Videos streaming images jeux et buzz
Connexion






Perdu le mot de passe ?

Inscrivez-vous maintenant !
Menu Principal
Communauté


(1) 2 »


noxyra
[Besoin d'avis] Une API pour des mots de passe sécurisés.
 2  #1
Je viens d'arriver
Inscrit: 23/08/2017 13:21
Post(s): 2
Salut tous le monde !

Je viens aujourd’hui vous faire part de mon projet : Le mot de passe ayant une place importante dans notre quotidien, il est de nos jours malheureusement peu sécurisé, c’est pourquoi j’ai décidé de créer mon webservice : https://secure-password.fr

En quoi il consiste ? Tout simplement à protéger les utilisateurs de votre site internet en les empêchant d'utiliser des mots de passe courants ou déjà piratés et disponibles en clair sur internet.

Actuellement seule l'API est disponible, mais j'ai pour projet de l'adapter sur mobile afin de permettre aux utilisateurs de sécuriser leurs comptes sur le web. Je précise également que mon service est en règle avec les normes de la CNIL.

Amis développeurs, webmasters ou autres, votre feedback me serait très précieux ! 250 Requêtes vous sont offertes à l'inscription afin que vous puissiez vous faire votre avis.

Si le projet vous plait, n'hésitez pas à acheter un pack de requêtes en guise de dons car j’aurai besoin de votre soutien pour assurer le serveur pendant plusieurs années et d’optimiser le service pour le rendre plus rapide et plus complet.

N'hésitez pas à partager le site sur les réseaux sociaux !

Je reste à votre disponibilité pour toutes autres questions.

En vous remerciant d’avance,

Technologiquement votre, Guillaume.

Contribution le : 23/08/2017 13:23
Signaler

shinix
 0  #2
Je suis accro
Inscrit: 16/03/2015 13:40
Post(s): 794
Karma: 1521
Salut,

Je ne comprends pas trop l'utilité de ton api, dans le sens ou je ne vois pas ce qu'il y a de compliqué à créer une fonction avec 3 preg_match (en php).

Je veux dire, tester un mot de passe c'est pas compliqué, il n'y a tout un tas de code donné sur internet.

Après l'autre chose dérangeante c'est que du coup tu vas faire une requête avec le password du gars pour le testé (malgré le https je te vois venir^^). Niveau sécurité je suis pas fan.

Ensuite, dernier point, faire payer une api de check de mot de passe 😣 là du coup je n'y crois pas du tout.

Ton idée en soit n'est pas mauvaise hein ! mais je pense que quitte à faire payer, propose quelque chose de plus "conséquent" qu'une simple validation du champs mot de passe.

D'ailleurs c'est marrant, si j'utilise le mot de passe "WwW.KoReUs.CoM" ton site me diras "Ce mot de passe n'est pas sécurisé (disponible en clair sur internet)" mais par contre "glaçon2" ça passe, selon toi le quel des deux est le plus sécurisé ? 😛

Contribution le : 23/08/2017 14:00
Signaler

Koreus
 0  #3
Webhamster
Inscrit: 03/07/2002 23:58
Post(s): 75337
Karma: 36947
Déplacé dans Software

Contribution le : 23/08/2017 14:07
_________________
Signaler

noxyra
 0  #4
Je viens d'arriver
Inscrit: 23/08/2017 13:21
Post(s): 2
@shinix

Si il n'y avait que trois preg_match(). Ce que je fais payer au final c'est l'hébergement de la base de donnée.

La base de donnée fait actuellement plus de 50Go, et en moyenne il y a 1.000.000 mots de passes ajoutés par jour. Faudrait d'ailleurs que je fasse un script un peu plus rapide ^^ et qui sait peut être que glaçon2 sera plus sécurisé d'ici peut.

J'ai pas mal d'idées pour faire évoluer mon site, mais peu de temps pour les mettre en oeuvre ... J'ai tout de même l'intention d'ajouter des fonctionnalités pour rendre la non-gratuité plus légitime 🙂

Contribution le : 23/08/2017 14:51
Signaler

Invité
 1  #5
FantômeInvité
@noxyra
Ce qui me gène, c'est que tu deviens un tiers de confiance.

Je suis l'utilisateur A, je me connecte au site B, mais la connexion est validée par le service C, si j'ai bien compris.

Ça me gène sur plusieurs points :
- je n'ai aucune garantie que les identifiants soient stockés correctement (logiciel non-libre et donc totalement opaque);
- tu deviens une cible de choix (50Go d'identifiants);
- tu as un pouvoir énorme (tu sais qui se connecte où, et quand ; tu peux décider de refuser une connexion pour un utilisateur ou pour un site).

Pour ce dernier point tu me diras "mais non je ferai jamais ça" on sait pas de quoi l'avenir sera fait, et ce genre de pratique a lieu avec Paypal qui refuse certaines transactions (une prise de position politique de sa part)

Bref, c'est pas un schéma que je trouve idéal cette façon de faire.

Dis-moi où je me trompe ^^

Contribution le : 28/08/2017 20:40
Signaler

-JoJo-
 1  #6
J'aime glander ici
Inscrit: 25/12/2007 00:19
Post(s): 5076
Karma: 2246
Citation :

@noxyra a écrit:
@shinix
La base de donnée fait actuellement plus de 50Go, et en moyenne il y a 1.000.000 mots de passes ajoutés par jour.


Avec un site en français donc en ne visant que des clients francophones? 1.000.000 par jour? MAIS OUIIIIIIIIIIIII ! Tu dois en avoir des gros clients. Vu tes prix, tu devrais rouler dans l'or, je ne pense même pas que tu viendrais prendre ton temps de venir faire de la pub sur Koreus.

Bref, comme déjà dit, ça ajoute :
- de la complexité sur un algo très très facile
- de la lantence (puisqu'il faut appeler ton API externe)
- une possible faille de sécurité (car hey, pourquoi te faire confiance?)
- une totale dépendance à toi (si ton site ferme, comment mes utillisateurs se connectent? comment mon site va fonctionner?)

Surtout que je me suis connecté à ton site : SUPER LENT !!!
10 secondes pour charger la page (après, je ne suis pas situé en France donc ça ajoute). J'ai même utilisé ton teste pour vérifier un mot de passe : j'ai du attendre 5 secondes pour me dire si mon mot de passe était sécurisé ou non.

Contribution le : 29/08/2017 10:39
Signaler

Invité
 0  #7
FantômeInvité

Contribution le : 29/08/2017 11:22
Signaler

-Flo-
 3  #8
Je poste trop
Inscrit: 08/01/2005 13:41
Post(s): 15190
Karma: 12562
Citation :

@-JoJo- a écrit:
Avec un site en français donc en ne visant que des clients francophones? 1.000.000 par jour? MAIS OUIIIIIIIIIIIII ! Tu dois en avoir des gros clients. Vu tes prix, tu devrais rouler dans l'or, je ne pense même pas que tu viendrais prendre ton temps de venir faire de la pub sur Koreus.


Je pense que tu n'as pas du tout compris de quoi il parlait. Il ne dit pas qu'il reçoit un million de requêtes par jour de la part de ses utilisateurs, mais que sa base de connaissance de mots de passe compromis augmente d'un million d'entrées par jour.

Contribution le : 29/08/2017 12:23
_________________
Signaler

shinix
 0  #9
Je suis accro
Inscrit: 16/03/2015 13:40
Post(s): 794
Karma: 1521
De toute manière, envoyé une requête POST avec le mot de passe en clair à checker très peu pour moi. Encore si il fournissait un cryptage pour sécuriser la requête.

Contribution le : 29/08/2017 12:45
Signaler

Invité
 0  #10
FantômeInvité
Citation :

@shinix a écrit:
De toute manière, envoyé une requête POST avec le mot de passe en clair à checker très peu pour moi. Encore si il fournissait un cryptage pour sécuriser la requête.

Il me semble que la requête utilise TLSv1_2.
Ce qui est opaque, c'est le stockage des données.

Contribution le : 29/08/2017 13:44
Signaler

shinix
 0  #11
Je suis accro
Inscrit: 16/03/2015 13:40
Post(s): 794
Karma: 1521
@Grandasse oui je sais que niveau sécu c'est bon mais par principe je n'oserai pas le faire pour tout un tas de raisons comme si le site ferme et que quelqu'un rachète le NDD et utilise les requêtes pour enregistrer les mots de passe de mes membres... Ou tout simplement un piratage du site "discret" ou l'on insert juste un code qui rebalance chaque requête avec MdP dans la base de donnée du hacker.

Enfin tout ça pour dire que le traitement de mot de passe est quelque chose de très sensible (autant pour le client que pour le développeur qui mettrait ce système sur le site du client) du coup, la confiance n'est donnée qu'au grosse société ayant un gros bagage derrière (Google, Amazone & cie) au moins là, on a l'assurance que nos données sont "biens protégées" à aucun moment je me risquerai à envoyer le MdP de mes membres à un site inconnu proposant une API.

Contribution le : 29/08/2017 14:03
Signaler

Arsenick
 1  #12
J'aime glander ici
Inscrit: 13/12/2006 00:12
Post(s): 6493
Karma: 1039
Sur le fond, il y a de l'idée mais keepass te permet de stocker tes mots de passe et possède un générateur, le tout gratuitement: pourquoi payer?

Ton JS est en clair (et dans la même page!), l'obfuscation est la première étape pour contrer le RI.
Si ton site se fait défoncer, qui te fera encore confiance?

Contribution le : 29/08/2017 19:28
Signaler

-Flo-
 0  #13
Je poste trop
Inscrit: 08/01/2005 13:41
Post(s): 15190
Karma: 12562
En gros c'est juste dommage de ne pas demander dans le call un mot de passe hashé par une fonction du type SHA-256 au lieu de demander le mot de passe brut.

C'est pour moi le seul gros point faible de ton truc. Et il suffirait juste de le faire pour supprimer de fait quasiment toutes les critiques formulées dans ce topic, parmi celles qui sont vraiment pertinentes à mes yeux.

Contribution le : 29/08/2017 19:54
_________________
Signaler

Invité
 0  #14
FantômeInvité
@-Flo- le truc c'est qu'un des principe du site, c'est d'analyser le mot de passe pour regarder s'il est robuste 😕

Contribution le : 29/08/2017 23:16
Signaler

-Flo-
 1  #15
Je poste trop
Inscrit: 08/01/2005 13:41
Post(s): 15190
Karma: 12562
@Grandasse : Ah oui c'est vrai que j'ai oublié cette fonctionnalité ! 😃

Parce que ce n'est pas celle qui justifie selon moi le recours à un tel service tiers. Pour moi sa grosse (et unique) potentielle valeur ajoutée, c'est sa base dynamique de mots de passe compromis. Je pense que c'est là-dessus qu'il devrait se concentrer.

Parce que vérifier qu'un mot de passe répond à des critères concernant les caractères utilisés, ça ne justifie pas un appel à une api tierce...

[Edit] Mais en fait, à la relecture de son post, je ne suis même pas sûr qu'il propose vraiment une analyse de la composition du mot de passe ! Ce n'est donc pas nécessairement un oubli de ma part, en fait...

Contribution le : 29/08/2017 23:27
_________________
Signaler

Arsenick
 0  #16
J'aime glander ici
Inscrit: 13/12/2006 00:12
Post(s): 6493
Karma: 1039
Citation :

@Grandasse a écrit:
@-Flo- le truc c'est qu'un des principe du site, c'est d'analyser le mot de passe pour regarder s'il est robuste 😕


Ouais a un détail : il suffit de sniffer son site et crée une DB des mots de passe tester sur le site et du coup aggrandir ton dico. Il te reste "juste" a choper les logins et le dico fera le reste.

En sécurité informatique, on est jamais assez parano 😃

Contribution le : 30/08/2017 11:33
Signaler

-Flo-
 0  #17
Je poste trop
Inscrit: 08/01/2005 13:41
Post(s): 15190
Karma: 12562
@Arsenick : D'où l'intérêt de passer un hash du mot de passe dans le call, plutôt que le mot de passe lui-même. C'est effectivement le gros point faible de sa proposition pour le moment.

Contribution le : 30/08/2017 11:45
_________________
Signaler

CrazyCow
 2  #18
Je poste trop
Inscrit: 29/07/2008 00:26
Post(s): 18991
Karma: 29871
Entièrement d'accord avec les interventions de @-Flo-

Je pense que beaucoup n'ont pas compris le concept. On parle ici de choix de mot de passe à l'inscription sur un site. Pas d'authentification.

Il y a une plus-value sur le fait qu'un mot de passe, aussi complexe soit-il, s'il a été diffusé sur Internet et est présent dans un dictionnaire utilisé par un hackeur, celui-ci sera découvert en l'espace de quelques secondes ou minutes tout au plus.

Pour moi, la logique devrait être :

Site client            Secure Password
Hash(MDP)  <= HTTPS => Requête base si le hash est présent

Si oui, mot de passe interdit. Si non, OK.


A aucun moment le mot de passe ne quitte le site client. Ça résout globalement, il me semble, le problème de confiance accordé à Secure Password (il ne pourra pas loguer dans ce cas-là les mots de passe testés).

Le tarif est très raisonnable si l'on se place du point de vue d'un gros site Internet (200 000 nouveaux utilisateurs/mois).

Contribution le : 30/08/2017 11:59
_________________
🏆🏆 K TROPHY
À un moment donné, il faut lâcher prise. Claude François
Signaler

Arsenick
 0  #19
J'aime glander ici
Inscrit: 13/12/2006 00:12
Post(s): 6493
Karma: 1039
Citation :

@noxyra a écrit:
En quoi il consiste ? Tout simplement à protéger les utilisateurs de votre site internet en les empêchant d'utiliser des mots de passe courants ou déjà piratés et disponibles en clair sur internet.


Le fait de pouvoir sniffer le site rend de facto ce but caduque puisque le mot de passe tester sera dispo dans un dico.
C'est comme de mettre une porte blindée à un bunker et de laissé une clé sous le tapis de l'entrée...

Citation :

@CrazyCow a écrit:
Le tarif est très raisonnable si l'on se place du point de vue d'un gros site Internet (200 000 nouveaux utilisateurs/mois).


Toujours plus cher qu'un programme gratuit 😉

Contribution le : 30/08/2017 15:50
Signaler

CrazyCow
 1  #20
Je poste trop
Inscrit: 29/07/2008 00:26
Post(s): 18991
Karma: 29871
Citation :

@Arsenick a écrit:

Le fait de pouvoir sniffer le site rend de facto ce but caduque puisque le mot de passe tester sera dispo dans un dico.
C'est comme de mettre une porte blindée à un bunker et de laissé une clé sous le tapis de l'entrée...


Sniffer quel site ? Celui du client ou de Secure Password ?


Citation :

@Arsenick a écrit:

Toujours plus cher qu'un programme gratuit ;)


Je ne connais pas d'API de ce type qui soient gratuites. Si tu penses à KeePass, je pense que tu n'as pas compris que ce service s'adresse principalement aux concepteurs de sites Internet pour améliorer leur formulaire d'inscription 🙂

Contribution le : 30/08/2017 16:47
_________________
🏆🏆 K TROPHY
À un moment donné, il faut lâcher prise. Claude François
Signaler


 Haut   Précédent   Suivant
(1) 2 »






Si vous êtes l'auteur d'un élément de ce site, vous pouvez si vous le souhaitez, le modifier ou le supprimer
Merci de me contacter par mail. Déclaré à la CNIL N°1031721.