Sécurité : à qui la faute

[Patalf]

L'article https://www.futura-sciences.com/tech...sistent-104682 nous apprends que les IA pourraient casser des mots de passe

La réalité est plus prosaïque. Intelligence artificielle ou bétise naturelle, au lieu de casser les pieds aux utilisateurs en démultipliant les exigences, les développeurs n'ont qu'à mettre en place une temporisation de quelques dizaines de secondes entre chaque tentative et l'affaire est pliée. Ca ne pénalise pas l'humain et ca rend impossible toute attaque en force.
-----

[pm42]

La réalité est plus prosaïque. Intelligence artificielle ou bétise naturelle, au lieu de casser les pieds aux utilisateurs en démultipliant les exigences, les développeurs n'ont qu'à mettre en place une temporisation de quelques dizaines de secondes entre chaque tentative et l'affaire est pliée. Ca ne pénalise pas l'humain et ca rend impossible toute attaque en force.

L'article parle d'autres solutions largement plus intéressantes. Et il y a déjà des mécanismes comme ça en place avec blocage, etc sur de nombreux sites.
Pour ceux qui ont des fonctions critiques ou financières, la double authentification est obligatoire.

Quand à attendre quelques dizaines de secondes entre chaque tentative, coté "ça ne pénalise pas l'utilisateur" on a vu mieux.

[Ikhar84]

La réalité est plus prosaïque. Intelligence artificielle ou bétise naturelle, au lieu de casser les pieds aux utilisateurs en démultipliant les exigences, les développeurs n'ont qu'à mettre en place une temporisation de quelques dizaines de secondes entre chaque tentative et l'affaire est pliée. Ca ne pénalise pas l'humain et ca rend impossible toute attaque en force.

Je ne sais pas pourquoi nous n'y avons pas pensé plus tôt !

Bien evidemment, des mécanismes sont mis en place pour tenter de sécuriser l'authentification des utilisateurs, ralentir le traitement de façon imperceptible pour les humains est l'un d'eux...

Déterminer qui (se multiple) s'authentifie côté serveur, avec des outils clients non maîtrisés et malveillants nécessite bien plus de travail et de réflexion..

[umfred]

rajouter une tempo entre chaque tentative ne rend pas l'attaque en force impossible, juste plus longue: rajouter une boucle d'attente dans un programme c'est d'une facilité déconcertante.

[A voir en vidéo sur Futura]

[MissJenny]

rajouter une tempo entre chaque tentative ne rend pas l'attaque en force impossible, juste plus longue

ça peut suffire à régler le problème. Ca dépend ce qu'on entend par "longue". Si par exemple le délai double à chaque tentative (c'était le cas pour le code de l'autoradio sur une de mes voitures) ça décourage même les IA les plus patientes...

[pm42]

ça décourage même les IA les plus patientes...

Vu qu'on n'utilise pas d'IA pour faire ça, ce n'est pas dur. Et vu que le délai doit rediminuer une attaque basée sur le fait de faire deviner le mot de passe par une IA marchera très bien. On fera 10 tentatives sur 10 jours par exemple.

[jiherve]

bonjour,
on peut aussi compter les tentatives et tout bloquer passé un certain comptage, ce que font certains sites "critiques". Réinitialisation par courrier postal seulement!
JR

[MissJenny]

Vu qu'on n'utilise pas d'IA pour faire ça, ce n'est pas dur.

c'était une boutade...

Et vu que le délai doit rediminuer (...)

pourquoi?

[jiherve]

re
c'est fait comme çà pour prendre en compte le cas de l'humain qui aura momentanément oublié ou mal saisi son mot de passe. Certains sites activent aussi un capcha en cas d'erreur.
JR