Testez votre force de mot de passe avec le même outil utilisé par les pirates

Testez votre force de mot de passe avec le même outil utilisé par les pirates / les fenêtres

Votre mot de passe est-il sécurisé? Nous avons tous entendu beaucoup de conseils sur les types de mots de passe que vous ne devriez jamais choisir - et il existe différents outils qui prétendent évaluer la sécurité de votre mot de passe en ligne. Mettez vos mots de passe à rude épreuve avec ces cinq outils de détermination de la force du mot de passe Mettez vos mots de passe Tout au long du test de fissure avec ces cinq outils de résistance du mot de passe Nous avons tous lu un bon nombre de questions sur la façon de déchiffrer un mot de passe. Il est prudent de dire que la plupart d'entre eux ont des objectifs néfastes plutôt que curieux. Violer des mots de passe… Lire la suite. Cependant, ceux-ci ne peuvent être que douteusement exacts. La seule façon de vraiment tester la sécurité de vos mots de passe est d'essayer de les casser..

Donc, aujourd'hui, nous allons faire exactement cela. Je vais vous montrer comment utiliser un outil que de vrais pirates informatiques utilisent pour déchiffrer des mots de passe et vous indiquer comment l'utiliser pour vérifier les vôtres. Et, si le test échoue, je vais vous montrer comment choisir des mots de passe plus sûrs. volonté braquage.

Configurer Hashcat

L'outil que nous allons utiliser s'appelle Hashcat. Officiellement, il est destiné à la récupération de mot de passe. 6 Outils de récupération de mot de passe gratuits pour Windows 6 Outils de récupération de mot de passe gratuits pour Windows En savoir plus, mais dans la pratique, cela revient un peu à dire que BitTorrent bat le bloat! Essayez ces clients légers BitTorrent Beat the Bloat! Essayez ces armes légères de clients BitTorrent ne partagent pas les fichiers illégaux. Les gens partagent des fichiers illégaux. Ou, attendez, comment ça se passe encore? Ce que je veux dire, c’est que BitTorrent ne devrait pas être disséqué sur la base de son potentiel de piratage. Lire la suite est destiné à télécharger des fichiers sans copyright. En pratique, il est souvent utilisé par les pirates informatiques qui tentent de casser les mots de passe dérobés sur des serveurs non sécurisés. Ashley Madison Leak No Big Deal? Pensez à nouveau Ashley Madison Leak No Big Deal? Think Again Le site de rencontres en ligne discret Ashley Madison (principalement destiné aux conjoints trompeurs) a été piraté. Cependant, il s'agit d'un problème beaucoup plus grave que celui décrit dans la presse, qui a des conséquences considérables pour la sécurité des utilisateurs. Lire la suite . Comme un effet secondaire, cela en fait un moyen très puissant de tester la sécurité par mot de passe.

Note: ce tutoriel est pour Windows. Ceux d’entre vous qui travaillent sur Linux peuvent visionner la vidéo ci-dessous pour savoir par où commencer..

Vous pouvez obtenir Hashcat à partir de la page Web hashcat.net. Téléchargez et décompressez-le dans votre dossier de téléchargement. Ensuite, nous devrons obtenir des données auxiliaires pour l'outil. Nous allons acquérir une liste de mots, qui est essentiellement une énorme base de données de mots de passe que l'outil peut utiliser comme point de départ, en particulier le jeu de données rockyou.txt. Téléchargez-le et collez-le dans le dossier Hashcat. Assurez-vous qu'il s'appelle 'rockyou.txt'

Nous allons maintenant avoir besoin d'un moyen de générer les hachages. Nous utiliserons WinMD5, un outil gratuit léger qui hache des fichiers spécifiques. Téléchargez-le, décompressez-le et déposez-le dans le répertoire Hashcat. Nous allons créer deux nouveaux fichiers texte: hashes.txt et password.txt. Mettez les deux dans le répertoire Hashcat.

C'est tout! Vous avez terminé.

Une histoire populaire de la guerre des pirates

Avant d’utiliser réellement cette application, parlons un peu de la manière dont les mots de passe sont cassés, et comment nous en sommes arrivés à ce point..

À l'époque historique de l'informatique, il était courant pour les sites Web de stocker les mots de passe des utilisateurs en texte brut. Cela semble avoir du sens. Vous devez vérifier que l'utilisateur a envoyé le mot de passe correct. Une façon évidente de le faire est de conserver une copie des mots de passe dans un petit fichier quelque part et de vérifier le mot de passe soumis par l'utilisateur par rapport à la liste. Facile.

C'était un désastre énorme. Les pirates pourraient accéder au serveur via une tactique sournoise (comme demander poliment), voler la liste de mots de passe, se connecter et voler l'argent de tout le monde. Alors que les chercheurs en sécurité se relevaient de l'épave de cette catastrophe, il était clair que nous devions faire quelque chose de différent. La solution était le hachage.

Pour ceux qui ne sont pas familiers, une fonction de hachage Qu'est-ce que tout ce truc MD5 signifie en réalité [Technologie expliquée] Qu'est-ce que tout ce truc du hachage MD5 signifie réellement [Technologie expliquée] Voici un aperçu complet de MD5, du hachage et d'un petit aperçu des ordinateurs et de la cryptographie . Read More est un morceau de code qui prend un élément d'information et le transforme mathématiquement en un morceau de charabia de longueur fixe. Ceci est appelé "hachage" des données. Ce qui est bien chez eux, c’est qu’ils ne vont que dans un sens. Il est très facile de prendre une information et de déterminer son hachage unique. Il est très difficile de prendre un hachage et de trouver un élément d’information qui le génère. En fait, si vous utilisez un mot de passe aléatoire, vous devez essayer toutes les combinaisons possibles pour le faire, ce qui est plus ou moins impossible..

Ceux qui suivent à la maison remarqueront peut-être que les hachages ont des propriétés vraiment utiles pour les applications de mots de passe. Maintenant, au lieu de stocker le mot de passe, vous pouvez stocker les hachages des mots de passe. Lorsque vous souhaitez vérifier un mot de passe, vous le hachez, supprimez l'original et comparez-le à la liste des hachages. Les fonctions de hachage donnent toutes les mêmes résultats, vous pouvez donc toujours vérifier qu'elles ont soumis les mots de passe corrects. Surtout, les mots de passe en clair ne sont jamais stockés sur le serveur. Ainsi, lorsque des pirates informatiques attaquent le serveur, ils ne peuvent voler aucun mot de passe, mais uniquement des hachages inutiles. Cela fonctionne raisonnablement bien.

La réponse des hackers à cela a été de passer beaucoup de temps et d’énergie à trouver des moyens très intelligents pour inverser les hachages. Ophcrack - Un outil de piratage de mots de passe pour craquer presque tout mot de passe Windows Ophcrack - Un outil de piratage de mots de passe pour craquer presque tous les mots de passe Windows Beaucoup de raisons différentes pour lesquelles on voudrait utiliser un nombre quelconque d'outils de piratage de mot de passe pour pirater un mot de passe Windows. Lire la suite .

Comment fonctionne Hashcat

Nous pouvons utiliser plusieurs stratégies pour cela. L'un des plus robustes est celui utilisé par Hashcat, qui permet de noter que les utilisateurs ne sont pas très imaginatifs et ont tendance à choisir le même type de mots de passe..

Par exemple, la plupart des mots de passe se composent d’un ou deux mots anglais, de quelques chiffres et peut-être de “parler leet” lettres de remplacement ou capitalisation aléatoire. Parmi les mots choisis, certains sont plus susceptibles que d'autres: "mot de passe", le nom du service, votre nom d'utilisateur et "bonjour" sont tous populaires. Idem noms de compagnie populaires, et l'année en cours.

Sachant cela, vous pouvez commencer à générer des suppositions très plausibles sur ce que différents utilisateurs auraient pu choisir, ce qui devrait (éventuellement) vous permettre de deviner correctement, de casser le hachage et d’avoir accès à leurs identifiants de connexion. Cela ressemble à une stratégie sans espoir, mais souvenez-vous que les ordinateurs sont ridiculement rapides. Un ordinateur moderne peut essayer des millions de suppositions par seconde.

C'est ce que nous allons faire aujourd'hui. Nous allons faire semblant que vos mots de passe se trouvent dans une liste de hachage entre les mains d'un pirate informatique malveillant et utiliser le même outil de piratage de hachage que les pirates informatiques utilisent sur eux. Pensez-y comme un exercice d'incendie pour votre sécurité en ligne. Voyons comment ça se passe!

Comment utiliser Hashcat

Premièrement, nous devons générer les hachages. Ouvrez WinMD5 et votre fichier 'password.txt' (dans le bloc-notes). Entrez l'un de vos mots de passe (un seul). Enregistrez le fichier. Ouvrez-le avec WinMD5. Vous verrez une petite boîte contenant le hachage du fichier. Copiez-le dans votre fichier 'hashes.txt' et enregistrez-le. Répétez cette opération en ajoutant chaque fichier à une nouvelle ligne du fichier 'hashes.txt', jusqu'à ce que vous obteniez un hachage pour chaque mot de passe que vous utilisez régulièrement. Ensuite, juste pour le plaisir, mettez le caractère 'mot de passe' à la dernière ligne..

Il convient de noter ici que MD5 n’est pas un très bon format pour stocker les hachages de mots de passe. Il est assez rapide à calculer, ce qui rend le forçage brutal plus viable. Puisque nous faisons des tests destructifs, c'est en fait un avantage pour nous. Dans le cas d'une fuite de mot de passe réelle, nos mots de passe seraient hachés avec Scrypt ou une autre fonction de hachage sécurisée, plus lente à tester. En utilisant MD5, nous pouvons essentiellement simuler une puissance de traitement et une durée de traitement beaucoup plus longues que celle dont nous disposons actuellement..

Ensuite, assurez-vous que le fichier 'hashes.txt' a été enregistré et ouvrez Windows PowerShell. Accédez au dossier Hashcat (CD… monte d'un niveau, ls liste les fichiers en cours, et cd [nom du fichier] entre un dossier dans le répertoire en cours). Maintenant tapez ./hashcat-cli32.exe -hash-type = 0 -attack-mode = 8 hashes.txt rockyou.txt.

Cette commande dit essentiellement “Exécutez l'application Hashcat. Configurez-le pour qu'il fonctionne sur les hachages MD5 et utilisez un “mode prince” attaque (qui utilise diverses stratégies pour créer des variations sur les mots de la liste). Essayez de casser les entrées dans le fichier 'hashes.txt' et utilisez le fichier 'rockyou.txt' comme dictionnaire..

Appuyez sur Entrée et acceptez le CLUF (qui dit essentiellement “Je jure que je ne vais rien pirater avec ça”), puis laissez-le fonctionner. Le hachage pour le mot de passe devrait apparaître dans une seconde ou deux. Après cela, il ne reste plus qu’à attendre. Les mots de passe faibles apparaîtront en quelques minutes sur un processeur rapide et moderne. Les mots de passe normaux apparaîtront dans quelques heures à un jour ou deux. Les mots de passe forts peuvent prendre très longtemps. Un de mes anciens mots de passe a été cassé en moins de dix minutes.

Vous pouvez laisser courir aussi longtemps que vous le souhaitez. Je suggère au moins une nuit, ou sur votre PC pendant que vous êtes au travail. Si vous le faites 24 heures, votre mot de passe est probablement assez fort pour la plupart des applications - bien que cela ne soit pas une garantie. Les pirates peuvent être disposés à lancer ces attaques pendant longtemps ou avoir accès à une meilleure liste de mots. En cas de doute sur la sécurité de votre mot de passe, procurez-vous un meilleur.

Mon mot de passe a été cassé: maintenant quoi?

Plus que probablement, certains de vos mots de passe n'ont pas tenu. Alors, comment pouvez-vous générer des mots de passe forts pour les remplacer? Il se trouve qu’une technique très puissante (popularisée par xkcd) est la phrase de passe. Ouvrez un livre le plus proche, passez à une page aléatoire et posez votre doigt sur une page. Prenez le nom, le verbe, l'adjectif ou l'adverbe le plus proche et souvenez-vous-en. Quand vous en avez quatre ou cinq, combinez-les sans espaces, chiffres ou majuscules. Ne pas utiliser “correctehorsebatterystaple”. Il est malheureusement devenu populaire en tant que mot de passe et est inclus dans de nombreuses listes de mots..

Un exemple de mot de passe que je viens de générer à partir d’une anthologie de science-fiction assise sur ma table basse est “leanedsomeartisansharmingdarling” (n'utilisez pas celui-ci non plus). C’est beaucoup plus facile à retenir qu’une chaîne arbitraire de lettres et de chiffres, et probablement plus sûr. Les anglophones ont un vocabulaire de travail d’environ 20 000 mots. En conséquence, pour une séquence de cinq mots communs choisis au hasard, il y a 20 000 ^ 5, soit environ trois sextillions de combinaisons possibles. C’est bien au-delà des possibilités d’une attaque par force brute en cours.

En revanche, un mot de passe de huit caractères choisi au hasard serait synthétisé en termes de caractères, avec environ 80 possibilités comprenant les majuscules, les minuscules, les chiffres, les caractères et les espaces. 80 ^ 8 n'est qu'un quadrillion. Cela semble encore grand, mais le briser est en réalité du domaine du possible. Avec dix ordinateurs de bureau haut de gamme (chacun pouvant faire environ dix millions de hachages par seconde), cela pourrait être forcé brutalement dans quelques mois - et la sécurité s'effondrera totalement si ce n'est pas vraiment aléatoire. C'est aussi beaucoup plus difficile à retenir.

Une autre option consiste à utiliser un gestionnaire de mots de passe, qui peut générer des mots de passe sécurisés pour vous à la volée, qui peuvent tous être «déverrouillés» à l'aide d'un seul mot de passe principal. Vous devez toujours choisir un très bon mot de passe principal (et si vous l'oubliez, vous avez des problèmes) - mais si les hashes de votre mot de passe sont divulgués dans une faille de site Web, vous bénéficiez d'une couche de sécurité supplémentaire forte.

Vigilance constante

Une bonne sécurité par mot de passe n’est pas très difficile, mais vous devez être conscient du problème et prendre des mesures pour rester en sécurité. Ce type de test destructif peut être un bon réveil. C'est une chose de savoir, intellectuellement, que vos mots de passe risquent de ne pas être sûrs. C'est une autre de la voir sortir de Hashcat après quelques minutes.

Comment vos mots de passe ont-ils résisté?? Faites le nous savoir dans les commentaires!

Explorez plus sur: Piratage, Sécurité en ligne, Mot de passe.