Salut ! :D
Dites, je me pose une question...
On sait que les pwd (pour la plupart des sites) sont hashés et sont stockés quelque part... et que le seul moyen de les retrouver est donc de faire des comparaison par dico...
bon ca marche pas toujours avec les pwd complexe...
Mais alors, pour la fonction 'oublie de mot de passe' ??!
comment est il possible de le recuperer par Email, en clair !! :shock:
:wink:
P'tite question sur l'oublie de mot de passe ?
6 posts
• Page 1 of 1
P'tite question sur l'oublie de mot de passe ?
by --D4rm!-- » Wed Mar 12, 2008 9:00 pm
-
--D4rm!-- - Projets
- Posts: 70
- Joined: Fri Feb 22, 2008 3:20 pm
- Location: Dans le 9-3
by Manu404 » Thu Mar 13, 2008 6:50 pm
Evoi un Mp a korigan, j'ai dé=ja eu ce probléme0....
-- EDIT -- DESOLE J'AI CONFONDU AVEC UN AUTRE POST D'UN GARS QUI ARRIVAIT PLUS A SE CONNECTER
DONC CE QUE J4AI DIT EST TOTALEMENT H-S.... :oops: --
-- EDIT -- DESOLE J'AI CONFONDU AVEC UN AUTRE POST D'UN GARS QUI ARRIVAIT PLUS A SE CONNECTER
DONC CE QUE J4AI DIT EST TOTALEMENT H-S.... :oops: --
Last edited by Manu404 on Thu Mar 13, 2008 10:56 pm, edited 1 time in total.
-
Manu404 - Posts: 2219
- Joined: Tue Feb 26, 2008 3:44 pm
- Location: ::1:
by Korigan » Thu Mar 13, 2008 9:36 pm
Et bien tu as donné la réponse.
Lorsque les identifiants sont stoqué en clair le système est capable de te le renvoyer...donc en gro cela montre que si tu accèdes à la base tu n'aura même pas besoin de casser les hashs.
Si le système te renvoie un nouveau pass, c'est que le pass est probablement hashé.
Par contre ne fais jamas confiance à aucun site. Tout les messages peuvent être lut par les admins malhonète ainsi que les mots de passes, la provenance des visiteurs, les durée des visites, ...
Maintenant reste à voir s'ils ont du temps à perdre pour ça ou plutôt si ils ont un intérèt à le faire.
En gro ne pas croiser les informations.
On va prendre un exemple.
Tu t'inscris sur un site en donnant une adresse mail et d'autres informations comme ton site web. Ne pas utilisé un mot de passe que tu utilises déja pour l'un de ces services. Sinon il sera très facile pour le pirate de remonter étape par étape à tous les autres sites/service sur lesquels tu as des privilèges.
++Korigan
Lorsque les identifiants sont stoqué en clair le système est capable de te le renvoyer...donc en gro cela montre que si tu accèdes à la base tu n'aura même pas besoin de casser les hashs.
Si le système te renvoie un nouveau pass, c'est que le pass est probablement hashé.
Par contre ne fais jamas confiance à aucun site. Tout les messages peuvent être lut par les admins malhonète ainsi que les mots de passes, la provenance des visiteurs, les durée des visites, ...
Maintenant reste à voir s'ils ont du temps à perdre pour ça ou plutôt si ils ont un intérèt à le faire.
En gro ne pas croiser les informations.
On va prendre un exemple.
Tu t'inscris sur un site en donnant une adresse mail et d'autres informations comme ton site web. Ne pas utilisé un mot de passe que tu utilises déja pour l'un de ces services. Sinon il sera très facile pour le pirate de remonter étape par étape à tous les autres sites/service sur lesquels tu as des privilèges.
++Korigan
-
Korigan - Site Admin
- Posts: 1781
- Joined: Tue May 29, 2007 6:57 pm
by --D4rm!-- » Fri Mar 14, 2008 1:43 pm
[quote:aabf4db2cd="Korigan"]Et bien tu as donné la réponse.
Lorsque les identifiants sont stoqué en clair le système est capable de te le renvoyer...donc en gro cela montre que si tu accèdes à la base tu n'aura même pas besoin de casser les hashs.[/quote:aabf4db2cd]
C'est ce que je me suis dit en y repensant... ca ne peut qu'etre stocké en clair quelque part... :shock:
[quote:aabf4db2cd="Korigan"]
Si le système te renvoie un nouveau pass, c'est que le pass est probablement hashé.
Par contre ne fais jamas confiance à aucun site. Tout les messages peuvent être lut par les admins malhonète ainsi que les mots de passes, la provenance des visiteurs, les durée des visites, ...
Maintenant reste à voir s'ils ont du temps à perdre pour ça ou plutôt si ils ont un intérèt à le faire.
En gro ne pas croiser les informations.
On va prendre un exemple.
Tu t'inscris sur un site en donnant une adresse mail et d'autres informations comme ton site web. Ne pas utilisé un mot de passe que tu utilises déja pour l'un de ces services. Sinon il sera très facile pour le pirate de remonter étape par étape à tous les autres sites/service sur lesquels tu as des privilèges.
++Korigan[/quote:aabf4db2cd]
Ouaip faut faire gaffe a ca...
Donc du coup, faut toujours tester cette fonction
afin de savoir si le pass est stocké en clair ou pas :wink:
Lorsque les identifiants sont stoqué en clair le système est capable de te le renvoyer...donc en gro cela montre que si tu accèdes à la base tu n'aura même pas besoin de casser les hashs.[/quote:aabf4db2cd]
C'est ce que je me suis dit en y repensant... ca ne peut qu'etre stocké en clair quelque part... :shock:
[quote:aabf4db2cd="Korigan"]
Si le système te renvoie un nouveau pass, c'est que le pass est probablement hashé.
Par contre ne fais jamas confiance à aucun site. Tout les messages peuvent être lut par les admins malhonète ainsi que les mots de passes, la provenance des visiteurs, les durée des visites, ...
Maintenant reste à voir s'ils ont du temps à perdre pour ça ou plutôt si ils ont un intérèt à le faire.
En gro ne pas croiser les informations.
On va prendre un exemple.
Tu t'inscris sur un site en donnant une adresse mail et d'autres informations comme ton site web. Ne pas utilisé un mot de passe que tu utilises déja pour l'un de ces services. Sinon il sera très facile pour le pirate de remonter étape par étape à tous les autres sites/service sur lesquels tu as des privilèges.
++Korigan[/quote:aabf4db2cd]
Ouaip faut faire gaffe a ca...
Donc du coup, faut toujours tester cette fonction
afin de savoir si le pass est stocké en clair ou pas :wink:
-
--D4rm!-- - Projets
- Posts: 70
- Joined: Fri Feb 22, 2008 3:20 pm
- Location: Dans le 9-3
6 posts
• Page 1 of 1
Who is online
Users browsing this forum: No registered users and 2 guests