MountyHall - La Terre des Trõlls

	Ze Figurines
MountyHall

Référencé sur

Nous sommes le 19° jour de la Limace du 24° cycle après Ragnarok

Bienvenue Invité

Tous les Forums

Des Questions ?

Modérateurs de ce forum : Aghabeu, Dabihul, Grankausto, Loinvu, Madère, Mamoune, Modérateur 6, Modérateur1, Modérateur2, Modérateur3, Modérateur4, Modérateur5, Mr x, Rouletabille, Schtroumpf, TilK, VYS, Xaruth

Avant de poster, merci de vérifier que la réponse à votre question ne se trouve

ni dans les Règles,
ni dans l'Etat du Projet.

N'hésitez pas également à utiliser le moteur de recherche du forum qui vous permettra de trouver si la question a déjà été abordée.

Les joueurs de MountyHall ont regroupé des montagnes d'informations sur le jeu dans l'encyclopédie MountyPedia. Il serait bon de la consulter avant de poser une question dans ce forum.

Annonce MH et mot de passe

#. Message de Alteutaþ le 30-08-2010 à 16:48	53869 - ( )
Pays: France Inscrit le : 22-04-2003 Messages: 219 (Golem Costaud)	Citer

Pour des raisons de prudence, si vous utiliser le mot de passe de votre troll ailleurs (comme mot de passe de messagerie par exemple) nous vous recommandons de le changer partout.

Cette phrase me fait un peu peur...
Ca veut dire que notre mot de passe est enregistré en clair dans la base de données MH ?
Il me semblait que le b.a.-ba de l'identification, c'était de n'enregistrer que le MD5 d'un mot de passe dans la base de données, et à l'authentification, vérifier que le MD5 de ce qui est saisi correspond à ce qui est dans la base.

Est ce qu'un admin peut m'éclairer ?

#. Message de dajames le 30-08-2010 à 17:15	108914 - Kilikil (Kastar 16)
Pays: France (75 - Paris) Inscrit le : 30-03-2003 Messages: 692 (Shaï Epileptique)	Citer

le cryptage peut être réversible (c'est pas le cas du md5)

un cryptage réversible est fiable... par contre si le pirate a des acces admin et qu'il a pu trouver la clé ...

Pour info le MD5 a été craké il y a quelques mois... (donc en gros maintenant il est réversible sans connaitre la clé !)

#. Message de Alteutaþ le 30-08-2010 à 17:19	53869 - ( )
Pays: France Inscrit le : 22-04-2003 Messages: 219 (Golem Costaud)	Citer

Quote: Posté par dajames @ 30-08-2010 à 17:15
le cryptage peut être réversible
Le MD5 n'est pas réversible. Il est juste trouvable par force brute. Bon courage pour trouver un mot de passe de 16 caractères / chiffres à partir de son MD5 !

(si je me trompe, je veux bien que tu me donnes des explications sur comment obtenir le reverse d'un MD5)

[EDIT]
Ton message a changé, donc ma réponse doit changer aussi...

Peux-tu me donner plus d'infos sur le "crack" de MD5 qui ne passe pas par la force brute ?
[/EDIT]

#. Message de Raistlin le 30-08-2010 à 17:30 [Appelez-moi Google] [Ami de MountyHall]	112873 - And You Will Know My Name Is The Trõll (Kastar 56) - StriKe TeAm [Damnés] -
Pays: France (35 - Ille-et-Vilaine) Inscrit le : 17-04-2005 Messages: 26938 (Demi-Dieu)	Citer

http://md5crack.com/

j'ai fait quelques tests, ça marche pas mal

[Edit]ah non, celui la fait ca au dico j'ai l'impression[/edit]

cela dit je crois que le craquage du MD5 n'était pas un moyen de le décrypter, mais un moyen d'envoyer un fichier bidon ayant la même signature MD5 qu'un vrai fichier

donc normalement, si ma mémoire est bonne, les pass cryptés sont décryptable que par les 3 méthodes habituelles (bruteforce, dictionnaire, rainbow tables)

#. Message de Alteutaþ le 30-08-2010 à 17:34	53869 - ( )
Pays: France Inscrit le : 22-04-2003 Messages: 219 (Golem Costaud)	Citer

Ce site fait de la force brute et du dico et enregistre tous les résultats dans une base de données.
Ce n'est pas ce que j'appelle du vrai "réversible".

Je viens d'essayer avec les 10 premiers MD5 qui sont dans ma base de données, et il n'en a trouvé qu'un seul (le mot de passe étant un mot "courant" de 6 lettres).

#. Message de Alteutaþ le 30-08-2010 à 17:35	53869 - ( )
Pays: France Inscrit le : 22-04-2003 Messages: 219 (Golem Costaud)	Citer

Ma question, c'était si les mots de passe son en clair dans la base MH ?

#. Message de Marmotte le 30-08-2010 à 17:48	109220 - Kakapô (Durakuir 32) - Les Dûràphrïrs -
Pays: France Inscrit le : 12-08-2008 Messages: 442 (Golem Costaud)	Citer

Les mots de passe des trolls sont en clair dans la DB MH.

Pour le MD5, la faiblesse qui a été découverte, c'est qu'il est "très facile" (faut savoir comment faire quand même ^^) de créer des collisions, c'est à dire de trouver un "mot" dont le hash MD5 est le même que le MD5 qu'on veut "cracker". Du coup, pas besoin d'avoir le mot de passe réel, on peut se créer un substitut à la place.
(Une recherche de "md5 collision" donne plein de résultats sur Google)

#. Message de Raistlin le 30-08-2010 à 17:50 [Appelez-moi Google] [Ami de MountyHall]	112873 - And You Will Know My Name Is The Trõll (Kastar 56) - StriKe TeAm [Damnés] -
Pays: France (35 - Ille-et-Vilaine) Inscrit le : 17-04-2005 Messages: 26938 (Demi-Dieu)	Citer

Posté par VYS @ 21-02-2008 à 14:18

Non, les mots de passe des joueurs ne sont pas cryptés en DB.

VYS - DungeonMaster

source

#. Message de Grimmm le 30-08-2010 à 17:53	98112 - Grimmm (Kastar 52) - Inglorious Trolls -
Pays: France Inscrit le : 25-05-2009 Messages: 1799 (Trõll de Compèt')	Citer

Oui ils sont en clair dans la base.
Tout du moins, un membre de l'équipe peut te le donner en clair.

Des tas de sites internet très dynamiques conservent de telles données en clair. Ebay par exemple conservait il n'y a pas si longtemps les informations bancaires (numéro de CB etc.) en clair dans sa base. Tout simplement parce que ce sont des données utilisables en l'état. Les crypter ne fait que ralentir (un peu) une attaque puisque qui dit cryptage dit clé de cryptage. Il suffit donc aux pirates de trouver la clé.

La sécurité de données ne repose pas forcément sur leur cryptage mais aussi sur leur accèssibilité. Dans le cas présent, quelqu'un a eu accès à des données confidentielles en usurpant l'identité d'un Admin. C'est là le problème.

#. Message de Alteutaþ le 30-08-2010 à 18:06	53869 - ( )
Pays: France Inscrit le : 22-04-2003 Messages: 219 (Golem Costaud)	Citer

Tout simplement parce que ce sont des données utilisables en l'état.

A part pour la fonction "envoyer mon mot de passe par email", je ne vois pas en quoi le mot de passe est "utilisable en l'état"...

Les crypter ne fait que ralentir (un peu) une attaque puisque qui dit cryptage dit clé de cryptage. Il suffit donc aux pirates de trouver la clé.

Exemple simple : j'ai 2 utilisateurs. L'un a décidé de mettre un mot de passe à la con sur MH ("troll") et a un autre mot de passe pour son adresse email.
L'autre a un super mot de passe qui tue ("Wxç8fl@sqdf") qu'il utilise sur MH, mais aussi sur sa boite mail (oui, c'est chiant de se souvenir de plusieurs mots de passe compliqués).

Dans le cas où seul les MD5 de ces mots de passe sont enregistré en base, quelqu'un qui réussit a pénétrer dans le système mettra 1 seconde à trouver le mot de passe "toto" et quelques mois / années à trouver "Wxç8fl@sqdf". Il y a donc des chances qu'il laisse tomber et ce concentrer sur les mots de passe plus "simples".
Résultat, les seules personnes qui sont pénalisées sont les personnes qui ont un mot de passe simple qui est le même sur MH et sur leur boite mail.

Dans le cas où le mot de passe est enregistré directement dans la base, le quelqu'un qui pénètre dans la base fait tout de suite la différence entre un mot de passe "à la con" et un mot de passe qui a de la gueule. Il testera donc forcement en priorité les combinaisons d'adresse mail / mot de passe de ceux qui ont un mot de passe compliqué, car il y a plus de chances que ce soit la bonne combinaison.
Résultat, les personnes pénalisées sont les personnes qui utilisent un mot de passe complexe, qui est le même sur MH et sur leur boite mail.

Au final, des 2 utilisateurs, c'est celui qui a un mot de passe à la con qui a le moins à s'en faire...

Dans le principe, ça me gène.

(dans la pratique, mon mot de passe est différent, donc je ne suis pas impacté)

#. Message de bopy le 30-08-2010 à 18:14	5070 - Bopy (Skrim 60) - Schtroumpfs Verts -
Pays: France Inscrit le : 16-10-2003 Messages: 111 (Golem Costaud)	Citer

Pour ma part j'ai une autre question ... c'est de savoir si on peut changer l'adresse mail associée a son troll ? non parce que bon depuis mon inscription j'ai un peu changer d'adresse mail plusieurs fois et du coup je ne sais absolument pas sur quelle boite mail je suis censé recevoir mon mail.. et il est même fortement probable que cette adresse mail n'existe plus :s

BoP le troll pas prévoyant

#. Message de Grimmm le 30-08-2010 à 18:24	98112 - Grimmm (Kastar 52) - Inglorious Trolls -
Pays: France Inscrit le : 25-05-2009 Messages: 1799 (Trõll de Compèt')	Citer

En même temps, un site ne peut pas être responsable du mauvais choix de ses utilisateurs lors de la création de leur mot de passe.

Un site n'est pas non plus obligé de crypter ses données.

A part pour la fonction "envoyer mon mot de passe par email", je ne vois pas en quoi le mot de passe est "utilisable en l'état"...

Moi non plus ^^ Mais ya sûrement une bonne raison, autre que celle-ci

============================================

Quote: Posté par bopy @ 30-08-2010 à 18:14
Pour ma part j'ai une autre question ... c'est de savoir si on peut changer l'adresse mail associée a son troll ? non parce que bon depuis mon inscription j'ai un peu changer d'adresse mail plusieurs fois et du coup je ne sais absolument pas sur quelle boite mail je suis censé recevoir mon mail.. et il est même fortement probable que cette adresse mail n'existe plus :s

BoP le troll pas prévoyant

Tu ne peux la changer qu'en te connectant à ton Troll. Là ça crée un paradoxe puisque tu auras besoin de ta boite mail pour obtenir ce MdP...

Si vous êtes nombreux dans ton cas (c'est fort possible) l'équipe va pêter un cable quand vous allez tous les contacter pour savoir quelle adresse mail est liée à votre troll.

- Soit ils s'appuieront sur cette règle pour vous dire "Tant pis pour vous" :

Il est indispensable que le joueur dispose d'une adresse Email qui lui est propre et auquel il accède régulièrement, ce moyen pouvant être utilisé par les gestionnaires du jeu pour le contacter.
La non validité ou l'indisponibilité répétée de l'adresse de référence d'un Trõll peut provoquer sa désactivation.

- Soit ils perdront du temps à vous donner / changer l'adresse en question

Une solution pourrait-être de ne pas changer les mots de passe mais de forcer leur modification lors de la première connexion.
Si un joueur n'y parvient pas et qu'il s'avère que son compte a été piraté (très peu probable), il avertira l'équipe.
Un mois après, lorsque la quasi-totalité des joueurs actifs auront modifié leur MdP, la Team pourrait alors reset les MdP des joueurs qui ne se sont pas connecté depuis un mois.

#. Message de Valfëan le 31-08-2010 à 17:46	54669 - Valfëan (Tomawak 60) - le réveil du Dragon -
Pays: France Inscrit le : 10-03-2005 Messages: 4771 (Djinn Tonique)	Citer

Moi j'ai une petite question.

Actuellement, mon mdp MH est utilisé que pour MH.

Mais avant, j'utilisai le même mdp que celui de ma messagerie. (J'ai gardé le même pour la messagerie, mais changé celui de MH il y a quelques mois).

Il est conseillé de changer ses mdp s'ils sont identique, mais là, est-ce nécessaire ?
Apparemment, l'infiltration dure depuis quelques temps...

Une idée précise en semaines ou en mois ?

#. Message de Fayth le 31-08-2010 à 17:54 [Ami des Monstres]	77063 - Fayth (Kastar 60) - VENGEANCE pour CHULZI !!! -
Pays: Autre Inscrit le : 05-01-2005 Messages: 6258 (Hydre Fumante)	Citer

Je ne sais pas combien de temps les mdp sont stocké, je pense que ce n'est pas un soucis, mais si tu doutes, change.

Si vous etes en manque d'inspiration pour vos mots de passe, lisez ceci.

Moi par exemple, je me fait une petite phrase facile a retenir que j'apprend par coeur, puis j'en fait un mot de passe en utilisant les premieres lettres de chaque mot.

Exemple a deux GG : Soit la phrase : "Fayth armée de ses deux lames d'obsidienne va tous vous butter, trolls de Mountyhall."

plop, mdp associé : Fads2ld'ovtvbtdMH.

Et voila ! Majuscules, minuscules, chiffres et caracteres speciaux peuvent ainsi etre incorporés. Et c'est facile a retenir.

Fayth.

#. Message de Raistlin le 31-08-2010 à 17:58 [Appelez-moi Google] [Ami de MountyHall]	112873 - And You Will Know My Name Is The Trõll (Kastar 56) - StriKe TeAm [Damnés] -
Pays: France (35 - Ille-et-Vilaine) Inscrit le : 17-04-2005 Messages: 26938 (Demi-Dieu)	Citer

A part pour la fonction "envoyer mon mot de passe par email", je ne vois pas en quoi le mot de passe est "utilisable en l'état"...

j'ai posé la question sur la taverne quand DM est passé, il a dit "c'est utile pour autre chose"

Val, à ta place, dans le doute, je changerais

Raistlin

#. Message de Enquêteur 7 le 31-08-2010 à 18:05 [MH Team]
Pays: Non Précisé Inscrit le : 29-03-2010 Messages: 247 (Golem Costaud)	Citer

Les mots de passe sont stockés en clair et ça a son utilité, ceci n'a jamais été caché.

Tous les mots de passe seront changés lors de la reprise.

#. Message de Nerach le 31-08-2010 à 19:34 [Ami de MountyHall]	82824 - Nerach (Skrim 43) - Les Alcaloïdes Rampantes -
Pays: France (84 - Vaucluse) Inscrit le : 25-10-2006 Messages: 1433 (Trõll de Compèt')	Citer

@Alteutaþ : C'est pas comme s'il n'y avait aucune solution pour ranger proprement ses mots de passe.

un parmi t'en d'autre...
http://www.keepassx.org/

#. Message de Kassbinette le 01-09-2010 à 17:35	95429 - Kassbinette (Skrim 53) - BierépunK -
Pays: Belgium Inscrit le : 13-02-2009 Messages: 757 (Shaï Epileptique)	Citer

Quote: Posté par Raistlin @ 31-08-2010 à 17:58
A part pour la fonction "envoyer mon mot de passe par email", je ne vois pas en quoi le mot de passe est "utilisable en l'état"...
j'ai posé la question sur la taverne quand DM est passé, il a dit "c'est utile pour autre chose"

Val, à ta place, dans le doute, je changerais

Raistlin
Peut être pour checker visuellement si les mdp de deux trolls soupçonnés de multi sont identiques ?

Sinon je ne vois pas de raison de faire de mystère autour de cela

Kassbi'

#. Message de Kha.Cendre le 02-09-2010 à 00:41	78595 - ( )
Pays: France Inscrit le : 23-10-2006 Messages: 1146 (Trõll de Compèt')	Citer

Posté par Kassbinette @ 01-09-2010 à 17:35
Quote: Posté par Raistlin @ 31-08-2010 à 17:58
A part pour la fonction "envoyer mon mot de passe par email", je ne vois pas en quoi le mot de passe est "utilisable en l'état"...
j'ai posé la question sur la taverne quand DM est passé, il a dit "c'est utile pour autre chose"

Val, à ta place, dans le doute, je changerais

Raistlin
Peut être pour checker visuellement si les mdp de deux trolls soupçonnés de multi sont identiques ?

Sinon je ne vois pas de raison de faire de mystère autour de cela

Kassbi'

Pour que les enquêteurs puissent se rendre sur les compte des trolls désactivés, au lieu de créer des super-comptes qui seraient bien plus dangereux. Une manière de procéder qui permet de loger les demandes de mdp, et donc l'activité des enquêteurs elle-même. J'imagine.

Pages : [1]

Pour poster une réponse sur ce Forum, vous devez d'abord vous connecter

Si vous n'êtes pas encore enregistré, vous devez d'abord vous inscrire.

[ Contact : ] - [ Heure Serveur : 04:42:52 le 01/01/2026 ] - [ Page générée en 0.016 sec. ]