XCP dans le futur ???

[superresistant]

Un mélange d'anglais, espagnol, italien, allemand, français pour brouiller les pistes?
Ou faire comme NxT un passphrase qu'on choisit nous mêmes avec des caractères spéciaux

On parle de 1626 mots. A part peut être pour une hypothétique puissance extra terrestre capable de voyager plus vite que la lumière, il est impossible trouver le passphrase avec une "dictionnary attack".

Possible si on se limite à moins de mots.

((30^12)/150000000000)/86400=41

Ainsi en se limitant à 30 combinaison de mots il faut 41 jours pour cracker tous les mots de passe de tous les comptes utilisant une série de 12 mots avec 8 AMD Radeon R9 290X.

Avec 80 GPU on arrive a cracker les combinaisons de 37 mots en 51 jours.

EDIT : il est possible que je me plante dans mes calculs mais bref, je ne ferais pas confiance à des mots de passe imposés automatiquement.

[JahPowerBit]

Un mélange d'anglais, espagnol, italien, allemand, français pour brouiller les pistes?
Ou faire comme NxT un passphrase qu'on choisit nous mêmes avec des caractères spéciaux

On parle de 1626 mots. A part peut être pour une hypothétique puissance extra terrestre capable de voyager plus vite que la lumière, il est impossible trouver le passphrase avec une "dictionnary attack".

Possible si on se limite à moins de mots.

((30^12)/150000000000)/86400=41

Ainsi en se limitant à 30 combinaison de mots il faut 41 jours pour cracker tous les mots de passe de tous les comptes utilisant une série de 12 mots avec 8 AMD Radeon R9 290X.

Avec 80 GPU on arrive a cracker les combinaisons de 37 mots en 51 jours.

Oui et alors? Ce n'est pas le cas. C'est un dictionnaire de 1626 mots qui est utilisé pas de 30 ni de 37. Et aucun des 1626 mots n'a plus de chance d'être présent qu'un autre. Faire une attaque sur un échantillon de 30 ou 37 mots n'a aucun sens.

[superresistant]

Un mélange d'anglais, espagnol, italien, allemand, français pour brouiller les pistes?
Ou faire comme NxT un passphrase qu'on choisit nous mêmes avec des caractères spéciaux

On parle de 1626 mots. A part peut être pour une hypothétique puissance extra terrestre capable de voyager plus vite que la lumière, il est impossible trouver le passphrase avec une "dictionnary attack".

Possible si on se limite à moins de mots.
((30^12)/150000000000)/86400=41
Ainsi en se limitant à 30 combinaison de mots il faut 41 jours pour cracker tous les mots de passe de tous les comptes utilisant une série de 12 mots avec 8 AMD Radeon R9 290X.
Avec 80 GPU on arrive a cracker les combinaisons de 37 mots en 51 jours.

Oui et alors? Ce n'est pas le cas. C'est un dictionnaire de 1626 mots qui est utilisé pas de 30 ni de 37. Et aucun des 1626 mots n'a plus de chance d'être présent qu'un autre. Faire une attaque sur un échantillon de 30 ou 37 mots n'a aucun sens.

Dans le cas du réseau XCP ça du sens car chaque compte est déterminé uniquement par le mot de passe. Donc même si en 6 mois de crack tu as une chance sur 1 millions de trouver 1 compte il faut multiplier cette chance par le nombre de compte.

Aujourd'hui il y a peu d'argent et peu de comptes donc c'est vrai que ça ne vaut pas le coup mais imagine que demain il y ai plusieurs milliers (voire millions) de compte ouvert et de meilleurs GPU.

Je dis ça pour dans 1 an ou deux. C'est dans pas si longtemps.

[JahPowerBit]

Dans le cas du réseau XCP ça du sens car chaque compte est déterminé uniquement par le mot de passe. Donc même si en 6 mois de crack tu as une chance sur 1 millions de trouver 1 compte il faut multiplier cette chance par le nombre de compte.

Aujourd'hui il y a peu d'argent et peu de comptes donc c'est vrai que ça ne vaut pas le coup mais imagine que demain il y ai plusieurs milliers (voire millions) de compte ouvert et de meilleurs GPU.

Je dis ça pour dans 1 an ou deux. C'est dans pas si longtemps.

Non désolé. Ni dans 1 an, ni même dans un siècle à priori. Merci à Leteu pour avoir fait le calcul:

Leteu:

--- Quote from: farl4bit on March 10, 2014, 09:36:28 PM ---Looks great Welsey!

About the passphrase: I read that passphrases with random words are not really that safe. What is your opinion about that? Who's right?

--- End quote ---

It's irrelevant if these are "words", "letters" or ""numbers". What matters is  number of possible combinations and functionally secure randomness that is unpredictable.  Under the hood it's only 0 and 1 -  not words, letters or numbers.  His client is perfectly safe against brute force attack if it's secure random.

Try calculating the number of possible combinations and you will see it's not possible to go through the possible combinations even if top 50 super computers work together for centuries

http://www.top500.org/lists/2013/11/

The fastest super computer does  33,862 trillion calculations per second

This is being charitable as calculating one SHA256 requires hundreds of thousands of calculations so, the actual number will be much smaller 33 trillion.

Lets say 50 such computers exist. They don't -- only one such computer exists.

33,862 x 50 super computers = 1693100 trillion calculations per second

Total possible combinations on wesleh's client = 1626^12 = 341543870028173427817970975906355941376

50 such computers all work together:  341543870028173427817970975906355941376 / 1693100000000000000

=  201726932861717221556 seconds

((201726932861717221556 / 3600 ) / 24 ) / 365 ) =

6.3 trillion years

As you see it can't be brute forced.

https://nextcoin.org/index.php?topic=3975.25;wap2

EDIT: post trouvé en faisant un Google sur le chiffre 341543870028173427817970975906355941376

[Djinou94]

Il y a des jours ou je me souviens pas des codes d'entrée de chez moi alors 12 mots...
En plus étant une quiche en anglais sur les 12 j'en connais que 3
Tanpis ça sera copié collé pour moi et bout de papier mais c'est pas pratique
Avec Nxt au moins que je sois ailleurs en vacances en week end à l'hôtel c'est simple je connais ma pass phrase par cœur je peux me connecté à tout moment
Bref en parler ici ne changera rien je vais aller me plaindre sur le thread anglais tiens

Sinon pour pas faire trop le rabat joie le wallet est super alors que du côté de la concurrence certains n'ont toujours pas de wallet et d'asset

Édit
Par rapport à la mesure de sécurité ils peuvent ajouter un second authenticator ça fait pas de mal

[superresistant]

Dans le cas du réseau XCP ça du sens car chaque compte est déterminé uniquement par le mot de passe. Donc même si en 6 mois de crack tu as une chance sur 1 millions de trouver 1 compte il faut multiplier cette chance par le nombre de compte.
Aujourd'hui il y a peu d'argent et peu de comptes donc c'est vrai que ça ne vaut pas le coup mais imagine que demain il y ai plusieurs milliers (voire millions) de compte ouvert et de meilleurs GPU.
Je dis ça pour dans 1 an ou deux. C'est dans pas si longtemps.

Non désolé. Ni dans 1 an, ni même dans un siècle à priori. Merci à Leteu pour avoir fait le calcul:

Leteu:
--- Quote from: farl4bit on March 10, 2014, 09:36:28 PM ---Looks great Welsey!
About the passphrase: I read that passphrases with random words are not really that safe. What is your opinion about that? Who's right?
--- End quote ---
It's irrelevant if these are "words", "letters" or ""numbers". What matters is  number of possible combinations and functionally secure randomness that is unpredictable.  Under the hood it's only 0 and 1 -  not words, letters or numbers.  His client is perfectly safe against brute force attack if it's secure random.
Try calculating the number of possible combinations and you will see it's not possible to go through the possible combinations even if top 50 super computers work together for centuries
http://www.top500.org/lists/2013/11/
The fastest super computer does  33,862 trillion calculations per second
This is being charitable as calculating one SHA256 requires hundreds of thousands of calculations so, the actual number will be much smaller 33 trillion.
Lets say 50 such computers exist. They don't -- only one such computer exists.
33,862 x 50 super computers = 1693100 trillion calculations per second
Total possible combinations on wesleh's client = 1626^12 = 341543870028173427817970975906355941376
50 such computers all work together:  341543870028173427817970975906355941376 / 1693100000000000000
=  201726932861717221556 seconds
((201726932861717221556 / 3600 ) / 24 ) / 365 ) =
6.3 trillion years
As you see it can't be brute forced.

https://nextcoin.org/index.php?topic=3975.25;wap2
EDIT: post trouvé en faisant un Google sur le chiffre 341543870028173427817970975906355941376

Ben tient, pas vraiment rassurant. Ça confirme mes calculs.

(((140^12/1693100000000000000)/3600)/24)/365=1.06

Environ 1 an en considérant les combinaisons de 140 mots. Je suis sûr qu'on peut trouver beaucoup de comptes avec 140 mots.

C'est con mais si on avait rajouté ne serais-ce qu'un mot (puissance 13), ça aurait multiplié par 148 le nombre d'années.

PS : Laissez tomber je chipote pour rien. Personne ne va investir dans le cracking de XCP, ça ne vaut pas le coup.

[JahPowerBit]

Il y a des jours ou je me souviens pas des codes d'entrée de chez moi alors 12 mots...
En plus étant une quiche en anglais sur les 12 j'en connais que 3
Tanpis ça sera copié collé pour moi et bout de papier mais c'est pas pratique
Avec Nxt au moins que je sois ailleurs en vacances en week end à l'hôtel c'est simple je connais ma pass phrase par cœur je peux me connecté à tout moment
Bref en parler ici ne changera rien je vais aller me plaindre sur le thread anglais tiens

Oui bonne idée, si il y'a plusieurs personnes qui sont intéressés par pouvoir choisir les 12 mots, on pourra ajouter ça dans la todo list.
A noter que les utilisateurs auront tendance a choisir une phrase avec un sens, ce qui diminue très fortement le nombre de possibilités, et donc la sécurité..

Édit
Par rapport à la mesure de sécurité ils peuvent ajouter un second authenticator ça fait pas de mal

A part les préférence utilisateurs (anonyme, et cela va changer), on ne garde aucune info sur le serveur. Quand tu rentre ton passphrase, il n'y pas d'authentification, mais simplement la génération des adresses correspondantes au passphrase. Tout ce passe dans ton browser.

[JahPowerBit]

Ben tient, pas vraiment rassurant. Ça confirme mes calculs.

(((140^12/1693100000000000000)/3600)/24)/365=1.06

Environ 1 an en considérant les combinaisons de 140 mots. Je suis sûr qu'on peut trouver beaucoup de comptes avec 140 mots.

Désolé je ne comprend pas ton raisonnement. Il n'y aucun compte avec 140 mots. Tout les "comptes", sans exception, sont généré à partir de 1626 mots (pas 30, ni 37, ni 140)

[superresistant]

Ben tient, pas vraiment rassurant. Ça confirme mes calculs.
(((140^12/1693100000000000000)/3600)/24)/365=1.06
Environ 1 an en considérant les combinaisons de 140 mots. Je suis sûr qu'on peut trouver beaucoup de comptes avec 140 mots.

Désolé je ne comprend pas ton raisonnement. Il n'y aucun compte avec 140 mots. Tout les "comptes", sans exception, sont généré à partir de 1626 mots (pas 30, ni 37, ni 140)

Tout à fait. C'est généré à partir de 1626 mots mais d'habitude dans le cracking, on cible un compte. Là, on cible tous les comptes existant à la fois.
Donc à mesure que le le nombre de comptes augmente, la probabilité d'en cracker au moins un augmente.

Mathématiquement, si t=infini alors p, la probabilité de cracker un compte tend vers 1 (100%).

[kcud_dab]

Avec 1600 mots, il y a déjà bien plus de combinaisons possibles qu'un mot de passe "classique" qui aura, maximum, une 100 aine de caractères différents : les lettres, les chifffres, les caractères spéciaux.

Bref "10 x 1 mot parmi 1600" est bien plus sécure qu'un mot de passe classique de 10 charactères !

[superresistant]

Avec 1600 mots, il y a déjà bien plus de combinaisons possibles qu'un mot de passe "classique" qui aura, maximum, une 100 aine de caractères différents : les lettres, les chifffres, les caractères spéciaux.
Bref "10 x 1 mot parmi 1600" est bien plus sécure qu'un mot de passe classique de 10 charactères !

Oui c'est clair. Je fais juste le gros lourd  

Perso, j'utilise un mot de passe de plus de 29 caractères pour les données qui craignent, sinon beaucoup moins.

Après le hack de compte se fait à 99% par des copy/paste trojan qui remplace l'adresse de destination ou des keyloggers.
Ces trojans ne sont souvent même pas détectés par les antivirus car il s'agit de plugins installé dans le navigateur.

[guigui371]

Il y a des jours ou je me souviens pas des codes d'entrée de chez moi alors 12 mots...
En plus étant une quiche en anglais sur les 12 j'en connais que 3
Tanpis ça sera copié collé pour moi et bout de papier mais c'est pas pratique
Avec Nxt au moins que je sois ailleurs en vacances en week end à l'hôtel c'est simple je connais ma pass phrase par cœur je peux me connecté à tout moment
Bref en parler ici ne changera rien je vais aller me plaindre sur le thread anglais tiens

Oui bonne idée, si il y'a plusieurs personnes qui sont intéressés par pouvoir choisir les 12 mots, on pourra ajouter ça dans la todo list.
A noter que les utilisateurs auront tendance a choisir une phrase avec un sens, ce qui diminue très fortement le nombre de possibilités, et donc la sécurité..

Édit
Par rapport à la mesure de sécurité ils peuvent ajouter un second authenticator ça fait pas de mal

A part les préférence utilisateurs (anonyme, et cela va changer), on ne garde aucune info sur le serveur. Quand tu rentre ton passphrase, il n'y pas d'authentification, mais simplement la génération des adresses correspondantes au passphrase. Tout ce passe dans ton browser.

 voici mes 113 mots :

abeille
chat
chien
ours
saumon
papa
maman
vache
cheval
france
pain
miel
tomate
amour
ouvrir
fermer
ordinateur
mais
mon
ton
sa
verbe
eau
soleil
terre
saturne
clavier
cochon
prune
orange
jaune
vert
table
chaise
voiture
train
car
bus
chouette
lion
savane
armoire
bureau
travail
vacances
montre
pendule
pile
face
porte
moquette
chaussure
arbre
fleur
rose
ligne
feuille
papier
crayon
clavier
clef
carton
carte
soupe
dessert
cactus
poubelle
moto
vitre
loyer
sac
fromage
vin
soda
roue
pneu
rouge
espagne
europe
monde
lune
renault
peugeot
manteau
robe
veste
pantalon
jupe
robe
dossier
classe
entreprise
paris
lyon
tours
nancy
pomme
orange
brebis
pizza
gentil
beau
moche
voir
toucher
sentir
partir
parler
montrer
tuer
aimer
entrer
sortir


sinon ici  (ahhhhhhhhhhhhhh j'ai trouvé le lien après avoir écris mes 113 premiers mots !!!!)
il y a 1750 mots qui sont sensés être connus d'un gamin de 4 ans
il faudrait enlever ceux qui ont des accents (é-è-à-â)  car si on a pas ces touches sur le clavier on est bloqué)

http://fr.wiktionary.org/wiki/Wiktionnaire:Liste_de_1750_mots_fran%C3%A7ais_les_plus_courants

[kcud_dab]

Perso, j'utilise un mot de passe de plus de 29 caractères pour les données qui craignent, sinon beaucoup moins.

Et je pense que si tu faisais le calcul, tu verrais qu'un mot de passe de 10 mots parmi 1600 est p'tete* plus "sécurisé" que 29 "simples" caractères...

* : Je n'ai pas calculé donc je peux pas l'affirmer, mais je pense que c'est le cas !
("10 parmi 1600" > "29 parmi 100",)

[kcud_dab]

Avec Nxt au moins que je sois ailleurs en vacances en week end à l'hôtel c'est simple je connais ma pass phrase par cœur je peux me connecté à tout moment

Donc tu connais tous tes mots de passes par coeurs et n'en note jamais quelques uns ? (ou uniquement ceux dont tu n'auras jamais besoin en "extérieur" ?)
Une solution simple : un gestionnaire de password comme Clipperz : https://clipperz.is/ te permettra de stocker cette information dans une fiche sécurisé et d'y accéder grace à un mot de passe que tu connais

[superresistant]

Perso, j'utilise un mot de passe de plus de 29 caractères pour les données qui craignent, sinon beaucoup moins.

Et je pense que si tu faisais le calcul, tu verrais qu'un mot de passe de 10 mots parmi 1600 est p'tete* plus "sécurisé" que 29 "simples" caractères...
* : Je n'ai pas calculé donc je peux pas l'affirmer, mais je pense que c'est le cas !
("10 parmi 1600" > "29 parmi 100",)

Bonne remarque.
Voyons :

(((1600^12/1693100000000000000)/3600)/24)/365=5.27*10^12
(((29^29/1693100000000000000)/3600)/24)/365=4.8*10^16

Non les 29 caractères simple sont plus sécurisé.

La série de 12 mots de 1600 combinaisons est a peu près autant sécurisé qu'un mot de passe de 20 caractères simple (29 combinaisons).
Bon à savoir n'est ce pas ?

[kcud_dab]

ah comme quoi les intuition :-) , après je pense que les 2 reste assez sécure quoiqu'il arrive, dans les 2 cas tu peux essayer des les cracker à part perdre du temps tu ne risques pas d'arriver à grand chose !

[guigui371]

Perso, j'utilise un mot de passe de plus de 29 caractères pour les données qui craignent, sinon beaucoup moins.

Et je pense que si tu faisais le calcul, tu verrais qu'un mot de passe de 10 mots parmi 1600 est p'tete* plus "sécurisé" que 29 "simples" caractères...
* : Je n'ai pas calculé donc je peux pas l'affirmer, mais je pense que c'est le cas !
("10 parmi 1600" > "29 parmi 100",)

Bonne remarque.
Voyons :

(((1600^12/1693100000000000000)/3600)/24)/365=5.27*10^12
(((29^29/1693100000000000000)/3600)/24)/365=4.8*10^16

Non les 29 caractères simple sont plus sécurisé.

La série de 12 mots de 1600 combinaisons est a peu près autant sécurisé qu'un mot de passe de 20 caractères simple (29 combinaisons).
Bon à savoir n'est ce pas ?

Bon aller pour pinailler

1626^12 = 3.415E+12  (et je me demande si ce n'est pas plutot 1626*....*1615  car je ne sais pas si il y a remise ou pas... bref deux fois le même mot possible dans la chaîne)

26^29 = 1.08E+41   (c'est 26 puissance 29 car il n'y a que 26 caractères "simples" : de A à Z )

donc 26^29 = 316 fois plus dure à trouver que  1626^12

si tu prends les chiffres et ponctuation dans ta chaîne de 29 caractères alors là c'est encore plus.

[Djinou94]

Avec Nxt au moins que je sois ailleurs en vacances en week end à l'hôtel c'est simple je connais ma pass phrase par cœur je peux me connecté à tout moment

Donc tu connais tous tes mots de passes par coeurs et n'en note jamais quelques uns ? (ou uniquement ceux dont tu n'auras jamais besoin en "extérieur" ?)
Une solution simple : un gestionnaire de password comme Clipperz : https://clipperz.is/ te permettra de stocker cette information dans une fiche sécurisé et d'y accéder grace à un mot de passe que tu connais

Je connais les mdp que j'ai choisi moi même pas ceux qu'on m'impose
Merci pour le lien ça pourra m'être utile

[superresistant]

Perso, j'utilise un mot de passe de plus de 29 caractères pour les données qui craignent, sinon beaucoup moins.

Et je pense que si tu faisais le calcul, tu verrais qu'un mot de passe de 10 mots parmi 1600 est p'tete* plus "sécurisé" que 29 "simples" caractères...
* : Je n'ai pas calculé donc je peux pas l'affirmer, mais je pense que c'est le cas !
("10 parmi 1600" > "29 parmi 100",)

Bonne remarque.
Voyons :
(((1600^12/1693100000000000000)/3600)/24)/365=5.27*10^12
(((29^29/1693100000000000000)/3600)/24)/365=4.8*10^16
Non les 29 caractères simple sont plus sécurisé.
La série de 12 mots de 1600 combinaisons est a peu près autant sécurisé qu'un mot de passe de 20 caractères simple (29 combinaisons).
Bon à savoir n'est ce pas ?

Bon aller pour pinailler
1626^12 = 3.415E+12  (et je me demande si ce n'est pas plutot 1626*....*1615  car je ne sais pas si il y a remise ou pas... bref deux fois le même mot possible dans la chaîne)
26^29 = 1.08E+41   (c'est 26 puissance 29 car il n'y a que 26 caractères "simples" : de A à Z )
donc 26^29 = 316 fois plus dure à trouver que  1626^12
si tu prends les chiffres et ponctuation dans ta chaîne de 29 caractères alors là c'est encore plus.

C'est dingue cet écart selon si l'on compare le nombre de combinaisons ou le nombres d'années nécessaire pour cracker.
On arrive à la même conclusion mais je ne comprend pas l'écart.

[kcud_dab]

Quel écart ? Les différences viennent de là : 1600^12 vs 1626^12 et 26^29 vs 29^29
Qu'on calcule le nombre de combinaison ou le temps que ça va prendre à les tester, l'écart est le même !