Enfin, il peut essayer de casser les mots de passe, par exemple avec john, mais pas les avoir directement : ils sont cryptés par un algorithme irreversible.
Je te conseille sincèrement de faire passer john the ripper sur les mot de passe de tes comptes si tu est dans un environnement qui demande de la sécurité.
C'est ce que je fais régulièrement et ça me permet d'éviter de :
- connaître le mot de passe (pour savoir si il est sur)
- taper sur les utilisateurs qui respectent pas les consignes
- pas avoir de compte login:zombi/password:roo
Il faut que tu sache que john a deux-trois mode :
- utilisation du dictionnaire de mot de passe (met 5 minutes)
- utilisation de combinaison de préfix/affixes (prend plus de temps)
- vrai brute force (heu tu oublie ce mode ;)
En faisant les deux premier mode et avec des mot de passe de 7-8 caractères il ne devrait pas y avoir de gros danger.
- car pam/ssh/etc limite le nombre de tentative (et ajoute un délais entre chaque qui grandis)
- car les spammeurs/crackeurs et autre utilisent le premier dictionnaire et doivent tomber sur le nom de compte et le bon mot de passe...
Grosso modo un bon mot de passe est :
- une combinaison alphanumérique
- qui a un sens (pour s'en souvenir)
- de 7-10caractères (recommandé sans accent pour les claviers qwerty)
- chiffres en plein milieu et pas de 123 a la fin ;)
- une ou deux majuscules pour compliquer le tout dans le mot
- qui SE TAPE VITE (pour les regards indélicats, donc peu de mouvent des doigts si possible avec alternance main, droite main gauche)
Après pour les clefs gpg ou pass de chiffrage de disque du là il faut passer au > 20 caractères et utiliser un gpg-agent pour la taper une fois par jour/session (et ne pas oublier de vérouiler sa session ou de désactiver l'agent a la déconnexion)
Dans le cas "normal" non. Les password sont cryptés dans /etc/password ou /etc/shadow avec un algorithme à sens unique.
Le seul moyen de retrouver un password est d'utiliser la force brute.
Je suppose que tout le monde connaît le principe de l'algo à sens unique mais si ce n'était pas le cas, il s'agit en fait de :
- Stocker les mots de passe sous forme codée
- Coder de la même manière le mot de passe entré par un utilisateur
- Comparer les deux chaînes codées.
Si les deux chaînes correspondent, on est (pour ainsi dire) sûr que les mots de passe concordent et que l'utilisateur a rentré le bon, sans pour autant que l'on ait besoin de le connaître.
D'un point de vue politique, le root ne doit jamais avoir besoin d'accéder aux mots de passe des utilisateurs, secrets par nature. En fait, et à la place, il a d'autres pouvoirs qui lui permettent de s'en passer ! Et si l'utilisateur perd son mot de passe, on lui en donne un autre. On n'essaie pas de le retrouver.
Récupérer le mot de passe d'un utilisateur est une mauvaise habitude prise surtout, il faut bien le dire, en environnement Windows lorsque l'on fait de l'assistance et du dépannage technique sur site.
Sous Unix, un bête su permet de prendre l'identité d'un utilisateur, de se placer dans son répertoire personnel et éventuellement d'y lancer une session si le besoin s'en fait sentir. La plupart du temps, on a même pas besoin de demander à l'utilisateur de se déloguer. Un terminal X, un changement local d'indentité, on fait la modif' sur le fichier concerné et c'est fini. L'environnement Windows, spécialement lorsqu'il est antérieur à XP, est beaucoup plus rigide et bien souvent, le technicien a besoin d'ouvrir une session sous le compte de l'utilisateur pour lui régler ses paramètres personnels.
Les collectes de mots de passe avant intervention se généralisent donc et les utilisateurs les donnent d'ailleurs bien volontiers, tant ils souhaitent (légitimement) être dépannés au plus vite.
D'accord, il y a ces possibilités mais supposons qu'un utilisateur veuille récupérer son mot de passe sans avoir à en inventer un autre... Il lui ai impossible de le reprendre même en s'adressant à l'administrateur.
supposons qu'un utilisateur veuille récupérer son mot de passe sans avoir à en inventer un autre... Il lui ai impossible de le reprendre même en s'adressant à l'administrateur
voila qui resume bien.
sauf si l'administrateur et l'utilisateur ne sont pas pressé et qu'ils se lancent dans les procedures decrites plus haut (attaque par dictionnaire, par force brute...)
# Non
Posté par Pascal Terjan (site web personnel) . Évalué à 4.
[^] # Re: Non
Posté par Raphaël G. (site web personnel) . Évalué à 5.
C'est ce que je fais régulièrement et ça me permet d'éviter de :
- connaître le mot de passe (pour savoir si il est sur)
- taper sur les utilisateurs qui respectent pas les consignes
- pas avoir de compte login:zombi/password:roo
Il faut que tu sache que john a deux-trois mode :
- utilisation du dictionnaire de mot de passe (met 5 minutes)
- utilisation de combinaison de préfix/affixes (prend plus de temps)
- vrai brute force (heu tu oublie ce mode ;)
En faisant les deux premier mode et avec des mot de passe de 7-8 caractères il ne devrait pas y avoir de gros danger.
- car pam/ssh/etc limite le nombre de tentative (et ajoute un délais entre chaque qui grandis)
- car les spammeurs/crackeurs et autre utilisent le premier dictionnaire et doivent tomber sur le nom de compte et le bon mot de passe...
Grosso modo un bon mot de passe est :
- une combinaison alphanumérique
- qui a un sens (pour s'en souvenir)
- de 7-10caractères (recommandé sans accent pour les claviers qwerty)
- chiffres en plein milieu et pas de 123 a la fin ;)
- une ou deux majuscules pour compliquer le tout dans le mot
- qui SE TAPE VITE (pour les regards indélicats, donc peu de mouvent des doigts si possible avec alternance main, droite main gauche)
Après pour les clefs gpg ou pass de chiffrage de disque du là il faut passer au > 20 caractères et utiliser un gpg-agent pour la taper une fois par jour/session (et ne pas oublier de vérouiler sa session ou de désactiver l'agent a la déconnexion)
# Non
Posté par jjl (site web personnel) . Évalué à 3.
Le seul moyen de retrouver un password est d'utiliser la force brute.
[^] # Re: Non
Posté par deniak . Évalué à 1.
je savais qu'ils etaient cryptés mais je pensais que root avait moyen d'avoir acces aux passwords...
[^] # Re: Non
Posté par Obsidian . Évalué à 4.
- Stocker les mots de passe sous forme codée
- Coder de la même manière le mot de passe entré par un utilisateur
- Comparer les deux chaînes codées.
Si les deux chaînes correspondent, on est (pour ainsi dire) sûr que les mots de passe concordent et que l'utilisateur a rentré le bon, sans pour autant que l'on ait besoin de le connaître.
D'un point de vue politique, le root ne doit jamais avoir besoin d'accéder aux mots de passe des utilisateurs, secrets par nature. En fait, et à la place, il a d'autres pouvoirs qui lui permettent de s'en passer ! Et si l'utilisateur perd son mot de passe, on lui en donne un autre. On n'essaie pas de le retrouver.
Récupérer le mot de passe d'un utilisateur est une mauvaise habitude prise surtout, il faut bien le dire, en environnement Windows lorsque l'on fait de l'assistance et du dépannage technique sur site.
Sous Unix, un bête su permet de prendre l'identité d'un utilisateur, de se placer dans son répertoire personnel et éventuellement d'y lancer une session si le besoin s'en fait sentir. La plupart du temps, on a même pas besoin de demander à l'utilisateur de se déloguer. Un terminal X, un changement local d'indentité, on fait la modif' sur le fichier concerné et c'est fini. L'environnement Windows, spécialement lorsqu'il est antérieur à XP, est beaucoup plus rigide et bien souvent, le technicien a besoin d'ouvrir une session sous le compte de l'utilisateur pour lui régler ses paramètres personnels.
Les collectes de mots de passe avant intervention se généralisent donc et les utilisateurs les donnent d'ailleurs bien volontiers, tant ils souhaitent (légitimement) être dépannés au plus vite.
[^] # Re: Non
Posté par NeoX . Évalué à 1.
root peut changer le mot de pass d'un utilisateur
passwd login_user
root peut bloquer un compte ou mettre le mot de passe à blanc en modifiant directement le fichiet /etc/passwd ou /etc/shadow
il n'a donc pas besoin de connaitre le mot de passe.
[^] # Re: Non
Posté par deniak . Évalué à 1.
Enfin j'imagine que ca joue au niveau sécurité :)
Merci pour toutes vos réponses
[^] # Re: Non
Posté par NeoX . Évalué à 1.
voila qui resume bien.
sauf si l'administrateur et l'utilisateur ne sont pas pressé et qu'ils se lancent dans les procedures decrites plus haut (attaque par dictionnaire, par force brute...)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.