+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Général (https://jeuweb.org/forumdisplay.php?fid=36)
+--- Forum : Blabla (https://jeuweb.org/forumdisplay.php?fid=42)
+--- Sujet : [Gestionnaire de mot de passe] Besoin de testeur en sécurité (/showthread.php?tid=6943)
[Gestionnaire de mot de passe] Besoin de testeur en sécurité - srm - 06-09-2013
Bonjour,
Vous connaissez sans doute LastPass, Roboform et tout autre gestionnaire de mot de passe.
Un petit nouveau arrive sur le marché : https://saltthepass.com
Avec une différence fondamentale par rapport aux autres : il ne stock aucun mot de passe.
Le principe ?
Vous avez un mot de passe maître relativement long et compliqué et il est encodé avec un algorithme et le nom de domaine du site en question.
Par exemple avec le mot de passe maître : test (qui n'est pas long ni compliqué et est donc un très mauvais mot de passe maître)
Le domaine google.com ça donne le mot de passe : zAD2jMhUReKJCoHj2tRo
Ce qui veut dire qu'il suffit pour chaque site d'entrer votre mot de passe maître et il va vous générer le mot de passe dédié au site en question.
Simplement utiliser le site https://saltthepass.com nécessite de faire un copier/coller du mot de passe pour le mettre dans le formulaire d'identification.
J'ai donc créé une extension Chrome http://www.bouh.org/saltthepass.html (version alpha) qui fait tout le travail.
Pour ceux qui sont intéressés, j'aimerais que vous testiez l'extension et essayer toutes les techniques que vous voulez pour essayer d'intercepter/voler le mot de passe maître que la personne entre.
Bien entendu je parle des techniques tournant dans le navigateur, qu'un webmaster malveillant pourrait mettre en place, ou à base de script js etc. Car tout ce qui est keylogger etc (donc en dehors du navigateur) tous les systèmes de mot de passe sont faillible.
Pour trouver une faille, je vous rappel que vous pouvez dézipper le .crx pour voir comment c'est codé, comment il marche et ainsi trouver plus facilement une faille.
J'ai essayé de faire attention à ce qu'il n'y en ai pas, mais j'ai peut-être (sans doute) oublié des trucs
Pour le tester, une fois qu'il est installé il suffit de cliquer sur un champ password, il va automatiquement vous ouvrir une popup qui demande le mot de passe maître.
RE: Besoin de testeur en sécurité - srm - 07-09-2013
Si vous êtes plusieurs à tester et regarder en même temps, ça ne pose pas de problème
RE: Besoin de testeur en sécurité - Etienne - 07-09-2013
Je connaissais pas le site mais je trouves ça beaucoup mieux que LastPass c'est super intéressant !! Et il est certain que si j'étais tomber sur le service par hasard j'aurais directement chercher une extension comme la tienne
Je vais tester ça mais mes connaissances sont limités en sécu, je ne risque donc pas de t'être fort utile. Mais si tu accepte je filerai bien ton appli à quelques amis qui seront plus pointilleux que moi :p
Par curiosité, je ne sais pas comment le site sale les MDP, mais si jamais il (le site) venait à disparaître, qu'advient t-il des MDP générés ? Le but étant de ne pas les stockés...
edit : je viens de voir que sur leur doc il décrive bien le processus de chiffrage. Ils utilisent CryptoJS et file en plus leur algo en open source. c'est déjà rassurant sur ce point.
RE: Besoin de testeur en sécurité - srm - 07-09-2013
Merci, n'hésite pas à diffuser l'extension à qui tu veux pour tester la sécurité, surtout si je peux avoir des retours
En effet, le projet est opensource, utilise une librairie opensource et des algo connus.
Le projet est tout nouveau, très récent.
Et tu peux faire pareil sans le site :
Algorithm
The SaltThePass algorithm is pretty simple. Concatenate the Master Password, the Domain Name, and the Domain Phrase (optional). Send this through a hashing algorithm (SHA-3 is default, others are available), base64 the result, and then finally trim to the desired output length. In pseudo code:
Salted Password = Trim(Base64(Hash(Master Password + Domain Name + Domain Phrase)))
Notes:
For base64, we use the base64url variation of RFC 4648 , which replaces the last two characters of plus "+" and forward-slash "/" with minus "-" and underscore "_" to produce Salted Passwords that are more likely to pass the password requirements of sites that limit the characters that can be used in a password.
The algorithm SaltThePass uses is available open-source at github.com/nicjansma/saltthepass.js
RE: [Gestionnaire de mot de passe] Besoin de testeur en sécurité - srm - 07-09-2013
J'ai trouvé une faille.
RE: [Gestionnaire de mot de passe] Besoin de testeur en sécurité - t.bodeux - 08-09-2013
Pourquoi ne pas utiliser 1password ou autre ?
RE: [Gestionnaire de mot de passe] Besoin de testeur en sécurité - srm - 08-09-2013
Parce que ce système ne stock aucun mot de passe
J'ai corrigé la faille de sécurité.
RE: [Gestionnaire de mot de passe] Besoin de testeur en sécurité - Xenos - 08-09-2013
Cela ne donne pas une fausse impression de sécurité?
Si j'utilise un mot de pass maître, genre test justement, et que le site me renvoie "zAD2jMhUReKJCoHj2tRo", alors je vais me dire "c'est super sécurisé comme mot de pass!" mais en fait, cela ne l'est pas, vu que le mot de pass maître est simple, et que le sel est connu (et même fixe). On ne va pas voir apparaitre rapidement des dictionnaires entiers de mot de pass dédiés à, par exemple, google.com? Si le sel est statique et identique pour tous les pass, c'est pas top sécurisant.
Bon, ce n'est que mon impression, mais quand même...
RE: [Gestionnaire de mot de passe] Besoin de testeur en sécurité - srm - 08-09-2013
Il faut juste un disclaimer qui explique bien que le master password doit être le plus long et plus compliqué possible.
De plus, rien ne t'empêche de mettre un domain phrase à chaque fois si tu veux plus de sécurité
RE: [Gestionnaire de mot de passe] Besoin de testeur en sécurité - Xenos - 08-09-2013
Ah, c'est l'utilisateur qui choisit la domain phrase? Je pensais que c'était le site / nom de domaine qui choisissait.
Ok, dans ce cas, c'est différent.
Est-ce que cela revient au même si chaque site web où on a un mot de passe à entrer utilisait un mécanisme de hashage coté client avant d'envoyer le mot de passe?
Par exemple, je tape mon mdp sur bidule.fr, le javascript (ou le navigateur web, ca serait mieux, mais je ne connais pas de standard pour cela) hashe le mot de pass (sha avec un sel définit par le serveur et par le login par exemple) et seul le hash est envoyé? Ainsi en cas d'écoute réseau, le mot de passe du client ne sera jamais dévoilé? Ce serait probablement encore mieux que saltyourpass, car le mot de passe semble quand même être envoyé à ce saltyourpass (en https ok, mais avec ces histoires à la NSA...). Dans un schéma de hashage coté client avant d'envoyer le passe au site, aucun mot de passe de l'utilisateur n'est envoyé directement sur le réseau.