lundi 06 octobre
Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

: Sortie de John the Ripper version 1.7

Posté par Xavier Teyssier (Jabber id, page perso, ). Modéré le 13 février 2006.
0
John The Ripper est un logiciel de “cassage” de mot de passe, permettant aux administrateurs de sensibiliser les utilisateurs au bon choix de leurs mots de passe, disponible pour de nombreux systèmes Unix, DOS, Windows, BeOS et OpenVMS. Son principal objectif est de repérer les mauvais mots de passe.

Après plusieurs années de développement pendant lesquelles seules des “snapshots” ont été publiés, la version 1.7 vient d’être livrée [1].

John the Ripper permet aussi bien les attaques en force brute (recherche d’un mot de passe par le test de l’ensemble des combinaisons possibles) que les attaques par dictionnaire (test des différents mots présents dans une liste). Il est aussi possible de réaliser une attaque par dictionnaire étendue : utilisation des mots d’un dictionnaire et de variantes de ces mots fabriquées par des règles simples (passage majuscule/minuscule, insertion de chiffres, etc.).

Dans l'optique du "cassage" d'un mot de passe, une solution encore plus rapide peut être l’utilisation des “Rainbowtables”. Ces tables, bien que non exhaustives, contiennent un grand nombre de hashs précalculés, ce qui facilite grandement la recherche. C’est bien entendu très gourmand en espace mémoire, mais le gain en temps de recherche est considérable. Plus de détails sur les compromis temps/mémoire sont accessibles ici : [4]. Bien entendu, chacune de ces tables n’est valable que pour une longueur maximale et un jeu de caractère donné. De plus, certains systèmes (typiquement, les OS Unix/Linux) utilisent un “grain de sel”, c’est à dire une fonction simple choisie aléatoirement avec laquelle est traitée le hash du mot de passe. L’utilisation des Rainbowtables devient inefficace sur ces systèmes et le recours à John the Ripper ou un logiciel similaire est alors la seule solution.

On peut en profiter pour citer APG [3], un générateur de “bon” mot de passe, qui donne aussi un moyen mnémotechnique pour les retenir.

> Lire la suite (11 commentaires, moyenne: 2,9).   [dépêche : 609 caractères]

Vous avez demandé le commentaire #681784.

C'est efficace

Posté par 桃白白 (page perso, ) le 13/02/2006 à 19:42. (lien). Évalué à 4.

John The Ripper est un logiciel de “cassage” de mot de passe, permettant aux administrateurs de sensibiliser les utilisateurs au bon choix de leurs mots de passe,

Ouais c'est ca ouais

Cela dit c'est efficace, il m'a trouvé mes mots de passe en deux secondes.

--
Get Firefox!

  • [^]Re: C'est efficace

    Posté par tinodeleste () le 13/02/2006 à 21:43. (lien). Évalué à 3.

    deux secondes ??? mais quoi comme mot de passe ?

    [^]Re: C'est efficace

    Posté par Farvardin (page perso, ) le 14/02/2006 à 06:35. (lien). Évalué à 3.

    qu'est-ce que tu insinues par là ?
    Tu peux même tester ton / tes serveurs depuis chez toi si tu n'es pas sur place :

    Besides John, also included and available for use right off the CD are Nmap port scanner, SSH (OpenSSH), FTP (lftp, vsftpd), and Telnet clients and servers


    ils pensent vraiment à tout :)

    (nmap je présume c'est si tu as oublié sur quel port tu as ouvert ssh...)

    --
    You can't grep dead trees...

    • [^]Re: C'est efficace

      Posté par Alexandre Garel () le 14/02/2006 à 07:28. (lien). Évalué à 4.

      Ce qui serait vraiment utile c'est un CD bootable qui lance un diagnostique, tout en automatique pour les neuneu en sécurité comme moi (et qui ne peuvent pas y inverstir du temps). Parceque donner des outils à ceux qui savent déjà c'est bien mais aider tout le monde à acquérir un minimum de sécurité c'est bien aussi.
      Quequ'un sait si ça existe ?

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.0597s (dont 0.0056 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !