il y a des protocoles avec des réponses qui doivent être obtenues avant de renvoyer des données, donc on ne peut pas "balancer" cent mille mots de passe en une seconde aux serveurs pour qu'ils les testent tous . Ils ne sont pas fait pour ça. Attention, il est peut-être possible de trouver des failles au système
- De plus, pour les tester via un jeu en ligne, il faut envoyer chaque requête de mot de passe au serveur, comme lorsqu'on veut se connecter normalement via une page web.
Les éditeurs de jeu en ligne massivement multijoueurs importants (comme dofus) savent très bien qu'ils sont la cible d'un nombre incalculable de hackers, et n'importe quel administrateur / ingénieur réseau d'un tel jeu ne laisserait pas la possibilité de recevoir des centaines d'essais en continu pendant plusieurs heures ou plusieurs jours. ça doit être un truc qu'ils apprennent à l'école dans les tout début, ou même en simple culture générale de leur discipline.
Bien entendu, si on parle d'un "petit" jeu mmo sur le net, gratuit ou presque, fait par une toute petite équipe, leur système aura peut-être plus de chance d'être moins prémuni contre les attaques. Mais dofus a une taille respectable et ceci n'est certainement pas faisable.
- Et une dernière chose, je ne sais pas si c'est le cas pour dofus, mais en général on dispose d'un "login" qui n'est pas public : ce n'est pas le nom du personnage en général, ça n'a rien à voir. Il y a le nom du compte, et à coté le ou les noms en jeu.
Si on ne connait pas le nom du compte associé au mot de passe, il faut donc multiplier toutes les possibilités de mot de passe par les possibilité de noms de compte différent qui pourraient aller avec.
Et là ça devient complètement infaisable.
Pour pirater ces comptes les hackers utilisent plutôt les techniques suivantes :
*te mettre en confiance et se débrouiller pour trouver ton mot de passe subtilement (soit en tissant une "amitié", soit via des faux e-mails (phishing)
*grace à des virus/chevaux de troie, installer des "keyLoggers" sur l'ordinateur (des programmes qui enregistrent tout ce que tu tapes au clavier), et ainsi repérer quand est-ce que tu tapes ce qui a l'air d'être un nom de compte suivi d'un mot de passe.
*attaquer directement (via des virus ou directement) les serveurs du site
J'en oublie certainement. Enfin tout ça pour dire que ce n'est pas trop l'attaque par force brute dont il faut se méfier : c'est beaucoup moins rentable que d'autres techniques, tout simplement.
D'autre part il faut déjà être ciblé précisément pour que ce soit utile et faisable (ne jamais donner ses infos personnelles, même le nom d'utilisateur / login sans le mot de passe)
Enfin une dernière remarque : le marché du piratage est une économie assez "florissante", et il est tout à fait possible que des virus / hackers visent "large" et essaient de pirater de nombreuses choses en même temps : boite mail / comptes utilisateur sur diverses boutiques / comptes de divers jeux en ligne populaires ou comptes paypal etc...
C'est pour cela qu'il est fortement déconseillé d'utiliser le même mot de passe pour ces diverses applications. (p. ex. personnellement j'utilise le même mot de passe avec diverses variantes pour tout ce qui est jeux, un autre pour ma boite mail, complètement différent, un autre pour mon compte payapal, complètement différent des deux autres (et long)
Un petit lien en cadeau, un peu hors-sujet mais pas complètement, pour la culture générale concernant les "hackers" et les "bot-net" à l'heure actuelle si tu as eu la patience de me lire, et j'espère que mon message t'aura (un peu) rassuré :D
http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
Néanmoins plusieurs bémols rassurants à cela :
- il y a 62 puissance 6 possiblités de faire un mot de passe avec 6 caractères tirés de 62 sympboles. ceci donne 56'800'235'584 .
à quelques millions de possibilités par seconde (disons 10 millions), ça fait 5'680 secondes ou autrement dit environ une heure et demi. Voilà ce qu'on appelle "pas longtemps" (et effectivement, c'est pas très long!).
pour un mot de passe à 8 caractères, ça fait 62*62 = 3844 fois plus de possibilités, et donc 3'844 fois plus de temps. On parle maitenant de 6064 heures, et là ça fait environ 8 mois !!!
C'est pour cela qu'on conseille des mots de passe longs.
- D'autre part le réseau va beaucoup moins vite que le processeur. Je veux dire par là qu'un travail que le processeur fait directement avec la mémoire de l'ordinateur est effectivement très rapide, mais pour communiquer avec un serveur c'est une autre paire de manche : il y a des protocoles avec des réponses qui doivent être obtenues avant de renvoyer des données, donc on ne peut pas "balancer" cent mille mots de passe en une seconde aux serveurs pour qu'ils les testent tous . Ils ne sont pas fait pour ça. Attention, il est peut-être possible de trouver des failles au système
- De plus, pour les tester via un jeu en ligne, il faut envoyer chaque requête de mot de passe au serveur, comme lorsqu'on veut se connecter normalement via une page web.
Les éditeurs de jeu en ligne massivement multijoueurs importants (comme dofus) savent très bien qu'ils sont la cible d'un nombre incalculable de hackers, et n'importe quel administrateur / ingénieur réseau d'un tel jeu ne laisserait pas la possibilité de recevoir des centaines d'essais en continu pendant plusieurs heures ou plusieurs jours. ça doit être un truc qu'ils apprennent à l'école dans les tout début, ou même en simple culture générale de leur discipline.
Bien entendu, si on parle d'un "petit" jeu mmo sur le net, gratuit ou presque, fait par une toute petite équipe, leur système aura peut-être plus de chance d'être moins prémuni contre les attaques. Mais dofus a une taille respectable et ceci n'est certainement pas faisable.
- Et une dernière chose, je ne sais pas si c'est le cas pour dofus, mais en général on dispose d'un "login" qui n'est pas public : ce n'est pas le nom du personnage en général, ça n'a rien à voir. Il y a le nom du compte, et à coté le ou les noms en jeu.
Si on ne connait pas le nom du compte associé au mot de passe, il faut donc multiplier toutes les possibilités de mot de passe par les possibilité de noms de compte différent qui pourraient aller avec.
Et là ça devient complètement infaisable.
Pour pirater ces comptes les hackers utilisent plutôt les techniques suivantes :
*te mettre en confiance et se débrouiller pour trouver ton mot de passe subtilement (soit en tissant une "amitié", soit via des faux e-mails (phishing)
*grace à des virus/chevaux de troie, installer des "keyLoggers" sur l'ordinateur (des programmes qui enregistrent tout ce que tu tapes au clavier), et ainsi repérer quand est-ce que tu tapes ce qui a l'air d'être un nom de compte suivi d'un mot de passe.
*attaquer directement (via des virus ou directement) les serveurs du site
J'en oublie certainement. Enfin tout ça pour dire que ce n'est pas trop l'attaque par force brute dont il faut se méfier : c'est beaucoup moins rentable que d'autres techniques, tout simplement.
D'autre part il faut déjà être ciblé précisément pour que ce soit utile et faisable (ne jamais donner ses infos personnelles, même le nom d'utilisateur / login sans le mot de passe)
Enfin une dernière remarque : le marché du piratage est une économie assez "florissante", et il est tout à fait possible que des virus / hackers visent "large" et essaient de pirater de nombreuses choses en même temps : boite mail / comptes utilisateur sur diverses boutiques / comptes de divers jeux en ligne populaires ou comptes paypal etc...
C'est pour cela qu'il est fortement déconseillé d'utiliser le même mot de passe pour ces diverses applications. (p. ex. personnellement j'utilise le même mot de passe avec diverses variantes pour tout ce qui est jeux, un autre pour ma boite mail, complètement différent, un autre pour mon compte payapal, complètement différent des deux autres (et long)
Un petit lien en cadeau, un peu hors-sujet mais pas complètement, pour la culture générale concernant les "hackers" et les "bot-net" à l'heure actuelle si tu as eu la patience de me lire, et j'espère que mon message t'aura (un peu) rassuré :D
http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
22 avril 2010 à 00:56
*ne pas être "pigeon" et faire confiance à quelqu'un d'inconnu sur le net en lui livrant des infos non-publiques)
* avoir un bon anti-virus à jour
* ne jamais ouvrir de pièces jointes douteuses, attention car des comptes e-mails d'amis peuvent vous envoyer, à leur insu, des messages douteux avec des virus, s'ils se sont fait infectés eux-mêmes.
* naviguer avec un navigateur internet à jour (et aussi avec les divers programmes de l'ordi à jour comme windows lui-même, java, adobe, flash ...)
* être extrêmement méfiant concernant le téléchargement peer-to-peer