Blog - Cryptocat, ou le piège du client magique

#14993

Une petite analyse un peu plus poussée que le simple test de l’application, plutôt critique.

« Cryptocat n'est donc pas qu'une application de chat offerte par Nadim Kobeissi, mais aussi un service centralisé auquel les utilisateurs sont contraints de se connecter (sauf s'ils changent le code source du client, ce qui est possible, mais combien le feront ?).
[…]
Le chiffrement de bout en bout est une très grande avancée dans l'anonymisation des données échangées. Néanmoins il ne permet pas tout. Sur XMPP par exemple il faut savoir que OTR et OMEMO ne chiffrent que le contenu des messages et pas la signalisation qui les accompagne (certains diront les métadonnées).
 »

En gros, toutes les métadonnées des communications transitent en clair et vers un serveur unique.

https://nl.movim.eu/?blog/edhelas@movim.eu/ebc3a98e-3a37-440f-8cb4-8de1fa7eed3b

3 Wrong Ways to Store a Password - Adam Bard and his magical blog

#11488

Interessant…

Mais la 3e solution j’ai un peu de mal à voir la faille : « Hash(password + salt) ».
Si le salt fait 10 caractères et le mdp en fait 10, ça fait une longueur totale de 20. On est quand même loin de son exemple de 6 caractères qu’il est possible de retrouver avec les rainbow-tables en quelques secondes…
S’il arrivera forcément un moment dans le futur, où trouver un mot de passe de 1000 caractères prendra moins d’une minute, on n’en est pas encore là.

À mon avis (mais je suis pas un expert en crypto, bien loin), on en vient toujours au même problème : les mots de passes sont trop courts, trop simples et trop souvent identiques partout.

Sinon, l’article m’apprend que les langages de prog intègrent un algo de stockage des mots de passe, y compris PHP, depuis 5.5. Faudra que je regarde ça.

http://php.net/manual/fr/function.password-verify.php
http://php.net/manual/fr/function.password-hash.php


Actuellement, Blogotext utilise Sha512 + salt.

(via)