Jean-Baptiste Faure a écrit :
Le 03.11.2009 14:39, Vidon Guillaume a écrit :
Landron Gérard a écrit :
Le mardi 3 novembre 2009 07:10:40, Vidon Guillaume a écrit :
Landron Gérard a écrit :
Le lundi 2 novembre 2009 09:45:39, support a écrit :
Euh, si tu as un fichier ODF (c'est une affaire de format de fichier
pas de logiciel) protégé par mot de passe, tu n'as, à l'heure
actuelle,
aucun moyen de l'ouvrir sans le mot de passe. Il n'existe pas de
crack
pour ODF. Chaque élément de l'archive qui constitue le fichier
odf est
chiffré, tu peux décompresser l'archive mais le contenu est
inexploitable.
Il existe un logiciel pour casser les mots de passe odf. La
protection
par mot de passe est la pire des solutions. Ce n'est pas pour rien
que
le fichier shadow a été inventé sous unix.
Bonne journée.
il serait bien d'en dire un peu plus car JBF qui est habituellement
bien
informé semble en ignorer l'existence !
Bonne journée
JBF
Gérard
L'application s'appelle OpenOffice Password Recovery V1.0.
La configuration par défaut permet de casser déjà pas mal de mots de
passe.
j'ai regardé et je pense qu'on peut relativiser l'affirmation.
Comme toute force brute, cela dépend de la qualité du mot de passe !
après 36 mn et 1807400 mots testés, il est 9% et estime encore 7h de
test au rythme de 2500 mots de passe par seconde.
En quoi cela relativise l'affirmation ?
Un mot de passe reste la pire des solutions pour protéger un document.
Non, il y a pire, changer l'extension du fichier :)
C est completement parti en buzz ma question ...
Qu'as-tu de mieux qu'un bon mot de passe ?
Dans une infrastructure, le mot de passe sur beaucoup de points est le
maillon faible.
Un mot de passe doit avoir une période de validité suffisamment faible
afin de réduire la probabilité que celui-ci soit cassé durant son
utilisation. Pour calculer cette période, il faut déterminer un profile
de la menace :
utilisateur lambda
pirate isolé
organisation crapuleuse
état
En fonction du profile, les moyens pouvant être mis en œuvre pour casser
un mot de passe ne sont pas les mêmes.
Le problème de la protection par mot de passe d'un document, c est
qu'une fois le document copié, il reste a la disposition de
l'attaquant et celui-ci a tout le temps, voir les moyens, pour casser
le mot de passe.
L'utilisation d'un mot de passe peut être envisagée dans le cas d'un
document n'ayant de l'importance que durant une période relativement
faible par rapport au temps de cassage.
Libre a chacun de mettre des mots de passe, mais il ne faut pas faire sa
politique de sécurisation des données sur l'utilisation de mots de passe.
Pour information, ici, les utilisateurs n'ont pas de mots de passe :
authentification biométriques.
Bonne journée
G.V
Toutes les mesures de
protection que j'ai pu rencontrer passent toujours à un moment ou un
autre par la fourniture d'un mot de passe, que ce soit pour une clé ssh
ou fournir un certificat. Quand tu te connectes en administrateur sur
une machine tu le fais à l'aide d'un mot de passe, enfin en principe.
Le problème n'est pas le mot de passe mais de savoir si on peut le
contourner (agir même sans fournir le mot de passe) ou le trouver
facilement. Le premier cas est par exemple celui de la protection des
feuilles de calcul dans MS-Excel, OOo oublie de demander le mdp et
déverrouille sans problème ces feuilles de calcul "protégées". Comme il
n'y a pas de chiffrement, la protection est à la discrétion du logiciel
au lieu du format de fichier. Il y a plusieurs discussions récentes sur
les listes globales à ce sujet. Le défaut est coté MS et non coté OOo.
Dans le second cas le bug est entre la chaise et le clavier : avec un
chiffrement efficace il suffit de choisir un mot de passe (la clé de
chiffrement) assez long et varié pour ne pas avoir trop de soucis à se
faire.
Ces questions de sécurité sont importantes : si on me démontre que je me
trompe je suis prêt à changer d'avis.
Bonne journée
JBF
Gérard
---------------------------------------------------------------------
To unsubscribe, e-mail: [email protected]
For additional commands, e-mail: [email protected]
---------------------------------------------------------------------
To unsubscribe, e-mail: [email protected]
For additional commands, e-mail: [email protected]
