Passygo

Bonjour à tous(tes),

Je me présente, mon pseudo est softwarezatorien13, j'ai 18 ans et je fais une 2 ème année de terminale s (pas eu le bac…). J'aime le piano (en écouter et en jouer), le vélo, l'infographie 3D et surtout la programmation. Je programme depuis l'âge de 12 ans, j'ai commencé par des environnements de RAD graphiques puis j'ai fait du HTML/CSS/Javascript coté client, au milieu du collège je me suis lancé dans le C, le C++ et le VB.NET et c'est avec ce dernier que j'ai développé ce projet .

Je vous présente donc aujourd'hui Passygo, un logiciel pour générer et gérer vos mots de passes (créé tout seul pour ceux qui voudraient savoir)

En savoir plus sur le projet

Genèse

La création de ce projet vient du fait que j'aime bien créer des utilitaires (voir ReplaceTextZator sur ce forum). Du coup j'ai souhaité faire un logiciel qui ferait à la fois générateur et gestionnaire de mots de passes et qui soit intuitif pour tous. Je réalise ce projet plus par plaisir que par nécessité (il existe déjà ce type d'utilitaire en téléchargement).

Généralités et avancement

Passygo est programmé en VB.NET (Winforms). Il peut générer des mots de passe de 100 caractères (théoriquement beaucoup plus, mais pour une question de fiabilité, je limite la longueur à 100) comportant des lettres/chiffres/caractères spéciaux/caractères personnalisés de façon tout à fait aléatoire (l'algorithme choisit une catégorie au hasard sans ce soucier des nombres de caractères qu'elle contient). La partie gestionnaire permet d'enregistrer tout vos mot de passes avec le nom du logiciel/site et avec le pseudo/identifiant qui correspond. La sauvegarde des mots de passes est cryptée et n'est décryptage que par une clés qui est donnée lors de l'ajout du tout premier mot de passe.

Objectifs

Avec ce projet, je vise l'autonomie et l'apprentissage de nouvelles connaissances. C'est un projet sans prétentions particulières qui, lorsqu'il ne sera plus mis à jours, sera mit en opensource. Je ne prévoie pas d'avancées énormes pour les prochaines version étant donné que, je pense que le projet est déjà plutôt bien avancé.

Le projet et son originalité

Le projet vise toutes les personnes qui souhaite pouvoir générer et stocker des mots de passes de façon simple et intuitive sans avoir besoins de payer une solution ou utiliser une solution trop complexe. Le projet en lui même n'est pas très original sur le concept néanmoins je pense qu'il a ça place puisqu'il est intuitif tout en proposant des fonctions simples mais néanmoins complètes (pour la plupart)

Lien de téléchargement: lien

Merci pour vos avis !

(la mise en forme est comme sur openclassroom car ayant d'abord mis le projet sur openclassroom, j'ai copié la mise en forme )

Bonjour,

Etant donné que je n'ai plus de temps pour continuer le projet, je le met en Opensource : LIEN BitBucket

100 caractères c'est gigantesque pour un mot de passe. Personne ne va en retenir autant et surtout,au delà de 8 caractères alphanumériques le nombre de possibilités est déjà titanesque (tu devrais faire les calculs pour t'en rendre compte, on n'a souvent pas conscience de ce que ça reprédente donc calcul le temps qu'il faudrait à un processeur cadencé à 1GHz passer les possibilités en revue) donc unutile d'en proposer beaucoup plus

Détrompe toi C'est surtout la longueur d'un mot de passe qui compte. Et quand tu veux casser un mot de passe simplement en brut force, tu utilise pas un proco à 1GHz (ou pas tout seul) On arrive bien aujourd'hui à casser les clés SSL de 2048 bit (256 caractères)… Alors un pauvre mot de passe de 8 caractères…

J'ai bien peur que comparer le bruteforcage d'un mot de passe et le cassage d'une cle SSL, c'est comme comparer des choux et des carottes… Cela n'a rien à voir.

et oui un mot de passe de 100 caracteres, ca n'a juste pas trop d'interet, déjà au delà de 20 caractères… C'est pas tant le nombre de caractères que le nombre de caractères dans le jeux utilisé qui compte. Donc utiliser des chiffres, des lettres, des caractères spéciaux… est bien plus important que de rajouter un caractère à un mot de passe

Excusez-moi, mais je sais bien de quoi je parle et une clé SSL n'est pas grand chose de plus qu'un grand mot de passe Le protocole SSL, lui est quelque chose de différent (et les choux et les carottes ont un point en commun, ce sont tout deux des légumes, et les mots de passe, n'est rien qu'une grande famille, comme les légumes ;))

Et le calcul est simple, même si ça plus grand chose à voire avec la conversation, avec 8 caractères, avec 26 lettres, 10 chiffres, et disons 15 possibilités de caractères spéciaux, ça fait un total de 51 caractères, soit 51⁸=4,5E13 contre un mot de passe de 100 caractères en ne prenant que les lettres (donc moins bien selon ta théorie) : 26¹⁰⁰=3,1E141…

Les chiffres parlent d'eux même… Avec 26 lettres sur un mot de passe de 100 caractères, tu as énormément plus de possibilités…

Bon, tu va me dire, ouais, mais 100 caractères ! Impossible à retenir ! OK

Prenons un mot de passe de 15 lettres 26¹⁵=1,6E21 Je suis toujours mieux que le mot de passe à 8 caractère mais 51 possibilités… Fais le calcul, même avec 10 lettres dans mon mot de passe je suis un peu mieux…

Tout ça pour dire, ce qui compte dans un mot de passe, c'est la longueur, pas la complexité. Demande à des pros autour de toi si t'en as, s'ils connaissent bien ce qu'ils disent, ils confirmeront. Pour un bon vrai mot de passe, le bon truc, c'est d'apprendre une phrase par coeur, par exemple Tu peux très rapidement taper dans les 20-30 caractères, sans difficulté.

Alors OUI, si tu combine un long mot de passe et des caractères chelou, tu aura un mot de passe encore mieux. Tu peux par exemple remplacer des mots par des lettres dans ta phrase.

Pas bien compliqué cette phrase, tout le monde la connait. 66 caractères ! Whouah !

Bon, c'est un peu long… On peut prendre juste la moitié, faut trouver un juste milieu ça se retient facilement, et y'a rien de mieux comme mot de passe sincèrement ! (Et les carottes, c'est meilleur que les choux De même que les clés SSL sont meilleures que les mots de passe Et tu apprendra peut-être un jour que dans certains cas on remplace les mots de passe par ces clés, mais je ne vais pas m'étendre sur le sujet :D)

Quand je dis 1GHz c'est pour faire un calcul en ordre de grandeur. Dans la pratique c'est quand même l'ordre de grandeur des processeurs qu'on utilise. Ça permet de faire les calculs de têtes. L'intérêt d'utiliser des caractères spéciaux c'est justement que le pirate potentiel ne sait pas ce qu'on entend par "caractères spéciaux" donc ca fait grimper en flèches le nombre de possibilités (sur 2 octets pour l'utf-8 ça fait 2^16 c'est énorme) D'ailleurs E13 c'est déjà pas mal. Pour 1GHz il faut déjà E4 secondes donc 3 heures. E100 c'est énorme et surtout inutile ! E16 combinaisons ça suffit je pense. En tout cas, la technique de la phrase c'est pas mal, c'est pratique mais ça sert à rien de faire un "débat" sur des maths : augmenter le nombre de caractères comme le nombre de possibilités par caractères ça renforce le mot de passe, c'est sûr PS : il me semble que l'algorithme utilisé par le chiffrement SSL repose sur la décomposition de grands nombres en facteurs premiers donc on est dans les carottes et pas les choux… PPS : ou alors c'est le RSA

Désolé mais nan tu n'as pas trop l'air de savoir de quoi tu parles… ta clé SSL 2048bits qui s'est faite casser elle ne l'a pas été par bruteforcing… Ca n'as donc rien à voir !

Tu peux faire toutes tes calculs mais deja t'as oublié les majuscules… Et ensuite, le but c'est pas d'avoir le plus grand chiffre après le e hein… Si je te prends ton super mot de passe de 8 caracteres, en faisant les bon calculs, c'est à dire plutot 77⁸ = 1.2357363e+15 Maintenant il te faut 1ms pour tester un mot de passe, et là je suis très gentil… donc 1.2357363e+12 secondes. il te faut dans les 411912 vies humaines pour faire toutes les combinaisons (3 milliards de secondes, ca fait environ 95 ans).

Et en esperant tester un mot de passe par ms… Je te laisse rajouter la taille de datacenter que tu veux, tu n'arriveras pas a un temps raisonnable meme avec un datacenter d'ovh dédié… Alors ton super 10¹⁴¹, on en a rien à faire à ce moment-là…

Je crois que si y a un pros à qui je demanderais c'est bien toi ici… Tous ce que tu dis semble tout droit sorti de cas théorique idéal qui ne sont jamais appliqué en milieu pro…

Du calme du calme :-). On va pas s'énerver pour savoir qui a raison. Ce sont des calculs donc chacun peut de convaincre par lui même ! Je ne vois pas pourquoi les clefs SSL seraient meilleures que les mots de passe, on ne s'en sert pas pour la même chose il me semble. HTTPS sert justement entre autre à empêcher le mot de passe de circuler en clair sur le réseau. Mais lorsqu'on prend l'exemple d'un mot de passe pour un utilisateur UNIX, un bon mot de passe c'est inviolable ! E16 c'est suffisant mais on peut faire toujours plus. Il ne faudrait pas perdre de vue non plus que les pirates ne connaissent ni les caractères utilisés ni la longueur du mot de passe donc faire du brute forcing aujourd'hui c'est du délire ou il faut avoir une cible vraiment naïve !

Oui, bon, je me comprends avec mes clés SSL (même si effectivement RSA serait plus approprié ;))

ta clé SSL 2048bits qui s'est faite casser elle ne l'a pas été par bruteforcing

Jamais dis le contraire

Et en esperant tester un mot de passe par ms

Largement possible, avec mon pauvre PC portable, pour du crackage WPA2 en bruteforce pour passer la clé crypté à travers un dictionnaire (pour des tests d'aircrack-ng sous kali en toute légalité sur mon propre réseau), je teste 28 000 tests par secondes soit 0.04ms par mot…

Je n'ai jamais dit que c'était necessaire de prendre des mots de passe pour atteindre du 10¹⁴¹ Je tenais simplement à montrer que la longueur d'un mot de passe était plus essentielle à celle de rajouter des caractères chelous. Alors oui, de toute façon tout est encodé en utf-8 comme tu le précise bien, donc de toute façon le nombre de caractère possible est le même pour tout le monde, et ce débat n'a ni queue ni tête J'en ai probablement fait un peu trop, mais je maintiens que c'est la longueur d'un mot de passe qui le rend robuste.

Il ne faudrait pas perdre de vue non plus que les pirates ne connaissent ni les caractères utilisés ni la longueur du mot de passe

Oui effectivement, mais n'oublions pas le départ du débat qui était sur la possibilité de mettre des mots de passe de 100 caractères. Tout ce bruit simplement pour dire que bien au contraire, si la case est suffisamment grande pour mettre un mot de passe de 100 caractères, là, le hacker va écrire son testament pour dire à son petit fils à quoi sert le pc qui tourne dans le garage depuis une éternité… Alors que s'il sait que de toute façon le mot de passe ne fait pas plus de 20 caractères… Bon ben il va prendre son mal en patience et revenir 1 voir 2 jours plus tard

si la case est suffisamment grande pour mettre un mot de passe de 100 caractères, là, le hacker va écrire son testament pour dire à son petit fils à quoi sert le pc qui tourne dans le garage depuis une éternité…

J'ai beaucoup ri !

Oui, bon, je me comprends avec mes clés SSL (même si effectivement RSA serait plus approprié ;))

ta clé SSL 2048bits qui s'est faite casser elle ne l'a pas été par bruteforcing

Jamais dis le contraire

T'as comparer le bruteforcing de mot de passe avec le cassage d'une clé SSL, donc si tu reconnais que la clé n'a pas été cassée par bruteforcing, on est daccord pour dire que ta comparaison ne vaut rien…

Largement possible, avec mon pauvre PC portable, pour du crackage WPA2 en bruteforce pour passer la clé crypté à travers un dictionnaire (pour des tests d'aircrack-ng sous kali en toute légalité sur mon propre réseau), je teste 28 000 tests par secondes soit 0.04ms par mot…

En fait les expressions complexité et ordre de grandeur, ca te parle pas vraiment ?

D'ailleurs je viens de visiter ton site… Demande à des pros autour de toi si t'en as, y a du travail en matière de sécurité…

D'ailleurs je viens de visiter ton site… Demande à des pros autour de toi si t'en as, y a du travail en matière de sécurité…

Je sais… J'utilise drupal (oui, ya mieux, mais je n'étais pas seul pour le choix), et il n'est pas à jour car je bosse sur une nouvelle version faite avec mon propre "framework" inspiré de cakePHP…

Les longs mots de passe ne sont pas un problème avec des applications de type Keepass. D’ailleurs, quel est la plus valus de Passygo avec ce genre d’applications (à par s’entrainer à coder ?).