Dans le but de tester la solidité des mots de passe de mes utilisateurs, je recherche un programme qui permettrait de faire des brute force sur des hash MD5 comme mdcrack. mdcrack ferait l'affaire mais il ne gère pas le clustering (je dois surement faire un abus de langage la, disont de la distribution du travail sur plusieurs postes ;) ).
Donc je recherche soit un logiciel permettant de faire cela ou tout autre méthode permettant de tester cette solidité de manière la plus rapide possible.
J'ai demander aux utilisateurs de respecter certaines règles de base concernant le choix de mot de passe (longueur, variété des caractères) mais je doute fortement que tous aient appliqués les conseils :)
Journal Solidité des mots de passe ...
28
avr.
2004
# Re: Solidité des mots de passe ...
Posté par Kibos . Évalué à 1.
Mais bien sûr, et la marmotte...
[^] # Re: Solidité des mots de passe ...
Posté par Colin Leroy (site web personnel) . Évalué à 2.
Sérieusement, il y a certainement des admins réseaux, et plus spécialement des admins réseaux débutants, ici...
[^] # Re: Solidité des mots de passe ...
Posté par Kibos . Évalué à 0.
[^] # Re: Solidité des mots de passe ...
Posté par Colin Leroy (site web personnel) . Évalué à 3.
[^] # Re: Solidité des mots de passe ...
Posté par Fabien . Évalué à 4.
[^] # Re: Solidité des mots de passe ...
Posté par arthurr (site web personnel) . Évalué à -1.
oh la belle porte ! -> []
[^] # Re: Solidité des mots de passe ...
Posté par Fabien . Évalué à 1.
# Use PAM
Posté par schyzomarijks . Évalué à -1.
http://www.freebsd.org/doc/fr_FR.ISO8859-1/articles/pam/(...)
http://www.google.fr/search?hl=fr&ie=UTF-8&oe=UTF-8&c2c(...)
Ca éviterais ce gaspillage d'energie.
# Re: Solidité des mots de passe ...
Posté par Pascal Terjan (site web personnel) . Évalué à 4.
[^] # Re: Solidité des mots de passe ...
Posté par Nicolas Ternisien (site web personnel) . Évalué à -1.
Forum Software Reviews: Comparez et testez les logiciels de forums Internet!
[^] # Re: Solidité des mots de passe ...
Posté par Lawrence P. Waterhouse (site web personnel) . Évalué à 1.
L'algo : http://fr.wikipedia.org/wiki/MD5(...)
L'implémentation en C : http://www.logic-net.ch/~fpollet/dat/md5/md5.c(...)
[^] # Re: Solidité des mots de passe ...
Posté par Nicolas Ternisien (site web personnel) . Évalué à 1.
En tout cas, impossible de décrypter du md5 de php avec john...
Forum Software Reviews: Comparez et testez les logiciels de forums Internet!
[^] # Re: Solidité des mots de passe ...
Posté par laurentb . Évalué à 0.
Moi j'ai encore plus fort, une fonction soi-disant md5 qui ne donne jamais le même résultat pour un même mot de passe : celle qui est implémentée dans GRUB.
Petite démo (je mets le même mot de passe, 'toto', lors des deux appels) :
[laurent@sesame laurent]$ /usr/sbin/grub-md5-crypt
Password:
Retype password:
$1$1Ey/L0$g.kESEVGNU6KZrwUguxGt.
[laurent@sesame laurent]$ /usr/sbin/grub-md5-crypt
Password:
Retype password:
$1$TFy/L0$kNvxodQWiKSZYdxN0g3vr/
Si quelqu'un peut m'expliquer ça je lui en serai très reconnaissant, je me suis arraché les cheveux dessus un bon moment avant de renoncer à sécuriser mon grub...
[^] # Re: Solidité des mots de passe ...
Posté par Xarli (site web personnel) . Évalué à 2.
un document que j'ai trouvé en cherchant plus d'explications : http://www.rsasecurity.com/products/bsafe/overview/Article3-PBE.pdf(...)
(désolé, c'est du PDF)
[^] # Re: Solidité des mots de passe ...
Posté par laurentb . Évalué à 1.
Si je comprends bien, il utilise un grain de sel pour générer le mot de passe chiffré mais n'est pas foutu de s'en souvenir lors de la vérification du mot de passe saisi par l'utilisateur. Quelqu'un l'a déjà fait marcher ?
[^] # Re: Solidité des mots de passe ...
Posté par Alexandre Belloni (site web personnel) . Évalué à 2.
$1 pour dire que c'est du md5
$salt$ le salt en touré de deux $
et pour finir on met le hash md5 ...
Tu peux essayer avec mkpasswd -Hmd5 -S salt
Y'a rien de sorcier (en passant, sous bsd, si ça commence par $2, c'est du blowfish).
[^] # Re: Solidité des mots de passe ...
Posté par Caeies . Évalué à 3.
M'enfin, je dis ça hein ... juste au cas où :)
John doit être capable de le faire en modifiant les sources légérements (string '\0' pour le salt je pense.
Caeies
[^] # Re: Solidité des mots de passe ...
Posté par Damien Pobel (site web personnel) . Évalué à 3.
https://damien.pobel.fr
[^] # Re: Solidité des mots de passe ...
Posté par Pascal Terjan (site web personnel) . Évalué à 1.
[^] # Re: Solidité des mots de passe ...
Posté par kesako . Évalué à 1.
[^] # Re: Solidité des mots de passe ...
Posté par Damien Pobel (site web personnel) . Évalué à 2.
apt-cache search wordlist
ou google :)
https://damien.pobel.fr
[^] # Re: Solidité des mots de passe ...
Posté par Pascal Terjan (site web personnel) . Évalué à 2.
# Re: Solidité des mots de passe ...
Posté par Axel . Évalué à 2.
"John the Ripper is a fast password cracker, currently available for many flavors of Unix (11 are officially supported, not counting different architectures), DOS, Win32, BeOS, and OpenVMS. Besides the crypt(3) password hash types most commonly found on various Unix flavors (several DES-based, MD5-based, and Blowfish-based), supported out of the box are Kerberos AFS and Windows NT/2000/XP LM hashes."
Apparement le MD5 est supporté.
Pour du distribué : slurpie
http://www.ussrback.com/docs/distributed/slurpie.tgz(...)
Je n arrive pas à accéder à la homepage:
http://www.jps.net/coati/archives/slurpie.html(...)
Le site doit etre mort, tout comme ce soft ne doit pas être à jour.
[^] # Re: Solidité des mots de passe ...
Posté par Fabien . Évalué à 3.
c'est comme pour la censure au niveau des magazines de hack ici, on demande quelque chose relatif à la securité et hop on est un jean kevin en herbe :)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.