Discussion :

[Chauvety]

Bonjour � tous,

Je souhaite stocker mes mots de passe au sein d'une base de donn�e stock�e sur un serveur apr�s les avoir crypt�s en JavaScript.
En consultation le serveur transmet les mots de passe crypt�s et un scripts les d�crypte localement.

Tout fonctionne bien sauf que les scripts transmis par le serveur peuvent �tre consult�s, ce qui ruine le cryptage!

D'o� ma question : Peut-on masque le contenu d'un script ?

Merci d'avance pour vos r�ponses

[Bovino]

Non, tu ne peux pas.
Tu peux au pire l'obfusquer mais �a ne r�sistera pas � quelqu'un ayant un minimum de connaissances.

[SylvainPV]

Tu as pens� au cryptage � sens unique type hash (SHA2 par exemple) ?

A la saisie du mot de passe, il est crypt� c�t� serveur et compar� avec le hash en base de donn�es.

[sekaijin]

R�gle de s�curit� N�1
la v�rification ne se fait jamais c�t� client uniquement c�t� serveur.

A+JYT

[SylvainPV]

la v�rification du mot de passe ne se fait jamais c�t� client uniquement c�t� serveur.

Du reste, le mieux c'est de valider � la fois c�t� client et c�t� serveur, pour pr�venir les erreurs classiques de saisie et accompagner l'utilisateur dans la saisie avant soumission du formulaire. Combiner praticit� et s�curit�, en somme.

[sekaijin]

je ne suis pas d'accord tout ce que tu peux mettre c�t� client pour aider l'utilisateur est une source d'information pertinente pour aider le hacker � passer outre ta protection.

une �tude anglaise r�v�lait il y a quelque mois qu'un syst�me dont les mots de passe sont contraint (par ex pr�sence de signe @#... + au moins une majuscule + aumoins une minuscule) �tait au final moins s�curis� qu'un syst�me sans contrainte.

l'�tude faisait remarquer que les syst�me sans aucune contrainte sur le mots de passe �taient ceux ou avait �t� trouv� les mots de passe les plus facile � craquer.
Mais rammen� rapport mot de passe craqu�s/mot de passe d�finis les syst�me sans contraintes se sont tous mieux plac� que ceux avec une ou plusieurs contrainte.
Mieux plus les contraintes �taient pr�cises moins bon �tait le score.

il va sans dire que cette exp�rience � �t� men� sans connaitre � l'avance les contraintes.
ces r�sultat s'explique de fa�ons logique s'il y a une r�gle qui d�fini les mots de passes alors plus on s'approche de cette r�gle (devine) plus on peut trouver de mots de passes.

Cette exp�rience montre que sans donner aucune informations au hacker le simple fait que c�t� serveur il y ait une r�gle diminue le niveau de s�curit�.
Je pense donc que donner la moindre information au client sur la fa�on dont la s�curit� est faite est pire que tout.
pour moi c'est comme garder quelque chose dans un lieu s�curis�. s'il n'existe aucune information sur le lieu, le conteneur et la fa�on d'y acc�der il sera tr�s difficile de r�cup�rer cette chose et ceux m�me si au final le syst�me de s�curit� �tait simple.
� contrario si la localisation est connue que le type de conteneur est connu et que le principe du syst�me de s�curit� est connu aussi sofistiqu� soit-il il y a un risque de p�n�tration.

toute information est � priori bonne � prendre pour parcer une s�curit�. donc moins on en donne mieux c'est. si le client n'a � ce propos aucune int�lligence le hacker ne poura pas ce servir de cette intelligence pour comprendre la protection. de m�me pour les erreurs. si � chaque tentative le syst�me r�ponds par la n�gative sans aucune autre information il est impossible pour le hacker de savoir s'il progresse ou pas.

pour moi le pb du MdP en clair est un faut pb.
sur le web tu peux crypter de fa�on injective ou bijective le mot de passe c�t� client et envoyer le r�sultat ou au contraire envoyer le MdP

dans un cas comme dans l'autre le hacker � acc�s � ta page client donc � ton cryptage. et le point d'entr�e n'est pas le formulaire mais la requ�te HTTP
pour le hacker envoyer un MdP dans une requ�te HTTP ou le r�sultat d'un Cryptage c'est pareil. il n'y a aucune diff�rence.

A+JYT

[SylvainPV]

C'est pour �a que j'ai rajout� et soulign� mot de passe dans ta phrase

Je parlais des autres champs: email, date de naissance, tout ce qui peut �tre pr�-valid� c�t� client.

[thelvin]

Je souhaite stocker mes mots de passe au sein d'une base de donn�e stock�e sur un serveur apr�s les avoir crypt�s en JavaScript.
En consultation le serveur transmet les mots de passe crypt�s et un scripts les d�crypte localement.

Tout fonctionne bien sauf que les scripts transmis par le serveur peuvent �tre consult�s, ce qui ruine le cryptage!

D'o� ma question : Peut-on masque le contenu d'un script ?

J'ai fait un syst�me de ce genre. Le principe est que mes scripts ne contiennent pas la cl� de d�cryptage. Elle est quelque part sur mon t�l�phone, une cl� USB, et un autre espace de stockage en ligne, pour que je ne risque pas de la perdre. Mais elle n'est pas dans les script. Je dois aller la chercher et la copier/coller � chaque fois que je veux acc�der � mes donn�es.

(Je ne donnerai pas d'URL parce que je ne suis pas form� en crypto et j'ignore si j'ai introduit une faiblesse par manque de connaissance.)