En cette période estivale, je vous propose un petit jeu : Mettre à l'épreuve vos mots de passes.
Simple ... rapide serait le mal venu vrai dire, mais ne demandant que peu d'investissement, du moins humain, par contre votre machine risque de bouffer un bon paquet de cycle d'horloge CPU.
Voilà quelques jours que je me suis mit dans la tête de hacker mon fichier shadow, en premier lieu pour voir si ma politique de sécurité était pertinente, et dans un deuxieme temps voir si mon jeu de mot de passe personnel pouvait être considéré comme (je prends des pincettes) "sûr".
En effet, on utilise tous des mots de passe à droite et à gauche (site, forum, ...) pour divers besoins. Et j'avais envie de mettre à l'épreuve ce jeu de mot de passe.
Le soft :
http://www.openwall.com/john/c/john-1.6.tar.gz(...)
(Vous trouverez le guide d'install dans l'archive ...)
Signature :
http://www.openwall.com/john/c/john-1.6.tar.gz.sign(...)
Je pense que ce petit jeu pourra tenter quelques personnes. N'hésitez pas à poster ici vos retours d'expérience...
Vous pouvez trouver un tutorial pour l'installation et l'utilisation de John the ripper à cette url :
http://niconux.free.fr/.(...)
Journal My name is John, John the ripper !
18
août
2005
# I'm secure
Posté par Babelouest (site web personnel) . Évalué à 10.
et me*de...
Je sors là, quelqu'un veut que je lui ramène des trucs ? (lait, clopes...)
----->[]
[^] # Re: I'm secure
Posté par Gof (site web personnel) . Évalué à 3.
[^] # Re: I'm secure
Posté par Christophe Bliard . Évalué à 3.
[^] # Re: I'm secure
Posté par Thomas Maurin (site web personnel) . Évalué à 10.
# Ce soft est très connu
Posté par Nadine . Évalué à 2.
[^] # Re: Ce soft est très connu
Posté par TImaniac (site web personnel) . Évalué à 5.
Il suffit de regarder les procès verbaux accrochés aux murs des universités pour s'apercevoir que la plupart des hackers (ou blaireaux selon le point de vue) ont utilisé cet outil.
[^] # Re: Ce soft est très connu
Posté par tuxyl . Évalué à 6.
# Grande question philosophique
Posté par Thomas Maurin (site web personnel) . Évalué à 1.
[^] # Re: Grande question philosophique
Posté par Slauncha (site web personnel) . Évalué à 3.
A ton aise d'en faire ce que tu veux après ... pour ma part tester la solidité de certains de mes mots de passes.
[^] # Re: Grande question philosophique
Posté par jeff110 . Évalué à 5.
ça permet d'utiliser le compte root sans mots de passe.
[^] # Re: Grande question philosophique
Posté par Slauncha (site web personnel) . Évalué à 3.
Mais bon si tu veux passer incognito, ne pas laisser de trace de ton passage et faire en sorte que la machine soit à nouveau accessible sans éveiller les soupçons, ce n'est pas la meilleure des choses à faire ("enlever le x sur la ligne du mot de passe root dans le fichier /etc/passwd").
[^] # Re: Grande question philosophique
Posté par nicodache . Évalué à 3.
du moins si comme le serveur unix HP de notre école, l'OS n'as pas été mis à jour depuis suffisament longtemps pour que celui-ci ne connaisse ni shadow, ni ssh, ni md5, ni ...
[^] # Re: Grande question philosophique
Posté par Colin Leroy (site web personnel) . Évalué à 2.
[^] # Re: Grande question philosophique
Posté par grumly_gg . Évalué à 4.
Si les utilisateurs sont dans des maps NIS...
$ ypcat passwd
[^] # Re: Grande question philosophique
Posté par Pooly (site web personnel) . Évalué à 0.
# Et aloooors?
Posté par Lol Zimmerli (site web personnel, Mastodon) . Évalué à 2.
La gelée de coings est une chose à ne pas avaler de travers.
[^] # Re: Et aloooors?
Posté par Slauncha (site web personnel) . Évalué à 4.
# trop gros
Posté par Pierre . Évalué à -2.
Et le lien pointe sur ton site, le soft demande ton mot de passe pour voir si il le arrive a le cracker..
Ca prends pas..
# mdp de forums,...
Posté par Krunch (site web personnel) . Évalué à 4.
http://lasecwww.epfl.ch/php_code/publications/search.php?ref=Oech04(...)
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# Petite(s) question(s)...
Posté par Guillaume Ceccarelli . Évalué à 2.
- Encore plus fort : est-il possible de sauvegarder l'état de l'avancement à un instant t et de reprendre le crack plus tard histoire de pouvoir jouer à doom3 de temps en temps?
- Encore plus que plus fort : est il possible d'interrompre un john distribué et de le reprendre sur une seule machine puis réinterrompre pour reprendre le crack? (Genre : J'ai un portable + un fixe. Quand j'ai accès aux deux, je met les deux dessus. Quand je n'ai que mon portable, mon portable bosse dessus, etc.)
PS : Pour le mien, john risque de mettre du temps ;-)
[^] # Re: Petite(s) question(s)...
Posté par Pooly (site web personnel) . Évalué à 2.
[^] # Re: Petite(s) question(s)...
Posté par tuxyl . Évalué à 1.
Par contre le site du projet n'est pas (plus?) accessible mais on peut quand telecharger l'archive ici :
http://www.packetstormsecurity.org/Crackers/indexdate.html(...)
[^] # Re: Petite(s) question(s)...
Posté par Krunch (site web personnel) . Évalué à 2.
oui
pas vraiment
Pour une utilisation "cluster" (ou multi processeur, c'est pareil), il y a un exemple à la fin du fichier de conf d'exemple mais c'est pas super flexible. D'après le README il y a un projet séparé pour ça mais j'ai rien trouvé (ya bien un distributed john mais ça a l'air un peu mort).
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# L'alternative
Posté par Raoul Volfoni (site web personnel) . Évalué à 6.
La recherche d'un mot de passe à partir du hash ne prend que quelques secondes/minutes (en fonction de la quantité de Ram dispo).
Evidémment, ces tables (certaines font plusieurs Go) ne sont calculées que sur certains jeux de caractères et pour une longueur maximum donnée. Celà permet de savoir à l'avance si son mot de passe est 'crackable' ou pas.
On peut aussi essayer un des sites en ligne (longue file d'attente en général) qui permet de poster son hash et de voir par la suite si le mot de passe a été trouvé ou pas: http://passcracking.com(...)
A noter que ces tables sont dispos en torrent pour ceux qui sont interessés: http://rainbowtables.shmoo.com/(...)
Bref le seul cas où John est encore interessant, c'est lorsque la longueur du mot de passe est supérieure à celle utilisée dans les tables. En ce cas, seul la force brute permet de récupérer un mot de passe à partir du hash (avec utilisation de dictionnaires et de recherche hybride pour augmenter l'efficacité). Ceci permet de savoir approximativement combien de temps un mot de passe peut 'tenir' et d'en déduire sa politique de sécurité sur leur longueur et leur complexité.
A voir également pour ceux qui sont interressés par le sujet:
http://www.antsight.com/zsl/rainbowcrack/(...)
http://www.rainbowtables.net/(...)
ps: je me suis déjà amusé à ce genre de jeux pour tester certains mots de passe root: avec un minimum de 16 caractères en combinant les caractères ascii peu utilisés (#~¤{^ etc. jamais aucun mot de passe n'a été trouvé.
[^] # Re: L'alternative
Posté par Jimmy . Évalué à 5.
Par exemple, si le mdp est "toto1234xyz", on se logge sans pb avec "toto1234".
A votre avis, l'admin est au courant ?
[^] # Re: L'alternative
Posté par sk . Évalué à 3.
Si les comptes utilisateurs sont sur un NIS actuellement, le problème est le même...
La version GNU a apporté une amélioration à cet algorithme, sous le nom de md5crypt. Basiquement, ca remplace DES par un hachage MD5 (et au niveau solidité, il n'y a pas photo).
J'ai pu constater aussi sur une SuSE que le mot de passe root pouvait être chiffré en blowfish.
[^] # Re: L'alternative
Posté par Krunch (site web personnel) . Évalué à 3.
Encore perdu. Quand le mdp est conservé avec un hash "salé" (comme les mdp unix), la méthode des rainbow tables n'est pas pratique (c'est d'ailleurs expliquée dans la version française du papier).
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: L'alternative
Posté par TilK . Évalué à 4.
Pour ceux qui veulent tester ce système : http://passcracking.com/ on a juste à donner le md5 et ce système essaie de retrouver un ensemble de lettres ayant le même hash. Pour info, ce système permet de retrouver 99.56% des mot de passe de moins de 8 caractères minuscules et/ou chiffres. La taille totale des tables est de 47.6 Go (sic !).
Sinon pour revenir au sujet initial, je conseille aux personnes voulant tester leur mdp d'utiliser un autre dictionnaire que celui proposé par défaut dont John, car il est basé sur des mdp anglo saxons. Après plusieurs expériences, je trouve que ce qui est le plus rapide est un gros dico contenant tous les mots de la langue francaise + une liste de prénoms courants + 'titi', 'tata' et 'toto' (y a des boulets souvent). Les premières phases d'analyses seront beaucoup plus longues, mais elles restent plus efficaces que la force brute. On fini donc par y gagner.
Manque plus qu'un bon tutorial expliquant comment forger un mdp sur et facile à retenir :)
[^] # Re: L'alternative
Posté par Krunch (site web personnel) . Évalué à 3.
http://psynch.com/docs/choosing-good-passwords.html(...)
http://www.linux.ie/articles/choosingagoodpassword/(...)
http://www.xml-dev.com/blog/?action=viewtopic&id=122(...)
générateurs de (bons) mots de passe plus ou moins faciles à retenir
http://sourceforge.net/projects/pwgen/(...)
http://www.adel.nursat.kz/apg/(...)
et $(apt-cache search password generat)
Et pour les dictionnaires francophones, il y en a sur le site de john.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: L'alternative
Posté par Loïs Taulelle ࿋ (site web personnel) . Évalué à 1.
Non, apt-get install apg, tout simplement ;o)
ensuite, un petit "alias apg='apg -a 1 -M sNCL -n 8 -x 18 -m 12' "
dans le $SHELL.rc et tu pioche.
Proverbe Alien : Sauvez la terre ? Mangez des humains !
[^] # Re: L'alternative
Posté par gnujsa . Évalué à 5.
[...]
$(apt-cache search password generat »
« Non, apt-get install apg, tout simplement ;o)
ensuite, un petit "alias apg='apg -a 1 -M sNCL -n 8 -x 18 -m 12' "
dans le $SHELL.rc et tu pioche.»
$ apg -a 1 -M sNCL -n 8 -x 18 -m 12
c"#&.P:uR3Y,5JUV>
%*o~?X2U&AWV.?\
*G4DJnLiLRL@qi(5%
HURS(`MQ\*=v<E5C
x?zhT3$mVv!*rjXK.Q
m=`ZC:()UrPVu"7}j
(n7k95KS2Tbi46)c
)V~=7x.q5RM&*j
Ah, c'est cool, c'est vachement facile à retenir ;-)
[^] # Re: L'alternative
Posté par rangzen (site web personnel) . Évalué à 2.
PyShaPass : https://gna.org/projects/pyshapass(...)
et la démo en ligne de la partie web : http://l-homme.net/pyshapass/pyshapass_cgi.py(...)
[^] # Re: L'alternative
Posté par Matthieu Weber . Évalué à 2.
http://world.std.com/~reinhold/diceware.html(...)
et http://www.mit.jyu.fi/mweber/software/diceware/francais.ps(...) pour une liste de mots français (et un journal de votre serviteur à ce propos http://linuxfr.org/~mweber/15155.html(...) )
[^] # Re: L'alternative
Posté par Raoul Volfoni (site web personnel) . Évalué à 4.
Tu as peut-être raison, j'avoue ne pas m'être penché plus que celà sur la possibilité d'inclure dans les tables les 4096 nouvelles possibilitées induites par le sel. Mais il faut aussi savoir que le sel est en clair dans le fichier shadow et celà peut éventuellement aider. (je ne suis jamais rentré dans les détails de l'utilisation des rainbow tables)
Sinon voici une info pour ceux qui ne connaissent pas exactement le contenu du fichier shadow en détail:
jean-kevin:$1$6rWx5rdD$ik6K3LFTTZRO8wt4FvIj6.:12850:0:99999:7:::
Les champs sont séparés par le caractère ':' (Cf man shadow) mais à l'intérieur du mot de passe il existe également plusieurs champs séparés pas le caractère '$'. Le 1er indique l'algo de hash (1->md5, 2a->blowfish) le second est le sel (6rWx5rdD) et le 3ème l'empreinte du mot de passe (ik6K3LFTTZRO8wt4FvIj6.)
Voilà, pour plus d'infos on peut toujours lire le source.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.