A voir également:
- Pas de nom d'utilisateur/pas de mot de passe
- Voir mot de passe wifi android - Guide
- Trousseau mot de passe iphone - Guide
- Mot de passe administrateur - Guide
- Identifiant et mot de passe - Guide
- Réinitialiser pc sans mot de passe - Guide
2 réponses
Marco la baraque
Messages postés
996
Date d'inscription
vendredi 9 mai 2008
Statut
Contributeur
Dernière intervention
5 novembre 2009
329
4 août 2008 à 23:26
4 août 2008 à 23:26
Bonsoir,
En fait, tout dépend de comment l'ancien webmaster avait stocké les mots de passe en base. S'il les a stocké directement (faut pas rêver), c'est dégueulasse et tu peux les retrouver en faisant un simple select sur la table.
En général, et dans le meilleur des cas, au niveau sécurité bien sûr, le mot de passe est généré en utilisant un algorithme de hachage (SHA ou MD5 par exemple). Ca signifie que le webmaster génère un mot de passe (toto51%* par exemple), le passe à la fonction de hachage (cette fonction est toujours la même), et récupère un code en hexadécimal qu'il stocke en base. Lors d'une connexion, l'utilisateur tape son mot de passe, le serveur applique la fonction de hachage et compare le résultat obtenu avec la valeur en base (si les mots en héxa concordent, alors le mot de passe entré est bon).
Si tu as suivi le raisonnement, tu comprendras que le webmaster ne connait pas les mots de passes (ils sont générés aléatoirement et seul le résultat du hachage est stocké).
Ces algorithmes sont ce qui se fait de mieux actuellement (on a trouvé une faille sur le MD5 a récemment, mais il est encore très utilisé), et il est impossible de les craquer si les mots de passe sont générés aléatoirement.
Si les mots de passe sont des mots du dictionnaire, c'est facile de les craquer (ont peut calculer le mot héxa facilement). On peut utiliser des rainbow tables aussi.
Cependant, si le webmaster s'est renseigné un minimum avant de concevoir son système de gestion de mots de passe, alors il aura utilisé un salt (grossièrement, ça te permet de ne pas pouvoir être craqué par des rainbow tables), et là c'est mort pour toi (je te conseille de lire un article publié par sebsauvage sur le sujet sur ccm d'ailleurs).
Bref, si tu as les sources, le mieux est de regarder comment il gérait ça afin de t'adapter (générer des nouveaux mots de passes en utilisant sa méthode), sinon, il faut que tu crées un nouveau système.
Bon courage.
En fait, tout dépend de comment l'ancien webmaster avait stocké les mots de passe en base. S'il les a stocké directement (faut pas rêver), c'est dégueulasse et tu peux les retrouver en faisant un simple select sur la table.
En général, et dans le meilleur des cas, au niveau sécurité bien sûr, le mot de passe est généré en utilisant un algorithme de hachage (SHA ou MD5 par exemple). Ca signifie que le webmaster génère un mot de passe (toto51%* par exemple), le passe à la fonction de hachage (cette fonction est toujours la même), et récupère un code en hexadécimal qu'il stocke en base. Lors d'une connexion, l'utilisateur tape son mot de passe, le serveur applique la fonction de hachage et compare le résultat obtenu avec la valeur en base (si les mots en héxa concordent, alors le mot de passe entré est bon).
Si tu as suivi le raisonnement, tu comprendras que le webmaster ne connait pas les mots de passes (ils sont générés aléatoirement et seul le résultat du hachage est stocké).
Ces algorithmes sont ce qui se fait de mieux actuellement (on a trouvé une faille sur le MD5 a récemment, mais il est encore très utilisé), et il est impossible de les craquer si les mots de passe sont générés aléatoirement.
Si les mots de passe sont des mots du dictionnaire, c'est facile de les craquer (ont peut calculer le mot héxa facilement). On peut utiliser des rainbow tables aussi.
Cependant, si le webmaster s'est renseigné un minimum avant de concevoir son système de gestion de mots de passe, alors il aura utilisé un salt (grossièrement, ça te permet de ne pas pouvoir être craqué par des rainbow tables), et là c'est mort pour toi (je te conseille de lire un article publié par sebsauvage sur le sujet sur ccm d'ailleurs).
Bref, si tu as les sources, le mieux est de regarder comment il gérait ça afin de t'adapter (générer des nouveaux mots de passes en utilisant sa méthode), sinon, il faut que tu crées un nouveau système.
Bon courage.
Merci beaucoup Marco pour les infos,
Malheureusement, je ne crois pas qu'il les ai stockés directement dans la base, sinon, le gars qui programme notre site web l'aurais trouvé. Il a passé 5 heure à les chercher. L'outil est toujours en ligne et on voulait voir de quoi il avait l'air avant soit de le remettre en fonction en l'updatant un peu ou, si on sort le porte feuille (on est une coop avec pas beaucoup de moyen:-( ) et on le recommence à zéro. Cet outil est le fruit de beaucoup de recherche et de travail. Je vais transmettre ta réponse au gars qui s'occupe de ça et je redonne des nouvelles.
Merci beaucoup,
Coopain
Malheureusement, je ne crois pas qu'il les ai stockés directement dans la base, sinon, le gars qui programme notre site web l'aurais trouvé. Il a passé 5 heure à les chercher. L'outil est toujours en ligne et on voulait voir de quoi il avait l'air avant soit de le remettre en fonction en l'updatant un peu ou, si on sort le porte feuille (on est une coop avec pas beaucoup de moyen:-( ) et on le recommence à zéro. Cet outil est le fruit de beaucoup de recherche et de travail. Je vais transmettre ta réponse au gars qui s'occupe de ça et je redonne des nouvelles.
Merci beaucoup,
Coopain