par
naholyr » 21 févr. 2006, 11:20
D'accord, sauf sur les pass en clair: un pass codé/hashé/crypté, s'il est le même au départ sera le même à l'arrivée. et on ne conserve jamais les pass en clair!
C'est ce que je pensais mais Merrick le webmaster de jdr-delain.net m'a clairement fait changer d'avis.
Il administre un jpc et le problème de double-comptes est épineux. La plupart du temps les utilisateurs de double-compte utilisent le même mot de passe, mais également souvent des mots de passe très proches ("monmdp1", "monmdp2"), le hash dans ce cas là nous fait perdre complètement cette possibilité de détection.
Comme l'art de détecter les double-comptes est déjà éminemment délicat, il s'agit de disposer du maximum d'informations disponibles, mais il y a des solutions (parfois un peu tordues) pour avoir les infos hashées sur le serveur, et garder une copie "en clair" sur une base non publiée. J'avais fait ça il y a quelques années : sur la base les mots de passe étaient hashés, et sur un fichier du serveur j'ajoutais à la ligne des requêtes "REPLACE INTO ..." à chaque création/modification de mot de passe. Régulièrement je me connectais pour récupérer ce fichier et exécuter les requêtes sur ma base locale ( il aurait été possible de faire un robot mais j'avais la flemme, d'autant que cette solution n'a pas duré longtemps, je l'avais mise en place pour le rappel de mdp, j'ai vite réalisé qu'on pouvait se contenter d'en générer un nouveau aléatoire
)
Quoiqu'il en soit, imagine que j'ai un triple-compte chez toi :
- le soir je me connecte à la maison, avec un login et un mot de passe (dont je n'ai pas besoin de me souvenir, mon navigateur le fera très bien pour moi)
- le matin ou l'après-midi quand j'ai le temps, au boulot je me connecte, avec autre un login et un mot de passe (dont je n'ai toujours pas besoin de me souvenir, mon navigateur le fera très bien pour moi)
- entre midi et deux je me connecte avec la connexion wi-fi du mac-do, ou je fais un tour au cyber-café et là j'utilise un 3e compte (le seul dont j'ai besoin de me souvenir pour le coup).
Comment vas-tu détecter ça ? Le seul moyen sera l'analyse des transactions entre les différents comptes, et pour ça l'algorithme de pré-détection dépendra complètement de ton site, et l'intervention humaine sera absolument indispensable.
Et dis-toi bien que les fanas des double-compte (en particulier si possibilité de récompense il y a) sont largement capables de suivre le scénario que je t'ai indiqué ^^
[quote="pascaltje"]D'accord, sauf sur les pass en clair: un pass codé/hashé/crypté, s'il est le même au départ sera le même à l'arrivée. et on ne conserve jamais les pass en clair![/quote]C'est ce que je pensais mais Merrick le webmaster de jdr-delain.net m'a clairement fait changer d'avis.
Il administre un jpc et le problème de double-comptes est épineux. La plupart du temps les utilisateurs de double-compte utilisent le même mot de passe, mais également souvent des mots de passe très proches ("monmdp1", "monmdp2"), le hash dans ce cas là nous fait perdre complètement cette possibilité de détection.
Comme l'art de détecter les double-comptes est déjà éminemment délicat, il s'agit de disposer du maximum d'informations disponibles, mais il y a des solutions (parfois un peu tordues) pour avoir les infos hashées sur le serveur, et garder une copie "en clair" sur une base non publiée. J'avais fait ça il y a quelques années : sur la base les mots de passe étaient hashés, et sur un fichier du serveur j'ajoutais à la ligne des requêtes "REPLACE INTO ..." à chaque création/modification de mot de passe. Régulièrement je me connectais pour récupérer ce fichier et exécuter les requêtes sur ma base locale ( il aurait été possible de faire un robot mais j'avais la flemme, d'autant que cette solution n'a pas duré longtemps, je l'avais mise en place pour le rappel de mdp, j'ai vite réalisé qu'on pouvait se contenter d'en générer un nouveau aléatoire :lol: )
Quoiqu'il en soit, imagine que j'ai un triple-compte chez toi :
- le soir je me connecte à la maison, avec un login et un mot de passe (dont je n'ai pas besoin de me souvenir, mon navigateur le fera très bien pour moi)
- le matin ou l'après-midi quand j'ai le temps, au boulot je me connecte, avec autre un login et un mot de passe (dont je n'ai toujours pas besoin de me souvenir, mon navigateur le fera très bien pour moi)
- entre midi et deux je me connecte avec la connexion wi-fi du mac-do, ou je fais un tour au cyber-café et là j'utilise un 3e compte (le seul dont j'ai besoin de me souvenir pour le coup).
Comment vas-tu détecter ça ? Le seul moyen sera l'analyse des transactions entre les différents comptes, et pour ça l'algorithme de pré-détection dépendra complètement de ton site, et l'intervention humaine sera absolument indispensable.
Et dis-toi bien que les fanas des double-compte (en particulier si possibilité de récompense il y a) sont largement capables de suivre le scénario que je t'ai indiqué ^^
