Testez ses mots de passe (avec John the Ripper)

Magazine
Marque
MISC
HS n°
Numéro
1
Mois de parution
octobre 2007


Résumé

Le cassage de mots de passe est l'action d'obtenir le mot de passe qu'utilise une personne pour s'authentifier à partir d'une forme stockée protégée.Cette activité est l'apanage des professionnels de la sécurité informatique, principalement pour :

  • obtenir l'accès des serveurs qui utiliseraient les mêmes mots de passe qu'une autre ressource déjà compromise (Ce n'est pas nécessaire en environnement Microsoft, comme illustré dans [1]) ;
  • qualifier la robustesse des mots de passe lors d'un audit.

Dans les deux cas, une méthodologie et des outils de cassage efficaces sont nécessaires. Cet article vous permettra, je l'espère, de choisir les outils (publics) les plus adaptés et de les utiliser efficacement.


Qu'en est-il du compromis temps mémoire ? Cette appellation désigne une méthode permettant de pré-calculer une grande quantité de hashes de mots de passe et de les stocker efficacement. La plus populaire de ces méthodes est nommée « rainbow tables », pour laquelle les deux programmes phares sont RainbowCrack et Ophcrack. Pour qu'ils fonctionnent, il est donc nécessaire de générer des tables, de préférence sur plusieurs machines en parallèle, pendant une longue période (il est également possible d'acheter des tables pré-générées). Cette méthode, bien que donnant d'excellents résultats contre les mots de passe de type LM-hash, n'est en pratique utilisable que contre les mots de passe courts (7 ou 8 caractères, 6 s'ils incluent des caractères spéciaux) hachés sans sel. Des deux outils, Ophcrack est supérieur (plus rapide, gestion des accents,...), tandis que RainbowCrack est plus populaire.

1. Les bases

1.1 Anatomie d'un mot de passe

Dans cet...

Cet article est réservé aux abonnés. Il vous reste 94% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite