• # Non

    Posté par  (site Web personnel) . Évalué à 4.

    Enfin, il peut essayer de casser les mots de passe, par exemple avec john, mais pas les avoir directement : ils sont cryptés par un algorithme irreversible.
    • [^] # Re: Non

      Posté par  (site Web personnel) . Évalué à 5.

      Je te conseille sincèrement de faire passer john the ripper sur les mot de passe de tes comptes si tu est dans un environnement qui demande de la sécurité.

      C'est ce que je fais régulièrement et ça me permet d'éviter de :
      - connaître le mot de passe (pour savoir si il est sur)
      - taper sur les utilisateurs qui respectent pas les consignes
      - pas avoir de compte login:zombi/password:roo

      Il faut que tu sache que john a deux-trois mode :
      - utilisation du dictionnaire de mot de passe (met 5 minutes)
      - utilisation de combinaison de préfix/affixes (prend plus de temps)
      - vrai brute force (heu tu oublie ce mode ;)

      En faisant les deux premier mode et avec des mot de passe de 7-8 caractères il ne devrait pas y avoir de gros danger.
      - car pam/ssh/etc limite le nombre de tentative (et ajoute un délais entre chaque qui grandis)
      - car les spammeurs/crackeurs et autre utilisent le premier dictionnaire et doivent tomber sur le nom de compte et le bon mot de passe...

      Grosso modo un bon mot de passe est :
      - une combinaison alphanumérique
      - qui a un sens (pour s'en souvenir)
      - de 7-10caractères (recommandé sans accent pour les claviers qwerty)
      - chiffres en plein milieu et pas de 123 a la fin ;)
      - une ou deux majuscules pour compliquer le tout dans le mot
      - qui SE TAPE VITE (pour les regards indélicats, donc peu de mouvent des doigts si possible avec alternance main, droite main gauche)

      Après pour les clefs gpg ou pass de chiffrage de disque du là il faut passer au > 20 caractères et utiliser un gpg-agent pour la taper une fois par jour/session (et ne pas oublier de vérouiler sa session ou de désactiver l'agent a la déconnexion)
  • # Non

    Posté par  (site Web personnel) . Évalué à 3.

    Dans le cas "normal" non. Les password sont cryptés dans /etc/password ou /etc/shadow avec un algorithme à sens unique.
    Le seul moyen de retrouver un password est d'utiliser la force brute.
    • [^] # Re: Non

      Posté par  . Évalué à 1.

      ok merci pour vos réponses...
      je savais qu'ils etaient cryptés mais je pensais que root avait moyen d'avoir acces aux passwords...
      • [^] # Re: Non

        Posté par  . Évalué à 4.

        Je suppose que tout le monde connaît le principe de l'algo à sens unique mais si ce n'était pas le cas, il s'agit en fait de :

        - Stocker les mots de passe sous forme codée
        - Coder de la même manière le mot de passe entré par un utilisateur
        - Comparer les deux chaînes codées.

        Si les deux chaînes correspondent, on est (pour ainsi dire) sûr que les mots de passe concordent et que l'utilisateur a rentré le bon, sans pour autant que l'on ait besoin de le connaître.

        D'un point de vue politique, le root ne doit jamais avoir besoin d'accéder aux mots de passe des utilisateurs, secrets par nature. En fait, et à la place, il a d'autres pouvoirs qui lui permettent de s'en passer ! Et si l'utilisateur perd son mot de passe, on lui en donne un autre. On n'essaie pas de le retrouver.

        Récupérer le mot de passe d'un utilisateur est une mauvaise habitude prise surtout, il faut bien le dire, en environnement Windows lorsque l'on fait de l'assistance et du dépannage technique sur site.

        Sous Unix, un bête su permet de prendre l'identité d'un utilisateur, de se placer dans son répertoire personnel et éventuellement d'y lancer une session si le besoin s'en fait sentir. La plupart du temps, on a même pas besoin de demander à l'utilisateur de se déloguer. Un terminal X, un changement local d'indentité, on fait la modif' sur le fichier concerné et c'est fini. L'environnement Windows, spécialement lorsqu'il est antérieur à XP, est beaucoup plus rigide et bien souvent, le technicien a besoin d'ouvrir une session sous le compte de l'utilisateur pour lui régler ses paramètres personnels.

        Les collectes de mots de passe avant intervention se généralisent donc et les utilisateurs les donnent d'ailleurs bien volontiers, tant ils souhaitent (légitimement) être dépannés au plus vite.
      • [^] # Re: Non

        Posté par  . Évalué à 1.

        root peut se faire passer pour un utilisateur sans avoir son mot de passe avec la commande su login_user

        root peut changer le mot de pass d'un utilisateur
        passwd login_user

        root peut bloquer un compte ou mettre le mot de passe à blanc en modifiant directement le fichiet /etc/passwd ou /etc/shadow


        il n'a donc pas besoin de connaitre le mot de passe.
        • [^] # Re: Non

          Posté par  . Évalué à 1.

          D'accord, il y a ces possibilités mais supposons qu'un utilisateur veuille récupérer son mot de passe sans avoir à en inventer un autre... Il lui ai impossible de le reprendre même en s'adressant à l'administrateur.

          Enfin j'imagine que ca joue au niveau sécurité :)

          Merci pour toutes vos réponses
          • [^] # Re: Non

            Posté par  . Évalué à 1.


            supposons qu'un utilisateur veuille récupérer son mot de passe sans avoir à en inventer un autre... Il lui ai impossible de le reprendre même en s'adressant à l'administrateur


            voila qui resume bien.
            sauf si l'administrateur et l'utilisateur ne sont pas pressé et qu'ils se lancent dans les procedures decrites plus haut (attaque par dictionnaire, par force brute...)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.