Question:
Est-il possible de rendre les attaques par force brute inefficaces en donnant de fausses réponses positives aux tentatives de connexion infructueuses?
Tweakimp
2016-07-13 02:25:39 UTC
view on stackexchange narkive permalink

Je n'ai aucune expérience ou connaissance scientifique en sécurité, je voulais juste demander si cela est possible car cela m'intéresse.

Et si je crypte les données et que chaque mot de passe les décrypte, mais seul le bon ne crée pas de fouillis de données inutile? La même chose pourrait être faite avec une connexion: de fausses données de connexion conduisent à de faux comptes factices et seuls les bons détails de connexion vous amènent aux bons comptes.

N'est-ce pas une meilleure méthode de chiffrement parce que vous ne pouviez pas simplement essayer les mots de passe, mais vous deviez regarder le résultat pour voir si c'était le bon?

Sonne comme un [pad unique] (https://en.wikipedia.org/wiki/One-time_pad).
Un [honeypot] (https://en.wikipedia.org/wiki/Honeypot_ (computing)) ou un [spamtrap] (https://en.wikipedia.org/wiki/Spamtrap) est un système dont le but est de gaspillerl'heure du bot.
cela ne fonctionnerait qu'en ligne, et vous ne devriez pas être en mesure de forcer les mots de passe en ligne en premier lieu ...
Eh bien, lorsque vous essayez de texte crypté par force brute, c'est ce que vous * avez * à faire.Il n'y a pas de cloche magique qui vous indique que lorsque vous avez obtenu le bon déchiffrement, vous devez regarder la sortie et vérifier.Si quelqu'un crypte un fichier compressé et que vous vérifiez uniquement si votre tentative produit du texte brut, vous ne pourrez jamais déchiffrer le texte, même en essayant toutes les clés possibles.
@Bakuriu: Avec de mauvais systèmes de cryptage, vous pouvez simplement décrypter les quatre premiers octets (précisément appelé le nombre magique, [je ne plaisante pas] (https://en.wikipedia.org/wiki/File_format#Magic_number);)!) Etvérifiez si vous obtenez, par exemple, un en-tête de fichier ZIP correct (non pas que je pense que ZIP fournit en fait un système aussi médiocre, mais je ne faisais que réutiliser votre exemple).Avec de bons systèmes de chiffrement, vous devez d'abord déchiffrer le fichier * entier *, et ce n'est qu'après cela que vous pourrez vérifier si la clé de déchiffrement est bien la bonne.
@WhiteWinterWolf Tout ce que vous dites est évident mais vous n'avez pas compris mon commentaire.Relisez-le.
Le système de chiffrement le plus pratique d'@Bakuriu: comprend un hachage, qui vous indique quand vous avez le bon déchiffrement.En outre, certains schémas de chiffrement, par exemplele chiffrement complet du disque est conçu pour que vous puissiez effectuer un accès aléatoire de manière efficace, vous n'avez donc pas besoin de déchiffrer tout le volume pour savoir que vous avez la bonne clé de déchiffrement.
@LieRyan Je ne vois pas en quoi votre commentaire est pertinent.Comme je l'ai dit: si la ** seule vérification ** que vous faites pour voir si le déchiffrement est correct est de vérifier si le résultat ** en texte brut ASCII ** est intelligible, vous ne pourrez jamais déchiffrer un message chiffré compressé.Période.Il n'y a pas de hachage dans ce scénario.Mon point est que, par définition, le déchiffrement via la force brute vous oblige à regarder les "données déchiffrées" et à décider si vous avez bien compris ou non, et parfois c'est facile, d'autres fois c'est difficile ou impossible à faire.
N'oubliez pas vos utilisateurs.Votre système de cryptage peut-il gérer le problème du "logiciel stupide, il produit des ordures lors du décryptage de mes fichiers de temps en temps"?Si vous n'avez que quelques utilisateurs techniques qui en savent assez, cela peut être utilisable.Mais si vous ciblez un grand nombre d'utilisateurs sans instruction, pour votre propre raison, créez un "mauvais mot de passe!"boite de dialogue :)
Il convient de mentionner que Vim produit des déchets lors de l'utilisation d'une mauvaise clé de cryptage sur des fichiers cryptés.C'est facile à dire, cependant, puisque la sortie se termine par un plein de caractères de contrôle.
@LieRyan Dans un système de cryptage correctement construit, les données sont cryptées, puis le MAC (qui utilise un hachage) est appliqué.Si vous faites l'inverse, MAC [Hash] puis crypter, alors oui, vous pouvez utiliser le MAC pour dire si vous avez un décryptage valide.Cela facilite l'attaque par force brute.Par conséquent, c'est pourquoi les systèmes modernes ne le font pas de cette façon (pour info, c'est un bogue bien connu dans SSL).Voir https://moxie.org/blog/the-cryptographic-doom-principle/ pour plus de détails.
Cela devrait se produire de manière aléatoire au lieu de systématiquement.Par exemple.à ~ 100 mauvaises connexions, un faux positif est présenté.
En plus des excellentes réponses, jetez un coup d'œil au relativement nouveau Honey Encryption: https://en.wikipedia.org/wiki/Honey_Encryption
Il existe un moyen de traiter les contributions qui sont du spam, des flammes, etc. sur les forums publics qui me rappelle la suggestion du PO: L'idée est de ne pas dire à l'affiche que son message a été jugé inacceptable par le logiciel du forum, mais plutôt d'afficher sonposter à lui, et seulement à lui, comme s'il avait été accepté.Il sera le seul à voir son post, mais pense qu'il a réussi.
Neuf réponses:
Cort Ammon
2016-07-13 02:32:53 UTC
view on stackexchange narkive permalink

La réponse dépend toujours de votre modèle de menace. La sécurité est toujours intégrée dans un équilibre entre sécurité et convivialité. Votre approche dérange les pirates qui tentent de pénétrer dans le compte, mais également un utilisateur qui ne fait qu'une erreur de saisie de son mot de passe. Si le faux compte est suffisamment crédible pour tromper un attaquant, il peut également être suffisamment crédible pour tromper un utilisateur valide. Cela pourrait être très mauvais.

Cela peut être souhaitable dans des environnements à très haut risque. Si vous deviez stocker des secrets nucléaires à l'air libre sur Internet, le fait que chaque mot de passe échoué vous mène à un compte qui a accès à de faux documents qui ne révèlent pas réellement de secrets nationaux pourrait être assez puissant. Cependant, dans la plupart des cas, cela n'est pas nécessaire.

Vous devez également considérer les alternatives. Une approche très populaire consiste à verrouiller le compte après N tentatives, ce qui arrête pratiquement toutes les tentatives de force brute et présente des comportements d'utilisabilité que la plupart des utilisateurs sont prêts à accepter.

Merci pour votre réponse.En fait, je voulais savoir si c'était possible, pas utilisable, peut-être qu'il aurait pu y avoir quelque chose que je n'ai pas vu qui rendrait mon idée inutile.
En ce qui concerne la possibilité, la seule limite sera la question de savoir dans quelle mesure un compte factice vous intéresse de prendre le temps de créer.Un endroit intéressant pour rechercher des données à ce sujet est le cryptage déniable.Dans le chiffrement déniable, vous créez une partition factice et vous empêchez l'attaquant de prouver que toute autre partition existe mathématiquement.Cette communauté a montré un grand intérêt pour la façon de donner à la partition factice une apparence légitime.
Un tel compte peut également être utilisé comme un pot de miel qui déclenche des capteurs de sécurité lorsque quelqu'un s'y connecte afin que vous puissiez détecter un attaquant tôt.
Le problème avec le honeypotting une tentative de connexion est que l'utilisateur valide ne réalisera pas que ce ne sont pas de vrais plans, donc ils construisent des armes nucléaires qui ne fonctionnent pas correctement.J'espère que vos faux plans ne briseront pas les contrôles de sécurité.La méthode la plus efficace que j'ai vue est de forcer les utilisateurs à attendre de plus en plus longtemps entre les tentatives de connexion.Forcez-les à ralentir et à réfléchir à ce qu'ils tapent.De cette façon, quand ils atteignent la limite de tentatives N, ce n'est pas une surprise.
@CandiedOrange - c'est un compte factice avec de fausses informations.Aucun utilisateur légitime ne s'y connecterait jamais.Si quelqu'un vole les plans et construit une arme nucléaire qui ne fonctionne pas, alors le système fonctionne comme prévu.
@Johnny Je pense qu'il pourrait y avoir une certaine confusion.J'ai traduit la question du PO comme suit: "chaque connexion invalide devrait réussir, mais conduire à un compte factice". Il serait donc très plausible pour un utilisateur de taper par erreur son mot de passe erroné et d'arriver à un tel compte.Si les pots de miel sont à la place configurés de sorte que * la plupart * des connexions invalides vous fassent savoir que la connexion était invalide, mais que quelques pots de miel sont mis en place avec différents noms d'utilisateur, alors vous auriez raison.Aucun utilisateur ne se connecterait jamais par erreur à un tel pot de miel.
Une combinaison, où après quelques tentatives infructueuses (3?) Plutôt que de vous exclure de votre compte, vous amène à un faux compte serait certainement intéressante.En remarque, j'ai déjà travaillé à un endroit où la table utilisateur PK était utilisateur + mot de passe.
"et a des comportements d'utilisabilité que la plupart des utilisateurs sont prêts à accepter" ... pour des valeurs raisonnablement élevées de N. =)
Pour les faibles valeurs de N, c'est une attaque DOS.Et une attaque DOS compromet la disponibilité, le A dans la triade CIA de la sécurité de l'information.
@DamianYerrick C'est très vrai.Les problèmes DOS sont l'une des principales raisons pour lesquelles je ne l'ai répertorié que comme une alternative populaire, pas une solution.Dans certains environnements, ce risque est suffisamment faible pour être accepté.Dans d'autres environnements, c'est totalement inacceptable.
John Wu
2016-07-13 04:06:09 UTC
view on stackexchange narkive permalink

Tromper un attaquant avec de faux positifs n'est pas une mauvaise idée, et ce n'est pas nouveau. Ce qui suit peut vous intéresser.

Camouflage cryptographique

CA technologies a breveté une technologie appelée Camouflage cryptographique.

Un point sensible de la cryptographie à clé publique est de savoir comment protéger la clé privée. Nous décrivons une méthode de protection des clés privées à l'aide du camouflage cryptographique. Plus précisément, nous ne chiffrons pas la clé privée avec un mot de passe trop long pour une attaque exhaustive. Au lieu de cela, nous le chiffrons pour qu'un seul mot de passe le déchiffre correctement, mais de nombreux mots de passe le déchiffreront pour produire une clé suffisamment valide pour tromper un attaquant. Pour certaines applications, cette méthode protège une clé privée contre les attaques par dictionnaire, comme le fait une carte à puce, mais entièrement dans le logiciel.

Ce n'est pas exactement ce dont vous parlez (ils protéger une clé, pas un accès) mais le concept est le même. Vous déjouez une attaque par force brute en rendant difficile ou impossible de déterminer si vous avez réellement déchiffré le code.

Souricière

En 1984, Michael Crichton (auteur d'Andromeda Strain et de nombreux autres) a écrit une courte histoire centrée sur un pirate informatique qui pensait voler des fichiers top secrets. Il avait deviné le bon mot de passe, mais à son insu, l'ordinateur l'authentifiait en réalité non pas en regardant son mot de passe, mais à la vitesse et à la manière dont il utilisait le clavier et la souris - une sorte de mécanisme d'authentification biométrique. Il a échoué l'authentification. Mais l'ordinateur ne lui a pas dit qu'il avait échoué - au lieu de cela, il lui a présenté une fausse copie des documents secrets, qu'il a ensuite téléchargés et a tenté de vendre sur le marché noir.

Encore une fois, ce n'est pas exactement la même chose que ce que vous demandez, mais cela démontre (dans la fiction, en tout cas) l'utilisation de faux positifs pour contrecarrer une attaque.

Cryptographic Camouflage me rappelle comment TrueCrypt pourrait charger [soit un leurre soit un système d'exploitation caché selon le mot de passe fourni] (http://andryou.com/truecrypt/docs/hidden-operating-system.php).
Un autre bel exemple!
Tyler Gallenbeck
2016-07-13 04:00:22 UTC
view on stackexchange narkive permalink

Pour vous donner une réponse claire, oui , il est possible de réduire l'efficacité des attaques par force brute et cela peut être fait comme vous l'avez suggéré, mais ne devrait pas. Vous pouvez obtenir des résultats très similaires simplement en implémentant des délais entre chaque tentative infructueuse et la prochaine estimation. En outre, (juste pour votre connaissance) des technologies très sophistiquées et similaires ont déjà été conçues et mises en œuvre pour cette chose exacte. Des produits comme Canary, Honey Pots et Honey Docs offrent tous des éléments similaires tels que de faux environnements, appareils, serveurs, comptes, etc.

Ok, mais qu'en est-il des fichiers cryptés.Vous ne pouvez pas mettre un délai entre les tentatives de décryptage infructueuses, n'est-ce pas?
Je ne pense pas que vous puissiez vraiment créer suffisamment de faux ensembles de fichiers dans un conteneur chiffré pour tromper de manière fiable un outil de craquage automatisé.Si l'attaque a la possibilité d'une attaque hors ligne, vous devez vous fier à d'autres techniques de durcissement comme les fonctions de dérivation de clé qui sont lentes pour limiter le nombre d'essais par unité de temps.
@Tweakimp, vous pouvez être intéressé par "volume caché TrueCrypt."Cela ressemble à ce que vous décrivez.(Mais il n'a que deux mots de passe, pas infinis.)
@Wildcard Merci, je vais l'examiner.Deux sons bien plus petits que l'infini;)
@SimonLindgren qui est jusqu'à ce que l'informatique quantique devienne une réalité où les essais par seconde atteignent de nouveaux sommets.Ainsi, les fonctions de dérivation de clé devraient également augmenter.
Peteris
2016-07-14 00:43:28 UTC
view on stackexchange narkive permalink

L'effet est minuscule

Supposons que votre système transforme la force brute pratique de déchiffrer les quatre premiers octets (de manière réaliste, le premier bloc beaucoup plus gros, mais peu importe) à avoir à déchiffrer le plein, par exemple. quatre gigaoctets de données chiffrées, ce qui rend les tentatives de force brute environ un milliard de fois ou 2 ^ 30 fois plus lentes.

Maintenant, cela peut vous sembler une grande différence, mais en fait cet effet est minuscule par rapport à d'autres alternatives. Une échelle simplement «milliard de fois plus lente» n'est tout simplement pas si importante dans le monde de la cryptographie. Pourquoi s'embêter avec une complexité supplémentaire qui pourrait ne pas atteindre le ralentissement prévu ou introduire de nouveaux bogues, si simplement ajouter 30 bits supplémentaires à la longueur de la clé de chiffrement fait la même chose, et augmenter la taille de la clé par ex. 128 bits (si cela ne suffit pas déjà) à 256 bits fournit un effet incomparablement beaucoup plus important que cela?

gpinkas
2016-07-13 16:23:29 UTC
view on stackexchange narkive permalink

La plupart a déjà été dit, je veux juste offrir une autre perspective.

Imaginez que vous essayiez de sécuriser une maison avec cette technique. Vous laisseriez l'intrus donner accès à une cave s'il essaie d'ouvrir la porte pendant un certain temps.

La question est, voudriez-vous même un intrus là-bas? L'intrus se rendra certainement compte qu'il n'a pas obtenu ce qu'il voulait après un certain temps et essaiera de s'éloigner de là. Et vous auriez à maintenir la sécurité supplémentaire pour la cave que vous avez préparée.

Donc, d'une certaine manière, vous ne faites qu'augmenter la quantité de travail pour vous-même pour tromper les attaquants (inexpérimentés) pendant un certain temps.

Parce que si je le faisais d'une bonne manière, l'intrus ne saurait (pendant un certain temps) qu'il était dans la fausse pièce et ne pouvait même pas être sûr qu'il était dans la bonne quand il y entrerait. De plus, regarder dans la pièce prend du temps, vous ne pouvez donc pas simplement tester la porte pour une clé, mais devez regarder dans la pièce à chaque fois, ce qui prendra beaucoup plus de temps pour forcer votre chemin.
Oui, je peux voir ce que tu veux dire.Mon point est le suivant: installer et sécuriser correctement la fausse pièce nécessite votre temps.Le temps, vous pourriez mieux investir dans la sécurisation de la «porte d'entrée» en premier lieu.:)
Un contrôle d'accès approprié pour les utilisateurs authentifiés légitimes est déjà une nécessité de toute façon;Je ne vois pas comment ce serait un travail supplémentaire pour un faux compte.
C'est vrai, mais sécuriser l'ensemble du contrôle d'accès est beaucoup plus difficile que de sécuriser l'écran de connexion.C'est une nécessité, mais il est presque impossible d'avoir une sécurité parfaite en place.Avec ce schéma, vous laissez un attaquant potentiel un pas de plus dans votre système.Dans la plupart des attaques, accéder à N'IMPORTE QUEL compte d'un système est la première étape pour obtenir les privilèges root.
Ceci est un bel exemple récent d'escalade de privilèges: http://www.theregister.co.uk/2015/07/22/os_x_root_hole/
@gpinkas: Laisser quelqu'un passer devant la porte d'entrée est mauvais.Avoir de fausses portes d'entrée en plus de la vraie, * qui sont toutes entièrement à l'extérieur du vrai mur de sécurité *, peut valoir ou non l'effort, mais ne devrait pas affecter la sécurité.Le principal aspect utile que je peux voir à de telles choses est que si les fausses portes sont plus nombreuses que les vraies portes de 1000: 1 environ, et déclenchent des alarmes en cas de violation, il est probable qu'un intrus déclenchera des alarmes avant d'accéder à quelque chose d'important.
bernz
2016-07-14 01:17:06 UTC
view on stackexchange narkive permalink

On dirait que vous parlez d'une forme de «cryptage déniable» ou de «déni plausible» dans le contexte de la crypto; c'est-à-dire un secret alternatif qui se déchiffre en texte clair plausible mais non authentique. Voir https://en.wikipedia.org/wiki/Deniable_encryption pour plus de détails.

Mais à proprement parler, si quelqu'un a la capacité de forcer brutalement votre texte chiffré, il découvrira potentiellement tout des textes en clair plausibles, puis, sur la base des connaissances qu'ils ont déjà sur le contexte, ils seront en mesure de décider lequel des textes en clair est le texte original authentique. La première partie peut être réalisée par des pseudo-IA, mais la seconde partie a encore besoin d'un humain.

En utilisant un pavé unique, chaque message possible est également probable, vous n'avez aucun moyen de savoir ce qu'était l'original sans la clé d'origine.Par exemple, "Meet 15pm Wed" est tout aussi probable que "Meet 9am Tue" ou "Done my task" - le contexte n'aide pas toujours
m.kin
2016-07-13 05:21:31 UTC
view on stackexchange narkive permalink

Le problème avec les clés est qu'elles existent en tant que données et non en tant que code en cours d'exécution. Même avec l'exemple CA et Crichton, une procédure hors bande se produit qui vous fournit des réponses raisonnables pour chaque tentative de déchiffrement. Mathématiquement, cela est impossible au niveau d'un texte chiffré et des tentatives de force brute.

Dewi Morgan
2016-07-14 00:20:27 UTC
view on stackexchange narkive permalink

Pour l'accès à distance, comme d'autres l'ont dit, de simples verrouillages et retards peuvent fonctionner.

Pour les mots de passe, vous disposez d'un hachage unidirectionnel. Pour valider le mot de passe, vous le hachez à nouveau et comparez les deux hachages. Avoir plus d'un mot de passe simple produit une correspondance valide avec un seul hachage est considéré comme indésirable: cela signifie que le hachage est faible et qu'il a des "collisions".

Il est donc peu probable que vous soyez intéressé par les lecteurs chiffrés.

Ce que vous décrivez - de faux lecteurs "externes" remplis de fausses données protégeant le lecteur "interne" chiffré - est possible, et a été fait en truecrypt (qui malheureusement est mort depuis).

Ce qui suit est ma propre compréhension naïve, et certains ou tous peuvent être faux. Je n'ai jamais utilisé cette fonctionnalité, mais je l'ai jugée intéressante.

Truecrypt vous a permis de spécifier un deuxième mot de passe, qui déverrouillerait une "couche" du lecteur chiffré (aurait pu être limité à un conteneur externe, je oublier). Cela avait des problèmes évidents; les lecteurs externes n'étaient pas au courant des lecteurs internes, qui étaient stockés dans «l'espace vide» des lecteurs externes chiffrés. Ainsi, des changements dans ceux extérieurs pourraient détruire les pulsions intérieures. En outre, les horodatages sur les lecteurs internes n'étaient pas automatiquement mis à jour lorsque vous avez accédé au lecteur chiffré. Ainsi, quelqu'un ayant accès à votre machine pourrait dire quand vous avez modifié le fichier du lecteur crypté pour la dernière fois, et pourrait comparer ces horodatages aux heures de dernière modification sur le lecteur crypté, et dire immédiatement que vous l'avez utilisé plus récemment, donc il doit y avoir un lecteur interne.

Mais l'idée était que vous avez le lecteur externe avec un mot de passe facile à deviner, comme password123, mettez des trucs vaguement secrets là-dedans, et cela ferait de vos adversaires pense qu'ils sont entrés dans votre lecteur crypté.

Rien de moins - tout ce qui vient de renvoyer des déchets (bruit aléatoire équivalent à un lecteur non formaté) aurait été trivial à contourner en recherchant une "chaîne magique" sur le lecteur décrypté qui serait nécessaire sur n'importe quel lecteur réel mais peu probable dans un lecteur de déchets.

Même chose avec les documents chiffrés: la plupart des types de fichiers ont des chaînes magiques, donc si vous savez quel type de fichier est contenu, alors tout brouillage effectué peut être forcé de trouver tous les moyens de produire la chaîne magique .

Cela ne veut pas dire que c'est une mauvaise idée, cependant - si la chaîne magique est, disons, "jfif", alors seulement environ un mot de passe sur environ 16 millions aboutira à cette chaîne magique. Mais si la longueur de la clé est, disons, 2 ^ 1024, alors ils l'ont seulement réduite à 2 ^ 1000 - ce qui, bien sûr, est certainement 16 millions de fois plus rapide à craquer, mais prendra littéralement une éternité à craquer.

Les fautes de frappe occasionnelles de mot de passe ne feraient pas penser à quelqu'un qu'il a déchiffré le fichier, mais il ne suffirait pas de rechercher la chaîne magique.

Il vous manque un point: pour déverrouiller le lecteur "externe", vous étiez censé taper * les deux * clés.De cette façon, vous pouvez apporter des modifications sans détruire le lecteur interne.Mais lorsqu'un attaquant [vous a menacé avec une clé] (https://xkcd.com/538/), vous pouvez simplement lui indiquer la clé externe et il * ouvrira * avec succès le lecteur, sans aucune preuve qu'il y avait unconduire - et donc, également, aucun moyen de protéger le lecteur interne.
@wildcard Ah, d'accord.Bien que malheureusement, les horodatages sur le lecteur "externe" indiqueront probablement encore assez clairement que vous n'étiez en fait actif que sur l'intérieur, à moins que vous ne soyez prêt à monter et à accéder aux deux, éventuellement avec un script à l'intérieur pour manipuler l'extérieur.
Tom
2016-07-15 11:06:00 UTC
view on stackexchange narkive permalink

Quelque chose comme ça a été fait dans certaines versions du logiciel de compression RAR (dans les premiers jours, je ne sais pas si c'est toujours comme ça). Une archive chiffrée serait déchiffrée par n'importe quel mot de passe entré, mais un mot de passe erroné entraînerait une sortie chaotique. Cela a été fait pour empêcher le forçage brutal des mots de passe, ce qui à l'époque était possible pour les archives ZIP qui renvoyaient immédiatement une erreur de "mauvais mot de passe".

En fait, avec zip, tous les mots de passe n'entraînent pas l'erreur "mauvais mot de passe".Ce rejet rapide se produit pour la plupart d'entre eux (et donc un utilisateur mal tapé "toujours" le rencontre), mais si vous forcez brutalement les mots de passe, vous obtiendrez beaucoup de faux positifs sur le crc32 (il est basé sur un octet ou 2-byte crc check) qui doivent être vérifiées soit en extrayant complètement le fichier puis en réalisant que le crc32 extrait ne correspond pas ou -si vous avez de la chance- en regardant le texte brut connu au début du fichier à extraire.
Peut-être que c'est nouveau?Je parle d'il y a 20 ans.
Je parle de cryptage zip traditionnel, ce est à dire.celui qui était disponible il y a 20 ans.
Je pense que je sais exactement ce que vous voulez dire: je me souviens avoir également essayé de retrouver mon mot de passe pour une grande archive, puis WinRAR "extrairait" d'abord toute l'archive avant de me dire que le mot de passe est incorrect.Je pense que cela devrait être lié à une époque où les méthodes appropriées [d'étirement des touches] (https://en.wikipedia.org/wiki/Key_stretching) n'étaient pas courantes, WinRAR a utilisé cette méthode pour ralentir les attaques par force brute.
De telles méthodes rendent l'efficacité de la force brute directement dépendante de la taille de l'archive, ce qui n'est pas une bonne chose: les petites archives seront moins protégées, y ajouter des fichiers inutiles augmenterait la sécurité, c'est tout simplement trop piraté.Voici les bonnes méthodes d'étirement des clés qui permettent de mettre un temps constant pour le processus de vérification du mot de passe, indépendamment de la taille de l'archive: les petites archives bénéficient du même niveau de protection contre la force brute que les plus grandes, niveau dépendant uniquement de l'algorithme et des paramètres choisis, ce qui est évidemment plus propre et donc plus sûr.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...