Le cassage de mots de passe est l'action d'obtenir le mot de passe qu'utilise une personne pour s'authentifier à partir d'une forme stockée protégée.Cette activité est l'apanage des professionnels de la sécurité informatique, principalement pour :
- obtenir l'accès des serveurs qui utiliseraient les mêmes mots de passe qu'une autre ressource déjà compromise (Ce n'est pas nécessaire en environnement Microsoft, comme illustré dans [1]) ;
- qualifier la robustesse des mots de passe lors d'un audit.
Dans les deux cas, une méthodologie et des outils de cassage efficaces sont nécessaires. Cet article vous permettra, je l'espère, de choisir les outils (publics) les plus adaptés et de les utiliser efficacement.
Qu'en est-il du compromis temps mémoire ? Cette appellation désigne une méthode permettant de pré-calculer une grande quantité de hashes de mots de passe et de les stocker efficacement. La plus populaire de ces méthodes est nommée « rainbow tables », pour laquelle les deux programmes phares sont RainbowCrack et Ophcrack. Pour qu'ils fonctionnent, il est donc nécessaire de générer des tables, de préférence sur plusieurs machines en parallèle, pendant une longue période (il est également possible d'acheter des tables pré-générées). Cette méthode, bien que donnant d'excellents résultats contre les mots de passe de type LM-hash, n'est en pratique utilisable que contre les mots de passe courts (7 ou 8 caractères, 6 s'ils incluent des caractères spéciaux) hachés sans sel. Des deux outils, Ophcrack est supérieur (plus rapide, gestion des accents,...), tandis que RainbowCrack est plus populaire.
1. Les bases
1.1 Anatomie d'un mot de passe
Dans cet...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
