On m'a envoyé une clé de réinitialisation. C'était 40 lettres hexadécimales, donc 20 octets ce qui fait 160 bits. Je me suis dit, pourquoi 160 bits? Peut-être que c'est un 128 (clé) + 32 bits (checksum ou id ou quelque chose). Peut-être quelque chose d'autre. Je suis sûr que c'était fait pour une raison mais pourquoi? (PS: La personne de l'autre côté ne semble pas vouloir dire pourquoi ou peut-être ne sait pas, donc demander ailleurs n'a pas marché.)Qu'y a-t-il de spécial dans une clé de 20 octets (160 bits)?
Je suis sûr que le script est écrit en PHP comme le reste du site est.
ha, ok, donc ce pourrait être un SHA-1. Mais qu'est-ce qui serait haché? J'ai redéfini mon mot de passe deux fois ce soir, je ne sais pas depuis combien de temps, mais ils étaient les mêmes. Je vais essayer demain. Peut-être que c'est un datestamp + identifiant d'utilisateur je me demande ...
Parce qu'il correspond à 3.3 cellules ATM? Nah, je suppose que cela a plus à voir avec la taille de SHA1 que n'importe quoi d'autre, mais probablement parce que c'était pratique pour le programmeur et assez difficile à deviner. – msw
jeter toute indésirable dans SHA1 et obtenir quelque chose de tout à fait aléatoire ** recherche **: «aardvark» ⇒ ff49abca9701606b01b6245d587d26c31b63a433; 'aardvarks' ⇒ 33ece021bcf67b6aeab8fb8ba0de55b5b92d3875; 'acidzombie24' ⇒ 973c16b5129c681551d194f59502120b73bef15c; ; 'acidzombie25' ⇒ fb24ca75c684d0e82c77801fc9e8286fcbca6791 etc. – msw
Et vous avez peut-être trouvé un trou de sécurité si vous avez récupéré la même "clé". Comme la plupart des réinitialisations de mot de passe comportent des délais d'attente, une implémentation très simple pourrait utiliser la date du jour et un identifiant d'utilisateur. Si l'auteur n'en savait pas assez sur les "attaques en clair" connues, il est tout à fait possible que l'implémentation soit bâclée. – msw