Journal Solidité des mots de passe ...

• # Re: Solidité des mots de passe ...

  Posté par Kibos le 28 avril 2004 à 16:15. Évalué à 1.

  

  "Dans le but de tester la solidité des mots de passe de mes utilisateurs..."
  
  Mais bien sûr, et la marmotte...

  • [^] # Re: Solidité des mots de passe ...

    Posté par Colin Leroy (site web personnel) le 28 avril 2004 à 16:24. Évalué à 2.

    

    Où est passée la présomption d'innocence !?
    Sérieusement, il y a certainement des admins réseaux, et plus spécialement des admins réseaux débutants, ici...

    • [^] # Re: Solidité des mots de passe ...

      Posté par Kibos le 28 avril 2004 à 16:31. Évalué à 0.

      

      Ben utiliser un cluster pour "vérifier" des mdp, ça me parait suspect. Je ne juge pas, je dis juste que ça me parait gros (trop gros ?). Maintenant il a peut-être de bonnes raisons qu'il ne donne pas dans son texte.

      • [^] # Re: Solidité des mots de passe ...

        Posté par Colin Leroy (site web personnel) le 28 avril 2004 à 16:41. Évalué à 3.

        

        Oui, ceci dit, s'il a les md5s, qui sont dans /etc/shadow depuis bien longtemps déjà, c'est qu'il est root. Il n'a donc pas vraiment besoin des mots de passe des utilisateurs pour faire un su - user.

        • [^] # Re: Solidité des mots de passe ...

          Posté par Fabien le 28 avril 2004 à 17:27. Évalué à 4.

          

          Ce sont les mots de passe de mon forum, si je voulais vraiment chopper les mots de passe, j'aurai juste ajouter quelques lignes de php pour qu'il les enregistre dans un joli fichier txt. La je veux juste un prog qui me permet de tester la solidité ... faut arreter d'etre parano et voir le mal partout :)

          • [^] # Re: Solidité des mots de passe ...

            Posté par arthurr (site web personnel) le 28 avril 2004 à 17:38. Évalué à -1.

            

            tu vas les vendre a qui les mots de passe apres ???
            
            oh la belle porte ! -> []

            • [^] # Re: Solidité des mots de passe ...

              Posté par Fabien le 28 avril 2004 à 17:46. Évalué à 1.

              

              Je sais pas encore, pourquoi tu en veux ? c'est du bon, tout frais

• # Use PAM

  Posté par schyzomarijks le 28 avril 2004 à 16:17. Évalué à -1.

  

  Le plus simple n'est-il pas de configurer convenablement le module d'authentification PAM ?
  
  http://www.freebsd.org/doc/fr_FR.ISO8859-1/articles/pam/(...)
  
  http://www.google.fr/search?hl=fr&ie=UTF-8&oe=UTF-8&c2c(...)
  
  Ca éviterais ce gaspillage d'energie.

• # Re: Solidité des mots de passe ...

  Posté par Pascal Terjan le 28 avril 2004 à 16:23. Évalué à 4.

  

  Essayes deja les dicos avec john

  • [^] # Re: Solidité des mots de passe ...

    Posté par Nicolas Ternisien le 28 avril 2004 à 16:33. Évalué à -1.

    

    ca ne marche pas, john n'est pas capable de coder en md5, et ne m'apportez pas le readme de john dans la tête, car le md5 de john n'est pas celui utilisé par md5sum, md5 de php...

    Forum Software Reviews: Comparez et testez les logiciels de forums Internet!

    • [^] # Re: Solidité des mots de passe ...

      Posté par Lawrence P. Waterhouse le 28 avril 2004 à 16:43. Évalué à 1.

      

      Le md5 c'est un md5. Point. L'algo est le même quelle que soit l'implémentation. Si deux fonctions 'md5' ne te donnent pas le même résultat pour la même entrée, c'est que l'une des deux (au moins) n'est pas md5.
      
      L'algo : http://fr.wikipedia.org/wiki/MD5(...)
      
      L'implémentation en C : http://www.logic-net.ch/~fpollet/dat/md5/md5.c(...)

      • [^] # Re: Solidité des mots de passe ...

        Posté par Nicolas Ternisien le 28 avril 2004 à 17:05. Évalué à 1.

        

        ou mais il y a une différence entre le md5 de bsd et les autres, et je ne me rappelle plu ou j'ai vu cela.
        
        En tout cas, impossible de décrypter du md5 de php avec john...

        Forum Software Reviews: Comparez et testez les logiciels de forums Internet!

      • [^] # Re: Solidité des mots de passe ...

        Posté par laurentb le 28 avril 2004 à 19:29. Évalué à 0.

        

        Si deux fonctions 'md5' ne te donnent pas le même résultat pour la même entrée, c'est que l'une des deux (au moins) n'est pas md5.
        
        Moi j'ai encore plus fort, une fonction soi-disant md5 qui ne donne jamais le même résultat pour un même mot de passe : celle qui est implémentée dans GRUB.
        Petite démo (je mets le même mot de passe, 'toto', lors des deux appels) :
        
        [laurent@sesame laurent]$ /usr/sbin/grub-md5-crypt
        Password:
        Retype password:
        $1$1Ey/L0$g.kESEVGNU6KZrwUguxGt.
        [laurent@sesame laurent]$ /usr/sbin/grub-md5-crypt
        Password:
        Retype password:
        $1$TFy/L0$kNvxodQWiKSZYdxN0g3vr/
        
        Si quelqu'un peut m'expliquer ça je lui en serai très reconnaissant, je me suis arraché les cheveux dessus un bon moment avant de renoncer à sécuriser mon grub...

        • [^] # Re: Solidité des mots de passe ...

          Posté par Xarli le 28 avril 2004 à 20:32. Évalué à 2.

          

          Ca vient du "Salt" (sel en français), valeur tirée aléatoirement qui sert justement à rendre beaucoup plus difficile l'attaque par brute-force, en faisant en sorte qu'il existe de multiples version chiffrées d'un secret initial (n passes sont nécessaires pour tester un seul mot issu d'un dictionnaire).
          
          un document que j'ai trouvé en cherchant plus d'explications : http://www.rsasecurity.com/products/bsafe/overview/Article3-PBE.pdf(...)
          
          (désolé, c'est du PDF)

          • [^] # Re: Solidité des mots de passe ...

            Posté par laurentb le 28 avril 2004 à 21:55. Évalué à 1.

            

            Je comprends le principe, c'est intéressant, mais je ne vois toujours pas comment utiliser les mots de passes chiffrés avec GRUB.
            Si je comprends bien, il utilise un grain de sel pour générer le mot de passe chiffré mais n'est pas foutu de s'en souvenir lors de la vérification du mot de passe saisi par l'utilisateur. Quelqu'un l'a déjà fait marcher ?

            • [^] # Re: Solidité des mots de passe ...

              Posté par Alexandre Belloni (site web personnel) le 29 avril 2004 à 00:51. Évalué à 2.

              

              C'est facile :
              
              $1 pour dire que c'est du md5
              
              $salt$ le salt en touré de deux $
              
              et pour finir on met le hash md5 ...
              
              Tu peux essayer avec mkpasswd -Hmd5 -S salt
              
              Y'a rien de sorcier (en passant, sous bsd, si ça commence par $2, c'est du blowfish).

    • [^] # Re: Solidité des mots de passe ...

      Posté par Caeies le 28 avril 2004 à 16:53. Évalué à 3.

      

      Pour que John ne soit pas capable de le faire, c'est que tu n'utilise pas les "salt" des mots de passes et que ton système est "pourri" à la base car 2 utilisateurs ayant le même mot de passe auront le meme md5, pas top top ...
      
      M'enfin, je dis ça hein ... juste au cas où :)
      
      John doit être capable de le faire en modifiant les sources légérements (string '\0' pour le salt je pense.
      
      Caeies

  • [^] # Re: Solidité des mots de passe ...

    Posté par Damien Pobel (site web personnel) le 28 avril 2004 à 16:33. Évalué à 3.

    

    je me permet de préciser un peu : John The Ripper http://www.openwall.com/john/(...) avec les modes single (permutation simple et autre truc débile à partir des infos du /etc/passwd) et modes wordlist (dictionnaire) dans la bonne langue donne déjà les mots de passe vraiment pourri...

    https://damien.pobel.fr

    • [^] # Re: Solidité des mots de passe ...

      Posté par Pascal Terjan le 28 avril 2004 à 16:47. Évalué à 1.

      

      Euh oui en effet j'ai été un peu rapide dans la rédaction du commentaire. Merci pour ces détails.

    • [^] # Re: Solidité des mots de passe ...

      Posté par kesako le 28 avril 2004 à 16:50. Évalué à 1.

      

      les dicos ne sont pas gratuits. On fait comment ?

      • [^] # Re: Solidité des mots de passe ...

        Posté par Damien Pobel (site web personnel) le 28 avril 2004 à 16:56. Évalué à 2.

        

        si si tu peux en trouver des tas...
        
        apt-cache search wordlist
        
        ou google :)

        https://damien.pobel.fr

      • [^] # Re: Solidité des mots de passe ...

        Posté par Pascal Terjan le 28 avril 2004 à 16:56. Évalué à 2.

        

        ftp://ftp.spb.ru.openwall.com/pub/wordlists/(...)

• # Re: Solidité des mots de passe ...

  Posté par Axel le 28 avril 2004 à 16:51. Évalué à 2.

  

  Qu est ce que vous en avez à foutre de pourquoi il fait ça etc.
  
  "John the Ripper is a fast password cracker, currently available for many flavors of Unix (11 are officially supported, not counting different architectures), DOS, Win32, BeOS, and OpenVMS. Besides the crypt(3) password hash types most commonly found on various Unix flavors (several DES-based, MD5-based, and Blowfish-based), supported out of the box are Kerberos AFS and Windows NT/2000/XP LM hashes."
  
  Apparement le MD5 est supporté.
  
  Pour du distribué : slurpie
  
  http://www.ussrback.com/docs/distributed/slurpie.tgz(...)
  
  Je n arrive pas à accéder à la homepage:
  http://www.jps.net/coati/archives/slurpie.html(...)
  Le site doit etre mort, tout comme ce soft ne doit pas être à jour.

  • [^] # Re: Solidité des mots de passe ...

    Posté par Fabien le 28 avril 2004 à 17:29. Évalué à 3.

    

    Merci de cette reponse :)
    
    c'est comme pour la censure au niveau des magazines de hack ici, on demande quelque chose relatif à la securité et hop on est un jean kevin en herbe :)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.