Bonjour, Le Monday 07 March 2011 (15:21), Clément Guivy écrivait : > Le 07/03/2011 15:13, Pascal PETIT a écrit : > >Si on se doute que l'attaquant a utilisé un autre service, sans savoir > >très bien comment ni à partir de quel compte, on peut demander au > >gestionnaire du service tous les comptes ayant ce mot de passe. > > Ca ne fonctionne que si les services en question utilisent le même > algo de hashage pour le stockage des mots de passe, ce qui n'est pas > systématique.
et, pour le même algo de hachage, qu'il n'utilise pas de grain de sel. Le problème est réglé s'ils ont réussi à avoir le mot de passe initial en clair (quelque soit le moyen pour l'avoir eu en clair). Ce qui est valable pour le mot de passe est aussi valable pour la question/réponse de récupération de mot de passe. makepasswd est votre ami et constitue une réponse intéressante à "quel le nom de famille de votre mère". :-) -- Pascal --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
