Discussion :

[Lyude]

Bonjour,

j'ai un script python qui récupère depuis un fichier texte un mot de passe. Pour l'instant le mot de passe transmis est en clair dans le fichier texte et cela fonctionne ainsi.

Mais ce script va être placé sur des machines sensibles, il faut donc que ce mot de passe ne soit pas en clair, j'avais pensé au hashage, mais ce dernier ne me permet que de comparer les valeurs du hash pour vérifier que le mot de passe entré est correct, pas de le déchiffrer juste le temps qu'il valide la connexion à l'application distante (c'est un script qui a besoin de se connecter à une console de management).

Donc je chercherais une solution pour crypter le mot de passe, et le décrypter par la suite (lors de l'envoi, le programme de destination fait une vérification du hash en md5, je ne peux donc pas le laisser crypter à cette étape, au risque d'avoir un hash différent).

Est ce que vous sauriez m'aiguiller/conseiller sur la meilleure méthode à utiliser pour sécuriser ce mot de passe?

J'espère avoir été clair sinon je tenterais d'éclairer mes propos, merci d'avance

[fred1599]

Bonjour,

Cette question n'est clairement pas une question python. Avant de parler syntaxe, tu dois savoir de quoi tu parles et te renseigner sur le fond. Python n'étant que la forme.

À moins d'être plus précis sur ce que tu veux faire, tu peux aller te renseigner sur des forums en rapport avec la sécurité, chiffrement, crytographie, etc...

Bonne continuation.

[tyrtamos]

Bonjour,

Oui, la sécurité informatique est une spécialité compliquée, qui évolue sans cesse (lutte éternelle entre le glaive et le bouclier...), et il est difficile de donner des conseils "sûrs".

Ce qui est voulu pour le cryptage des mots de passe, c'est qu'il ne soit pas possible de décrypter. Aussi, la seule vérification possible dans un programme est de comparer les 2 versions cryptées du mot de passe proposé avec le vrai mot de passe. Les solutions courantes sont les algorithmes de hashage, mais des produits comme MD5 sont déjà dépassés sur ce point. Les attaques sont surtout basées sur la recherche de collisions.

Dès que tu veux pouvoir décrypter le mot de passe proposé, tu peux choisir un algorithme de cryptage "réversible": il y en a de très bons (voir les modules comme pycrypto). Mais après cela, tout dépend de l'endroit du programme où tu veux décrypter: si c'est à la portée d'un utilisateur astucieux, c'est un gros trou de sécurité. Et si en plus la version décryptée se balade sur un réseau non sécurisé, c'est un trou de plus (=> utiliser un tunnel type SSL).

Enfin, il faut voir cela sous l'angle de l'évaluation du risque, ce qui pourra déterminer la solidité (et la complexité) de la solution:

1- le temps et les moyens nécessaires pour "craquer" ta solution sont-ils à la portée du 1er venu ou sont-ils très important? S'il faut 1000 PC pendant 6 mois, il faudrait vraiment que tu travailles sur des sujets importants pour que ça vaille le coup... (quoique avec des PC zombies...).

2- en cas de découverte du mot de passe par un utilisateur astucieux, est-ce grave? Y a-t-il de la casse? Etc...

[wiztricks]

Salut,

De toutes façons:

ce script va être placé sur des machines sensibles

signifie que vous avez un "monsieur sécurité".
C'est lui qui mettra un coup de tampon sur la solution que vous devrez réaliser. Il serait préférable de le consulter avant de vous lancer a "coder".

D'autant que si c'est vraiment "sensible", coder avec un langage de "scripting" pourrait être exclu ou fortement décourage par le coût du plan de tests a définir, réaliser.

- W

[VinsS]

Salut,

Une piste éventuelle: signature PGP, utilisable en Python.

[stalacta]

Sinon, moi j'ai moi-même écris des petites fonctions de cryptage que je ne révèlerais pas ici, bien sûr, mais ce n'est pas très compliqué.
On peut partir sur un alphabet, qui est modifié par une clé (par exemple on prend la première lettre de la clef, on la place en premier dans l'alphabet et ainsi de suite pour toutes les lettres du mot). Ensuite, chaque lettre est décalée d'une position, ainsi a=b, b=c... enfin voilà, on peut traduire des trucs de ce genre en Python.