Windows : un mot de passe de huit caractères cassé en quelques heures

Le 10/12/2012 à 09h15

La Caisse d’Epargne, le code c’est 4 chiffres. La GMF c’est 5 chiffres, et ING 6 chiffres.

Peuvent mieux faire…

Le 10/12/2012 à 09h17

XalG a écrit :

J’ai testé plusieurs banque, les versions en ligne ne supportent pas forcément les caractères spéciaux et les longueurs sont souvent limitées… " />

C’est surtout ça qui fait mal ! Combien de site nécessitant un compte et/ouun accès sécurisé bride la mot de passe à 6 caractères ou à un type de caractère uniquement … .

Du coup je peux pas mettre le même mot de passe pour tous mes comptes de l’internet " /> " />

Vincent_H Abonné

Le 10/12/2012 à 09h19

TBirdTheYuri a écrit :

La Caisse d’Epargne, le code c’est 4 chiffres. La GMF c’est 5 chiffres, et ING 6 chiffres.

Peuvent mieux faire…

Et limité à trois essais " />

thiboo

Le 10/12/2012 à 09h21

Belle machine !

Mais pourquoi taper sur Windows ?

Voler un mot de passe Android c’est simple il suffit de regarder le mouvement sur l’écran !

Voler un mot de passe Apple c’est simple il suffit de demander à l’utilisateur !

" />

Snake-Ice

Le 10/12/2012 à 09h21

On a trouvé un ordinateur capable de faire tourner crisis 3 a fond, ça y est " />

seb2411

Le 10/12/2012 à 09h22

Vive le SHA512crypt alors ^^

SFX-ZeuS

Le 10/12/2012 à 09h22

ArnoH a écrit :

Du coup je peux pas mettre le même mot de passe pour tous mes comptes de l’internet " /> " />

Et heureusement pour toi…

Toorist

Le 10/12/2012 à 09h23

D’ailleurs, au dela de ne pas donner son mot de passe, il faut éviter de donner sa taille et les caractères qui le composent.

Si je sais que le mot de passe de la personne que je veut bruteforcer comporte 10 caractères sans caractères spéciaux ni chiffres mais avec des MAJ, ca m’évite d’avoir à tester x milliers de combinaisons (et du coup x dizaines d’heures) " />

the_Grim_Reaper Abonné

Le 10/12/2012 à 09h23

John Shaft a écrit :

13 caractères : Ch0uQu377eS§§ " />

" />" />

Ch0uQu377eS§§ßT1t1@ " />

ActionFighter a écrit :

Là où je bosse, il y a des comptes admin de serveur avec des MDP a 5 caractères " />

Et personne ne s’en soucie, même lorsque tu soulèves le problème " />

j’ai déjà vu pire " />

yvan Abonné

Le 10/12/2012 à 09h26

nirgal76 a écrit :

Pour les comptes, suffit de les bloquer au bout de quelques essais infructueux et c’est mort pour le brute force.

Les miens,, c’est 10 caractères, dont des chiffres, des lettres minuscules et des majuscules.

D’ailleurs celui de 8 caractères de l’article, quelle était sa composition ?

Sauf qu’en local tu as un ash qui permet le bruteforce dès que tu as un accès physique à la machine.

anonyme_bdc0e90c25885d797d2fef7ed258deaa

Le 10/12/2012 à 09h27

Sympa comme machine.

Mais si on demande le blocage du compte après 3 essais infructueux (comme cela se fait égualement sur certains sites qui demandent de renseigner un captcha)^^’

D’autant que comme cité, ce n’est pas du matériel accessible par le commun des mortel.

Et mis à part certains organismes ; Pour la plupart, ce genre de dépenses serait démesurée.

Arf, grillé.

Enfin, cela complique encore pas mal les choses.

Si le pirate doit se faire suer à aller cambrioler pour récupérer un ou des disque (surtout bâtiment sécurisé).

Ca complique grandement les choses.

the_Grim_Reaper Abonné

Le 10/12/2012 à 09h27

Toorist a écrit :

D’ailleurs, au dela de ne pas donner son mot de passe, il faut éviter de donner sa taille et les caractères qui le composent.

Si je sais que le mot de passe de la personne que je veut bruteforcer comporte 10 caractères sans caractères spéciaux ni chiffres mais avec des MAJ, ca m’évite d’avoir à tester x milliers de combinaisons (et du coup x dizaines d’heures) " />

j’ai pas de mot de passe, je suis tout seul chez moi " />

Nan je déconne, j’en ai un, je me fais pas confiance à moi même.

patos Abonné

Le 10/12/2012 à 09h27

Avygeil a écrit :

Bah le mot de passe Windows c’est pas non plus super utile…

Surtout avec l’unification Live / Windows 8 dans le cas où un virus volerait l’oncle SAM.

Wikus

Le 10/12/2012 à 09h28

ArnoH a écrit :

C’est surtout ça qui fait mal ! Combien de site nécessitant un compte et/ouun accès sécurisé bride la mot de passe à 6 caractères ou à un type de caractère uniquement … .

Oui c’est lamentable, surtout quand c’est un FAI/opérateur mobile…

the_Grim_Reaper Abonné

Le 10/12/2012 à 09h29

x689thanatos a écrit :

Sympa comme machine.

Mais si on demande le blocage du compte après 3 essais infructueux (comme cela se fait égualement sur certains sites qui demandent de renseigner un captcha)^^’

D’autant que comme cité, ce n’est pas du matériel accessible par le commun des mortel.

Et mis à part certains organismes ; Pour la plupart, ce genre de dépenses serait démesurée.

Pour le budget une bonne PME peut se le payer.

Les grands groupe style Total ils ont des supercalculateur pour faire du brutforce.

Le petit dernier chez notre amis pétrolier fait 2.6PF.

Avygeil

Le 10/12/2012 à 09h30

patos a écrit :

Surtout avec l’unification Live / Windows 8 dans le cas où un virus volerait l’oncle SAM.

Spa faux.

La seule utilité que j’y vois, c’est que comme la plupart des utilisateurs utilisent le même mdp partout, autant s’attaquer au plus faible.

(perso je préfère des rainbow tables pour les mdp NTLM ^^ )

anonyme_751eb151a3e6ce065481d43bf0d18298

Le 10/12/2012 à 12h37

Commentaire_supprime a écrit :

Tant mieux pour toi, parce que l’application informatique de gestion budgétaire de fonds publics faite par des gens qui n’y connaissent rien en gestion budgétaire de fonds publics, à partir d’un cahier des charges établi par des gens qui n’y connaissent rien en informatique… Ben, on s’en passerait bien tellement ça fonctionne sur deux pattes et demie !

Ils auraient mieux fait de développer une appli maison plutôt que d’adapter des logiciels SAP. Cela aurait au moins aussi bien fonctionné pour un coût moindre…

Je bosse également sur un logiciel d’éditeur américain customisé, et quand je vois le budget depuis le début du projet entre les licences et les consultants hors de prix…

pti_pingu

Le 10/12/2012 à 12h39

letter a écrit :

Ce n’est pas pour rien que dans le monde industriel on conseille de metter des mots de pass admin de 15 charactères avec charactères spéciaux et chiffres répartis aléatoirement.

Rule 1: Si c’est “conseillé”, ce ne sera forcément pas suivi " />

C’est également pour cela qu’on interdit aussi que les mdp soient choisi par des gens et qu’on prend des générateurs codés maison…

Enfin bref, la base de la sécurité de nos jours.

Rule 2: plus la génération de mot de passe dépend d’un processus non-humain, plus la densité de post-it est élevé " />

yoda222

Le 10/12/2012 à 12h39

Suffit de mettre à jour les procédures de sécurité dans les entreprises et passer de :

votre mot de passe doit faire 8 caractères
- dont au moins une lettre et un chiffre
- il doit être changé une fois par mois
  
  à

votre mot de passe doit faire 8 caractères
- dont au moins une lettre et un chiffre
- il doit être changé quatre fois par jour

the_Grim_Reaper Abonné

Le 10/12/2012 à 12h41

ActionFighter a écrit :

" />

Autant pour moi, on est dans le même monde en fait " />

Commentaire_supprime a écrit :

Ah tiens, Chorus, t’y serais pas dedans, par hasard ?

" />" />" />" />" />

V’la le projet bancal avec des boites qui le sont tout autant " />

ActionFighter a écrit :

" />

Je bosse sur un vrai projet qui marche " />

Me dis pas que tu bosses sur 3DS ou le NFC " />

pti_pingu

Le 10/12/2012 à 12h41

yoda222 a écrit :

Suffit de mettre à jour les procédures de sécurité dans les entreprises et passer de :

à

Va falloir déléguer le service maintenance à Téléperformance " />

loic_1715

Le 10/12/2012 à 12h42

letter a écrit :

C’est également pour cela qu’on interdit aussi que les mdp soient choisi par des gens et qu’on prend des générateurs codés maison…

Enfin bref, la base de la sécurité de nos jours.

Mauvaise idée en sécu, utiliser un protocole public et éprouvé est bien plus sûr qu’un protocole maison bricolé on ne sait comment.

riefflat

Le 10/12/2012 à 12h44

Moi mon mot de passe c’est ZzZzZzZz c’est plus long à trouvez Z étant la dernière lettre de l’alphabet. " />

pti_pingu

Le 10/12/2012 à 12h45

riefflat a écrit :

Moi mon mot de passe c’est ZzZzZzZz c’est plus long à trouvez Z étant la dernière lettre de l’alphabet. " />

Moi tout mes mots de passes sont en bas-Araméens " />

the_Grim_Reaper Abonné

Le 10/12/2012 à 12h45

ActionFighter a écrit :

Ils auraient mieux fait de développer une appli maison plutôt que d’adapter des logiciels SAP. Cela aurait au moins aussi bien fonctionné pour un coût moindre…

Je bosse également sur un logiciel d’éditeur américain customisé, et quand je vois le budget depuis le début du projet entre les licences et les consultants hors de prix…

Le soft maison ça dépend qui le pond aussi.

Après y’a la méthode interfacer dans une même appli du maison et du logiciel commercial. C’est imbitable, pas fiable, mal foutu, plantogène au possible, …

Je bosse avec du soft d’un éditeur français et c’est pas pour autant que c’est bien " />

pti_pingu a écrit :

Rule 1: Si c’est “conseillé”, ce ne sera forcément pas suivi " />

Rule 2: plus la génération de mot de passe dépend d’un processus non-humain, plus la densité de post-it est élevé " />

Ta rule 2 ca dépend de l’humain qui pond le MDP.

s’agissant de mon chef ou moi les autres ont besoin d’un post-it alors qu’il y a des moyens pour s’en rappeler.

the_Grim_Reaper Abonné

Le 10/12/2012 à 12h48

pti_pingu a écrit :

Moi tout mes mots de passes sont en bas-Araméens " />

Faut faire comme les ricains pendant la seconde guerre mondiale " />

Utilise le Navajo " /> Par contre faut éviter le Rogers Hannin " />

pti_pingu

Le 10/12/2012 à 12h51

the_Grim_Reaper a écrit :

Faut faire comme les ricains pendant la seconde guerre mondiale " />

Utilise le Navajo " /> Par contre faut éviter le Rogers Hannin " />

" /> " />

anonyme_751eb151a3e6ce065481d43bf0d18298

Le 10/12/2012 à 12h53

the_Grim_Reaper a écrit :

Me dis pas que tu bosses sur 3DS ou le NFC " />

" />

Sur ITIL " />

the_Grim_Reaper a écrit :

Le soft maison ça dépend qui le pond aussi.

C’est pas faux. Mais mon client ne manque pas d’architectes logiciels de très bon niveau. Et il a déjà des applis maison qui tournent parfaitement bien.

the_Grim_Reaper a écrit :

Après y’a la méthode interfacer dans une même appli du maison et du logiciel commercial. C’est imbitable, pas fiable, mal foutu, plantogène au possible, …

Ça va être mon travail dans les mois qui suivent " />

Commentaire_supprime

Le 10/12/2012 à 12h58

ActionFighter a écrit :

Ils auraient mieux fait de développer une appli maison plutôt que d’adapter des logiciels SAP. Cela aurait au moins aussi bien fonctionné pour un coût moindre…

+1 !

Du home-made à base de postgresql (comme Météo-France), ça aurait coûté moins cher et ça serait fonctionnel, avec la possiblité de faire 100 % du dev et de la maintenance en interne.

Mais bon, faites passer un marché public à des Shadoks, vous obtenez Chorus…

Je bosse également sur un logiciel d’éditeur américain customisé, et quand je vois le budget depuis le début du projet entre les licences et les consultants hors de prix…

“consultant hors de prix”, c’est un pléonasme…

" />" />" />" />" />

jimmy_36

Le 10/12/2012 à 12h58

the_Grim_Reaper a écrit :

ça dépend, c’est du PSK ou de l’AES ?

Le PSK des clés WPA/2 a été craqué y’a un peu plus d’un an " />

Pour le moment c’est le WPA2 AES qui est le mieux pour les connexion wifi.

Non attention le WPA2 PSK n’est pas ‘cracké’ litterallement parlant, il est vulnérable sur des clés faibles par une attaque par la force brute. Mais reste inviolé avec des clés correctements générées.

Ce n’est pas le cas du WEP qui lui est complétement cracké, car l’algorithme RC4 sur lequel il repose lui est complètement obsolète, même avec une clé robuste.

Le meilleur protocole pour le wifi est effectivement le WPA2 CCMP ou le padding est correctement fait.

jimmy_36

Le 10/12/2012 à 13h00

doublon

Messenger

Le 10/12/2012 à 13h02

Bon, bon, bon…

Belle machine, mais avec le bon fichier de rainbow on vas beaucoup plus vite. " />

De plus, depuis Windows 2000 l’utilisation de NTLM ne devrait plus être utilisé dans une archi Windows, même s’il à la vie dure dans 90% des IT.

Enfin les Policy de mot de passe par défaut de Windows vont au delà des 8 caractères.

HarmattanBlow

Le 10/12/2012 à 14h29

riefflat a écrit :

ITIL est un ensemble bonne pratique, ce n’est pas une norme " />

De toute façon ça ne vaut pas l’éthyl.

Ok, je sors. ->[]

riefflat

Le 10/12/2012 à 14h34

HarmattanBlow a écrit :

De toute façon ça ne vaut pas l’éthyl.

Ok, je sors. ->[]

Vas y je t’invite " />

anonyme_751eb151a3e6ce065481d43bf0d18298

Le 10/12/2012 à 14h38

riefflat a écrit :

" />

ITIL est un ensemble bonne pratique, ce n’est pas une norme " />

Logiciel basé sur le référentiel ITIL et la norme ISO 20000 si tu préfères " />

" />

yoda222

Le 10/12/2012 à 15h30

h4l a écrit :

des GPUs? c’est moi qui suis mal reveillé ou on voulait dire CPU?

Alors tu as raté un des épisodes récents (mais pas trop) de l’informatique.

AMD a racheté ATI. Donc AMD fait des GPU.

Les GPU sont des processeurs vachement intéressant pour faire du calcul parallèle, en particulier quand il n’y a pas beaucoup de branchement à faire.

the_Grim_Reaper Abonné

Le 10/12/2012 à 15h34

ActionFighter a écrit :

" />

Je bosses sur un logiciel basé sur la norme ITIL.

Moi, ça ne dérange pas pour l’instant. C’est mon premier vrai boulot et je suis payé un bras en tant que consultant " />

donc tu bosses sur du vent " />

Avant t’avais un emploi fictif ? " />

Perso baisse de charge sur mon taf actuel et réorg avec taf qui me convient pas et surtout fin d’un gros projet donc changement d’entourage " />

riefflat a écrit :

" />

ITIL est un ensemble bonne pratique, ce n’est pas une norme " />

" /> " />

ActionFighter a écrit :

Logiciel basé sur le référentiel ITIL et la norme ISO 20000 si tu préfères " />

" />

appel un chat un chat et un shiba inou appel le Harou " />

anonyme_751eb151a3e6ce065481d43bf0d18298

Le 10/12/2012 à 15h47

the_Grim_Reaper a écrit :

donc tu bosses sur du vent " />

Et voilà comment on traites les gens qui se creusent la tête pour améliorer un tant soit peu la gestion des SI.

Pas étonnant qu’il y ai autant de failles de sécurité dans les entreprises

" />

the_Grim_Reaper a écrit :

Avant t’avais un emploi fictif ? " />

En quelque sorte, oui. J’étais étudiant " />

the_Grim_Reaper a écrit :

appel un chat un chat et un shiba inou appel le Harou " />

" />

Ça m’aiderai si mes collègues utilisaient les bons termes…

the_Grim_Reaper Abonné

Le 10/12/2012 à 15h59

ActionFighter a écrit :

Et voilà comment on traites les gens qui se creusent la tête pour améliorer un tant soit peu la gestion des SI.

Pas étonnant qu’il y ai autant de failles de sécurité dans les entreprises

" />

En quelque sorte, oui. J’étais étudiant " />

" />

Ça m’aiderai si mes collègues utilisaient les bons termes…

ITIL c’est pas que la gestion des SI normalement, c’est bien plus vaste que ça.

ITIL et la sécurité ? " />

T’étais un équivalent des petits chinois de chez Foxconn alors ? " />

Franchement, si ils comprennent un temps soit peu ce que tu veux dire c’est déjà bien. et si toi tu les comprends c’est aussi pas mal.

Mon problème est de comprendre et de me faire comprendre par certains de mes actuels collègues.

Quand tu dis “chat” et qu’ils comprennent “stylo bille” ça devient limite.

HarmattanBlow

Le 10/12/2012 à 15h59

the_Grim_Reaper a écrit :

Avant t’avais un emploi fictif ? " />

Tout ça parce qu’il bosse pour la mairie de Paris, quelle médisance.

maxscript

Le 10/12/2012 à 17h18

encore faut il avoir accès à la base locale..

(même si c’est pas forcément le plus compliqué, ça reste un paramètre important)

sinon un bootcd et hop, ça prend 2 min ;)

Wosgien Abonné

Le 10/12/2012 à 19h40

nirgal76 a écrit :

Pour les comptes, suffit de les bloquer au bout de quelques essais infructueux et c’est mort pour le brute force.

Sous VMS, c’est pas mal: le compte et le terminal de connexion peuvent devenir suspects. Quand on est suspect, il peut dire “mauvais mot de passe”, même quand c’est le bon.

Anonyme

Le 10/12/2012 à 20h38

maxscript a écrit :

encore faut il avoir accès à la base locale..

(même si c’est pas forcément le plus compliqué, ça reste un paramètre important)

sinon un bootcd et hop, ça prend 2 min ;)

C’est ce que je me suis demandé en lisant la news, pourquoi s’acharner à brutforce des login windows alors que le mot de passe saute en une minute chrono (d’xp à 7, pas testé sous 8) ?

Si le but est de pouvoir récupérer un mot de passe à distance e récupérant le hash, j’en vois pas non plus l’utilité !

Ou j’ai rien capté à la news ce qui m’étonnerait pas du tout " />

Patch Abonné

Le 10/12/2012 à 22h22

kiliking a écrit :

L’accès admin de pcinpact.com fait combien de caractères ? " />

5 (“admin”) " />

Minikea

Le 10/12/2012 à 22h24

Toini a écrit :

C’est ce que je me suis demandé en lisant la news, pourquoi s’acharner à brutforce des login windows alors que le mot de passe saute en une minute chrono (d’xp à 7, pas testé sous 8) ?

Si le but est de pouvoir récupérer un mot de passe à distance e récupérant le hash, j’en vois pas non plus l’utilité !

Ou j’ai rien capté à la news ce qui m’étonnerait pas du tout " />

bah justement j’ai un client qui vient de me laisser un PC parce qu’il a oublié son mot de passe sur un W8 avec secure boot, et j’en chie pour arriver à lui enlever son mot de passe! au pire, je récupère ses données et j’essaye de lui faire un nouveau compte, mais c’est biaiser!

et pour répondre à ta question: c’est plus un cas d’école, un PoC. mais prend l’exemple d’une fuite de BDD: tu n’as pas accès à la machine physique, juste au hash, donc tu peux juste essayer de casser le hash et retrouver le mot de passe original. et c’est souvent cette méthode qui est utilisée. pas pour un login Windows ceci dit, mais c’était histoire d’avoir des chiffres aussi…

Cacao

Le 10/12/2012 à 23h11

Winderly a écrit :

l’infini

J’ai rencontré ce phénomène incompréhensible (notamment avec ma banque) et je comprend toujours pas par quelle logique extraterrestre on peut en arriver à programmer une telle aberration.

Dans le désordre, j’ai vu :

Le mot de passe tronqué tout simplement (rencontré sur un mmorpg dont je me rappelle plus le nom… ptet bien flyff)

Le mot de passe qui ne passe pas suivant si tu te log sur la page d’accueil ou à un autre endroit. Ce problème, je l’ai eu sous Battlefield 2. Le pass marchais sur le site mais pas dans le jeu à cause d’un problème d’encodage.

Idem qu’au dessus mais là, il marche partout, sauf à un seul endroit. Problème rencontré sur giganews. Le module de VPN (vyprvpn) n’acceptais aucun caractères spéciaux.

J’ai l’habitude de créer des mots de passe de 40 caractères (après tout, vu que j’utilise un log de stockage de pass, pourquoi pas) et du coup, je me retrouve souvent à tomber sur ce genres de limitations imprévues par les développeurs et mon record doit surement être sous Eve Online avec un pass de 65 caractères qui lui passe parfaitement.

Mehcoib

Le 11/12/2012 à 00h15

je vois pas trop le but de précisier “de Windows”. “Un mot de passe de 8 caractères”, cette information est suffisante. Les mots de passe des sessions Windows n’ont pas de réelle fonction de sécurité, sauf si on parle de sessions sensibles telles administrateur et/ou serveur. Mais dans ce cas il suffit de cocher une case pour que ledit compte se bloque au bout d’un nombre restreint d’essais infructueux, et là, le mot de passe peut bien faire 3 caractères, bonne chance pour le trouver en max. 5 essais !! Et 25 ou 25,000 GPU n’y changeront rien.

Winderly

Le 11/12/2012 à 07h32

Cacao a écrit :

et mon record doit surement être sous Eve Online avec un pass de 65 caractères

" />

Cacao a écrit :

(après tout, vu que j’utilise un log de stockage de pass, pourquoi pas)

C’est pas faux.

Vincent_H Abonné

Le 10/12/2012 à 10h08

Eagle1 a écrit :

donc le but c’est de récupérer la méthode d’encodage, puis de récupérer des mots de passe, les décoder pour ensuite avoir le pass en clair ?

En gros oui.

the_Grim_Reaper Abonné

Le 10/12/2012 à 10h08

Zerbus a écrit :

Ah merci neves. Trois pages de commentaires et je viens de comprendre la méthode !

Par contre ça veut dire qu’il faut récupérer le hash, c’est si facile que ça ? Je parle dans un cas général, pas sous windows.

Je dis ça sans trop réfléchir mais si tu arrives à avoir le hash c’est que tu y as accès et tu peux le modifier par ce que tu veux non ? Du moins plus facilement que par bruteforce

avoir accès en lecture sur ce genre de fichier c’est pas avoir accès en écriture hein " />

neves

Le 10/12/2012 à 10h09

Avygeil a écrit :

Ouais bon, si t’as déjà un ver qui te permet d’avoir un accès à distance sur la bécane, récupérer le mdp te sert à rien ^^ (ça veut dire que la session est déjà ouverte et Bitlocker déjà déchiffré).

Comme dit ensuite, le mot de passe en clair a une certaine valeur pour un attaquant, puisqu’il est souvent identique pour d’autres services que la session Windows (webmails par exemple).

Et puis on peut récupérer ce hash sur d’autres stations Windows que celle de l’utilisateur, là où il est connecté (partage smb par exemple).

loic_1715

Le 10/12/2012 à 10h09

D’autre part, le temps de calcul dépend expressément de l’algorithme employé pour chiffrer le mot de passe. Selon Jeremi Gosney, le serveur peut ainsi s’attaquer à 44 autres algorithmes, mais les vitesses de calcul varient : 180 milliards d’essais à la seconde pour le MD5, 63 milliards pour le SHA1 et seulement 364 000 essais par seconde pour le SHA512crypt.

Ce sont des algorithmes de hachages, strictement rien à voir avec un algorithme de chiffrement (qui doit être réversible contrairement à un algo de hachage), grossière erreur.

L3 G33K

Le 10/12/2012 à 10h09

Platoun a écrit :

Ils ont utilisé 95 caractères différents pour leur calcul de 5,5 heures avec 8 caractères (mais il y a aucune démo, juste des calculs théoriques)

http://securityledger.com/new-25-gpu-monster-devours-passwords-in-seconds/

En effet, avec 95 caractères la durée requise est correcte.

sepas

Le 10/12/2012 à 10h10

NeVeS a écrit :

En effet tu n’as pas compris l’article :)

Effectivement, je pensais que c’était une attaque distante " />

NeVeS a écrit :

Avec des droits administrateur tu peux le récupérer sur la machine (ou sur les autres machines Windows où l’utilisateur est connecté), il est en mémoire, et les hackeurs récupèrent cet accès via une faille (dans un navigateur Web par exemple), ou par phishing, ou par un autre compte que celui de l’utilisateur ciblé, etc… Parfois ce n’est pas l’accès à la machine qui compte mais bien le mot de passe lui même, réutilisé par la personne à d’autres endroits, d’où le bruteforce du hash.

Oui mais ça demande donc un accès administrateur, ce n’est plus du hack.

Et dans ce cas, qu’on mette 5h ou 5 jours, ça ne va pas changer beaucoup.

Ensuite, effectivement, si il y a une faille, on peut tout imaginer, key logger, ou même vols des infos directement sans avoir besoin de cracker les mot de passe.

Je dois être fatigué, je pensais que c’était du brut force à distance

Winderly

Le 10/12/2012 à 10h15

Snake-Ice a écrit :

On a trouvé un ordinateur capable de faire tourner crisis 3 a fond, ça y est " />

" />

Angelus69

Le 10/12/2012 à 10h15

" />

L3 G33K

Le 10/12/2012 à 10h15

the_Grim_Reaper a écrit :

avoir accès en lecture sur ce genre de fichier c’est pas avoir accès en écriture hein " />

Et pour un pirate, modifier le mot de passe pour entrer dans le réseau implique que l’utilisateur va se rendre compte rapidement que son mot de passe ne fonctionne plus, qu’il va contacter son administrateur et que l’intrusion sera alors probablement détectée.

S’il ne fait que découvrir le mot de passe, le fonctionnement interne de l’entreprise visée n’est pas affectée, et le pirate peut rester potentiellement plus longtemps connecté avant que l’intrusion ne soit remarquée.

neves

Le 10/12/2012 à 10h15

Zerbus a écrit :

Par contre ça veut dire qu’il faut récupérer le hash, c’est si facile que ça ? Je parle dans un cas général, pas sous windows.

Ça nécessite très souvent (toujours ?) d’avoir des droits administratifs sur une machine (mais pas forcement celle de l’utilisateur ciblé). Après il y a plein d’autres techniques comme celles basées sur l’interception réseau (et la modification d’un challenge à la volée par exemple) mais ce n’est pas directement le hash NTLM qui circule sur le réseau, dans le cas de Windows. Y’a tellement de méthodes d’authentification différentes qu’il est impossible de généraliser.

Zerbus a écrit :

Je dis ça sans trop réfléchir mais si tu arrives à avoir le hash c’est que tu y as accès et tu peux le modifier par ce que tu veux non ? Du moins plus facilement que par bruteforce

Ici je parlais de la récupération du hash en mémoire, qui est en effet modifiable dans une session Windows (avec l’outils Windows Credentials Editor par exemple). Mais ce n’est pas le but de l’attaquant, qui veut au final avoir le mot de passe en clair pour pouvoir le rejouer ailleurs.

metaphore54

Le 10/12/2012 à 10h19

M’en fous, j’utilise 17 caractères. " />" />" />" />

Winderly

Le 10/12/2012 à 10h19

Cacao a écrit :

Ya pire. Et je l’ai déjà rencontré plusieurs fois :

Le site qui accepte ton mot de passe de 15 caractères mais qui a “je ne sais fait quoi avec” et du coup, celui-ci ne marche pas au login.

l’infini

J’ai rencontré ce phénomène incompréhensible (notamment avec ma banque) et je comprend toujours pas par quelle logique extraterrestre on peut en arriver à programmer une telle aberration.

L3 G33K

Le 10/12/2012 à 10h20

Sinon je viens de calculer le nombre de combinaisons possibles pour ma clé WPA2 : 2.28E128

Je suis tranquille pour un bon moment " />

coket

Le 10/12/2012 à 11h17

XalG a écrit :

Rien ne t’empêche de tester 3 essais sur N comptes.

Et les caractères qui changent, ça doit pouvoir être gérable " />

oui, si ta machine sait se servir d’une souris " />

L3 G33K

Le 10/12/2012 à 11h18

La clé RIB n’est pas forcément utilisée pour se connecter.

D’ailleurs il ne s’agit parfois pas du numéro de compte, mais d’un numéro de client.

XalG

Le 10/12/2012 à 11h20

coket a écrit :

oui, si ta machine sait se servir d’une souris " />

Hum, ma machine utilise assez souvent ma souris, très pratique d’ailleurs !

the_Grim_Reaper Abonné

Le 10/12/2012 à 11h25

Platoun a écrit :

Tu confonds TKIP et PSK.

" /> Yep, gourage entr eles deux.

metaphore54 a écrit :

Merci, car j’aurais mis les 2 me connaissant en croyant que c’est plus sécurisé. " />

" />

coket

Le 10/12/2012 à 11h26

TBirdTheYuri a écrit :

La clé RIB n’est pas forcément utilisée pour se connecter.

D’ailleurs il ne s’agit parfois pas du numéro de compte, mais d’un numéro de client.

Je ne connais pas ce système, mais c’est fort probable. Ca a un avantage puisqu’il est possible de rajouter des caractères alpha.

Youka

Le 10/12/2012 à 11h34

zogG a écrit :

Des millions de milliards de tentatives d’identifications. La machine est HS en quelques secondes non?

Donc la il test comment ? il a un mdp en clair et sa version hashé ? et il mesure le temps que met sa machine pour trouver le mdp d’origine à partir du hash ?

Je pense qu’il a juste récupéré les fichiers du compte utilisateur et qu’ils les a soumis à sa machine.

J’avais fait pareil pour casser un compte Windows XP Dans le temps.

Un ami de la famille qui avait oublié le MDP de son pc portable professionnel dont il ne se servait jamais.

Il avait suffit de récupérer le fichier SAM en démontant le HDD puis de le soumettre à un brute force de quelques heures sur mon pc pour en ressortir un mot de passe de 8 caractères tout naze, du genre mali2004 ou apparenté.

anonyme_751eb151a3e6ce065481d43bf0d18298

Le 10/12/2012 à 11h38

the_Grim_Reaper a écrit :

j’ai déjà vu pire " />

Je n’en doute pas. Seulement, l’administration où je bosse, c’est dans le milieu bancaire, et elle a déjà fait les titres de news PCI il y a pas longtemps pour des problèmes de piratage…

Hebus25 a écrit :

admin ?

" />

Pas à ce point là " />

the_Grim_Reaper Abonné

Le 10/12/2012 à 11h51

ActionFighter a écrit :

Je n’en doute pas. Seulement, l’administration où je bosse, c’est dans le milieu bancaire, et elle a déjà fait les titres de news PCI il y a pas longtemps pour des problèmes de piratage…

" />

Pas à ce point là " />

je bosses en partenariat avec le milieu dans lequel tu ne bosses pas " />

On trouve de ces trucs des fois " />

HarmattanBlow

Le 10/12/2012 à 11h57

Gericoz a écrit :

Personnellement je suis adepte du mot de passe phrase, c’est long, complexe (si on rajoute de la ponctuation) et facile à retenir.

C’est sujet à débat. En effet, dans une phrase tu peux déjà enlever tout ce qui relève d’une logique prévisible : usage des déterminants et autres (peu de combinaisons possibles à chaque fois), conjugaisons, accords, etc. Partant de là, la phrase “le chat aime la chaleur et craint l’eau”, se réduit finalement à peu près à “chat aimer chaleur craindre eau”, soit cinq symboles parmi un dictionnaire de 5000 (nb moyens de mots connus par un adulte), avec une forte prédilection pour les 500 ou 1000 mots les plus fréquents.

Dans la phrase que j’ai pris en exemple nous avons donc cinq mots piochés parmi les 500 plus fréquents, soit 500^5, une complexité équivalent à celle d’un mdp varié de 7 caractères (80^7). Et si l’on ajoute à ça que les chaînes de Markov fonctionnent bien mieux avec des mots qu’avec des caractères (chat est souvent associé à eau, mignon, petit, etc)…

anonyme_751eb151a3e6ce065481d43bf0d18298

Le 10/12/2012 à 11h57

the_Grim_Reaper a écrit :

je bosses en partenariat avec le milieu dans lequel tu ne bosses pas " />

On trouve de ces trucs des fois " />

" />

anonyme_95bde7ad91b4483068f10094cf1c28ca

Le 10/12/2012 à 12h04

Pour les sites en ligne, ce genre de test est irréalisable vu la vitesse car soit le serveur tomberait soit ce serait interprété comme un DDOS

neves

Le 10/12/2012 à 12h13

sepas a écrit :

J’ai pris 5 jours au hasard mais quelquesoit l’algo, tu arriveras à tout passer.

Au bout d’un moment, tu auras le résultat.

Non, justement, et c’est plutôt le contraire. Sauf si tu considère plusieurs millions d’années comme une durée valide :)

sepas a écrit :

Ce qui va jouer, ce sont les moyens que tu mettras en face pour y arriver.

J’insiste car je ne voudrais pas que certains se croient en sécurité avec un type d’algo, c’est juste les moyens en face qui seront plus important, ou le temps de découverte qui sera plus long

Et pourtant, aujourd’hui, avec un algo plus fort que NTLM tu es logiquement plus en sécurité, c’est un fait. La sécurité n’est pas figée, elle évolue avec le temps, on ne peut donc donner des conseils qu’à partir de ce qu’on connait aujourd’hui. Tu ne vas pas dire “n’utilisez pas sha512crypt plutôt que NTLM parce que sha512crypt sera plus faible dans 40 ans” alors qu’aujourd’hui on sait que NTLM est déjà plus faible que sha512crypt.

Attention, je ne dis pas qu’NTLM c’est de la merde, c’est juste moins bien que d’autres algos. (LM c’est de la merde, par contre)

sepas a écrit :

On est d’accord.

Ok accès physique ou malware.

Ou un accès à une autre machine sur lequel est connecté l’utilisateur, ou un accès à l’active directory, ou un sniff réseau (on passe en NETNTLM du coup mais c’est comparable, dans l’idée), etc.

Commentaire_supprime

Le 10/12/2012 à 12h15

ActionFighter a écrit :

Je n’en doute pas. Seulement, l’administration où je bosse, c’est dans le milieu bancaire, et elle a déjà fait les titres de news PCI il y a pas longtemps pour des problèmes de piratage…

Ah tiens, Chorus, t’y serais pas dedans, par hasard ?

" />" />" />" />" />

anonyme_751eb151a3e6ce065481d43bf0d18298

Le 10/12/2012 à 12h24

Commentaire_supprime a écrit :

Ah tiens, Chorus, t’y serais pas dedans, par hasard ?

" />" />" />" />" />

" />

Je bosse sur un vrai projet qui marche " />

Commentaire_supprime

Le 10/12/2012 à 12h27

ActionFighter a écrit :

" />

Je bosse sur un vrai projet qui marche " />

Tant mieux pour toi, parce que l’application informatique de gestion budgétaire de fonds publics faite par des gens qui n’y connaissent rien en gestion budgétaire de fonds publics, à partir d’un cahier des charges établi par des gens qui n’y connaissent rien en informatique… Ben, on s’en passerait bien tellement ça fonctionne sur deux pattes et demie !

Letter

Le 10/12/2012 à 12h32

Ce n’est pas pour rien que dans le monde industriel on conseille de metter des mots de pass admin de 15 charactères avec charactères spéciaux et chiffres répartis aléatoirement.

C’est également pour cela qu’on interdit aussi que les mdp soient choisi par des gens et qu’on prend des générateurs codés maison…

Enfin bref, la base de la sécurité de nos jours.

John Shaft

Le 10/12/2012 à 09h05

kiliking a écrit :

L’accès admin de pcinpact.com fait combien de caractères ? " />

13 caractères : Ch0uQu377eS§§ " />

" />" />

Clapitti

Le 10/12/2012 à 09h05

Des millions de milliards de tentatives d’identifications. La machine est HS en quelques secondes non?

Donc la il test comment ? il a un mdp en clair et sa version hashé ? et il mesure le temps que met sa machine pour trouver le mdp d’origine à partir du hash ?

liukahr

Le 10/12/2012 à 09h05

http://xkcd.com/936/

Mon mot de passe mail, c’est quatre mots. Je me demande comment ça se comporte là dessus.

anonyme_751eb151a3e6ce065481d43bf0d18298

Le 10/12/2012 à 09h06

Là où je bosse, il y a des comptes admin de serveur avec des MDP a 5 caractères " />

Et personne ne s’en soucie, même lorsque tu soulèves le problème " />

KenjI_S

Le 10/12/2012 à 09h06

ulhgard a écrit :

Là ou cela pose problème c’est lors de la perte d’un disque ou d’une clé USB voir d’un laptop.

Dans ce genre de cas le chiffrement pourrai être “aisément” cassé.

Dans le cas d’une attaque distante il y à d’autres méthodes moins chiante je présume.

Dans le cas d’une attaque à distance ils chercheront surtout à savoir quel failles est exploitable sur la machine cible.

raphael76 Abonné

Le 10/12/2012 à 09h06

kiliking a écrit :

L’accès admin de pcinpact.com fait combien de caractères ? " />

Le MDP c’est 123456. Ou sinon, c’est cmoileboss " />

Bien sur, c’est du pur hasard lol

nirgal76

Le 10/12/2012 à 09h06

Pour les comptes, suffit de les bloquer au bout de quelques essais infructueux et c’est mort pour le brute force.

Les miens,, c’est 10 caractères, dont des chiffres, des lettres minuscules et des majuscules.

D’ailleurs celui de 8 caractères de l’article, quelle était sa composition ?

GruntZ Abonné

Le 10/12/2012 à 09h07

”… il est redoutable dans le cas d’une fuite d’identifiants avec récupération de fichiers.”

D’où aussi la grande confiance qu’il faut avoir dans la probité de ceux qui détiennent légitimement de tels fichiers, comme les FAI et divers prestataires de service en Saas.

Il y a déjà plusieurs années que tous mes MDP font 16 caractères aléatoires de 4 types, mais j’ai vu certains cas où il n’est pas possible d’utiliser de tels MDP et où existe une limitation en nombre ou en types.

De là à y voir une volonté malveillante …

Magyar Abonné

Le 10/12/2012 à 09h07

25 HD6990 ça veut dire 50 GPU " />

Vincent_H Abonné

Le 10/12/2012 à 09h08

nirgal76 a écrit :

Pour les comptes, suffit de les bloquer au bout de quelques essais infructueux et c’est mort pour le brute force.

Les miens,, c’est 10 caractères, dont des chiffres, des lettres minuscules et des majuscules.

D’ailleurs celui de 8 caractères de l’article, quelle était sa composition ?

C’est précisé dans l’article : les résultats sont pour n’importe quelle combinaison de caractères, majuscules, minuscules, chiffres et caractère spéciaux.

Avygeil

Le 10/12/2012 à 09h09

nirgal76 a écrit :

Pour les comptes, suffit de les bloquer au bout de quelques essais infructueux et c’est mort pour le brute force.

Les miens,, c’est 10 caractères, dont des chiffres, des lettres minuscules et des majuscules.

D’ailleurs celui de 8 caractères de l’article, quelle était sa composition ?

Suffit juste de récupérer le hash et de le tester à côté, en ne passant pas par la connexion au compte.

De toute façon, ça fait des années que je forme mes gars à utiliser des pass-phrases et non des mdp…

L3 G33K

Le 10/12/2012 à 09h09

Vincent_H a écrit :

C’est précisé dans l’article : les résultats sont pour n’importe quelle combinaison de caractères, majuscules, minuscules, chiffres et caractère spéciaux.

Le souci, c’est que le calcul ne colle pas avec le nombre de combinaisons possibles…

XalG

Le 10/12/2012 à 09h09

GruntZ a écrit :

“… il est redoutable dans le cas d’une fuite d’identifiants avec récupération de fichiers.”

D’où aussi la grande confiance qu’il faut avoir dans la probité de ceux qui détiennent légitimement de tels fichiers, comme les FAI et divers prestataires de service en Saas.

Il y a déjà plusieurs années que tous mes MDP font 16 caractères aléatoires de 4 types, mais j’ai vu certains cas où il n’est pas possible d’utiliser de tels MDP et où existe une limitation en nombre ou en types.

De là à y voir une volonté malveillante …

J’ai testé plusieurs banque, les versions en ligne ne supportent pas forcément les caractères spéciaux et les longueurs sont souvent limitées… " />

KenjI_S

Le 10/12/2012 à 09h11

Vincent_H a écrit :

C’est précisé dans l’article : les résultats sont pour n’importe quelle combinaison de caractères, majuscules, minuscules, chiffres et caractère spéciaux.

Donc faudra compter sur du 10 caractère minimum et encore au vu de l’évolution des gpu, 15 caractères seront le minimum dans quelques années. " />

KenjI_S

Le 10/12/2012 à 09h12

XalG a écrit :

J’ai testé plusieurs banque, les versions en ligne ne supportent pas forcément les caractères spéciaux et les longueurs sont souvent limitées… " />

si ce n’est certaines banques qui se limites aux chiffres uniquement avec une limitation à 10 caractères " />

jb18v

Le 10/12/2012 à 09h13

Pourtant c’est pas nouveau " />

PC INpact" />

neves

Le 10/12/2012 à 10h46

sepas a écrit :

Je ne vois pas où l’algo rentre en compte, à part dans le calcul pour vérifier si c’est bon ou pas.

Ce qui est important, c’est le nombre de caractères du mot de passe et les caractères acceptés.

Je vais essayer d’être plus clair. Si j’essaye 100 000 combinaison sur un hash .

J’envoie 100 000 user/mdp à la suite et à chaque fois, j’attends la réponse.

En quoi le type d’algo va jouer?

Il y a des algos construits volontairement pour être long à bruteforcer, dans le sens où il faut par exemple une seconde pour calculer le hash, là où pour cette même seconde tu calcules 10 000 hash d’un autre algo.

Par exemple, avec john the ripper, sur ma machine perso (et donc pas un cluster de GPU…), voilà quelques valeurs :

Benchmarking: FreeBSD MD5 [¹²⁸⁄₁₂₈ SSE2 intrinsics 12x]… DONE

Raw: 33024 c/s real, 33024 c/s virtual

Benchmarking: OpenBSD Blowfish (x32) [³²⁄₆₄ X2]… DONE

Raw: 850 c/s real, 841 c/s virtual

Benchmarking: LM DES [¹²⁸⁄₁₂₈ BS SSE2-16]… DONE

Raw: 48941K c/s real, 48941K c/s virtual

Benchmarking: NTLMv1 C/R MD4 DES (ESS MD5) [³²⁄₆₄]… DONE

Many salts: 2895K c/s real, 2895K c/s virtual

Only one salt: 2050K c/s real, 2050K c/s virtual

Benchmarking: sha512crypt (rounds=5000) [⁶⁴⁄₆₄]… DONE

Raw: 394 c/s real, 394 c/s virtual

En une seconde, tu peux calculer 394 hash sha512crypt, 48 941 000 hash LM ou 2 050 000 hash NTLM.

HarmattanBlow

Le 10/12/2012 à 10h47

Il serait bon de rappeler que MS a déconseillé l’usage de NTLM depuis 2010, au profit de NTLM2, qui est le protocole par défaut depuis Vista, mais est disponible sous NT4 et Windows 2000 et ultérieurs depuis certains SP. C’est aussi à la même époque que les agences fédérales américaines ont commencé à déconseiller SHA-1.

snoopy1492 a écrit :

Bon avec onze caractères, je me sens à peu près bien protégé " />

Attention, ça dépend du mdp. La force brute est souvent plus menée de façon plus intelligente, à grands renforts de chaînes de Markov et de dictionnaires.

Mithrill a écrit :

10 perso c’est le minimum de tout mes mots de passe…

Avec SHA-1, oui. Mais la vraie question est : pourquoi bon sang de bonsoir des gens utilisent-ils encore LM, NTLM, SHA-1 ou MD5 ?! Il y a des baffes qui se perdent.

sepas

Le 10/12/2012 à 10h53

NeVeS a écrit :

Il y a des algos construits volontairement pour être long à bruteforcer, dans le sens où il faut par exemple une seconde pour calculer le hash, là où pour cette même seconde tu calcules 10 000 hash d’un autre algo.

Par exemple, avec john the ripper, sur ma machine perso (et donc pas un cluster de GPU…), voilà quelques valeurs :

Benchmarking: FreeBSD MD5 [¹²⁸⁄₁₂₈ SSE2 intrinsics 12x]… DONE

Raw: 33024 c/s real, 33024 c/s virtual

Benchmarking: OpenBSD Blowfish (x32) [³²⁄₆₄ X2]… DONE

Raw: 850 c/s real, 841 c/s virtual

Benchmarking: LM DES [¹²⁸⁄₁₂₈ BS SSE2-16]… DONE

Raw: 48941K c/s real, 48941K c/s virtual

Benchmarking: NTLMv1 C/R MD4 DES (ESS MD5) [³²⁄₆₄]… DONE

Many salts: 2895K c/s real, 2895K c/s virtual

Only one salt: 2050K c/s real, 2050K c/s virtual

Benchmarking: sha512crypt (rounds=5000) [⁶⁴⁄₆₄]… DONE

Raw: 394 c/s real, 394 c/s virtual

En une seconde, tu peux calculer 394 hash sha512crypt, 48 941 000 hash LM ou 2 050 000 hash NTLM.

Ok, donc, effectivement, là, c’est plus clair.

C’est le temps de calcul qui est plus long.

En fait on met plus de temps à calculer si c’est le mot de passe entré est bon ou pas.

Par contre, je campe sur mes positions, si on récupère un hash d’une machine, qu’on mette 5h ou 5 jours, il n’y a pas de différences.

Un utilisateur ne verra pas qu’il s’est fait hacker, et il n’ira pas changer tous ses mot de passe de tous les sites où il est inscrit.

Je reste sur un concept basic qui est que du hacking reste une action qui est faite sans accès physique, sinon, c’est trop simple.

neves

Le 10/12/2012 à 10h54

HarmattanBlow a écrit :

Il serait bon de rappeler que MS a déconseillé l’usage de NTLM depuis 2010, au profit de NTLM2, qui est le protocole par défaut depuis Vista, mais est disponible sous NT4 et Windows 2000 et ultérieurs depuis certains SP. C’est aussi à la même époque que les agences fédérales américaines ont commencé à déconseiller SHA-1.

Ce qui n’empêche pas Windows (même 8) par défaut de stocker en mémoire un hash LM/NTLMv1, voire même le mot de passe en clair :http://blog.gentilkiwi.com/mimikatz

(oui, il faut être administrateur de la machine)

Platoun

Le 10/12/2012 à 10h54

the_Grim_Reaper a écrit :

Tu as le choix PSK, PSK et AES ou AES seul.

perso c’est AES seul, sinon tu peux passer sur du PSK dans certains cas et retombé sur le problème d’utiliser du PSK.

Tu confonds TKIP et PSK.

Gericoz

Le 10/12/2012 à 10h58

Mon mot de passe est mot de passe vide. Personne ne test cela ^^

Sinon plus sérieusement, l’idéal est d’avoir un mot de passe que l’on doit changer périodiquement (idéalement avec une période inférieur au temps pour le cracker en brut force), avec caractères différents imposés, pas de trace de login dedans et impossible de reprendre un mot de passe proche pour les suivants.

Après le souci c’est que les utilisateurs ne s’en souviennent plus et le notent sur un bout de papier " />

Personnellement je suis adepte du mot de passe phrase, c’est long, complexe (si on rajoute de la ponctuation) et facile à retenir.

loic_1715

Le 10/12/2012 à 10h58

TBirdTheYuri a écrit :

Sinon je viens de calculer le nombre de combinaisons possibles pour ma clé WPA2 : 2.28E128

Je suis tranquille pour un bon moment " />

Pas forcément, la taille de la clef n’est pas une condition suffisante à un bon algo de chiffrement (mais c’est nécessaire).

neves

Le 10/12/2012 à 10h59

sepas a écrit :

Ok, donc, effectivement, là, c’est plus clair.

C’est le temps de calcul qui est plus long.

Ouip :)

sepas a écrit :

En fait on met plus de temps à calculer si c’est le mot de passe entré est bon ou pas.

Nop :( On met autant de temps si le mot de passe testé est valide ou non, c’est juste qu’on en test plus à la fois.

sepas a écrit :

Un utilisateur ne verra pas qu’il s’est fait hacker, et il n’ira pas changer tous ses mot de passe de tous les sites où il est inscrit.

La question c’est surtout de savoir qu’en 5 jours tu vas tester beaucoup plus de mots de passe qu’auparavant. Ce n’est pas dis que le mot de passe valide soit dedans.

sepas a écrit :

Je reste sur un concept basic qui est que du hacking reste une action qui est faite sans accès physique, sinon, c’est trop simple.

Ça n’a rien à voir avec la question ici. L’article dit qu’on peut bruteforcer plus rapidement qu’hier les hashs NTLM avec une certaine machine, et c’est tout. Personne ne débat si c’est un hack “élite” ou non, et le hacker il s’en fout, il va utiliser la méthode pour arriver à ses fins et basta. Ce n’est qu’une brique comme une autre disponible pour un attaquant.

(et d’ailleurs j’ai déjà dis plus haut qu’un accès physique n’était pas nécessaire)

coket

Le 10/12/2012 à 11h03

XalG a écrit :

J’ai testé plusieurs banque, les versions en ligne ne supportent pas forcément les caractères spéciaux et les longueurs sont souvent limitées… " />

oui, mais la plupart du temps sur les sites de banque en ligne, 3 essais infructueux bloquent le mot de passe, et faut en demander un autre…

Faut vraiment avoir un coup de bol pour le trouver dans les 3 premiers essais.

De plus, au moins sur mes 2 banques, le mdp se tape à la souris, avec des caractères qui changent d’emplacement à chaque fois.

metaphore54

Le 10/12/2012 à 11h05

the_Grim_Reaper a écrit :

Tu as le choix PSK, PSK et AES ou AES seul.

perso c’est AES seul, sinon tu peux passer sur du PSK dans certains cas et retombé sur le problème d’utiliser du PSK.

Merci, car j’aurais mis les 2 me connaissant en croyant que c’est plus sécurisé. " />

sepas

Le 10/12/2012 à 11h09

NeVeS a écrit :

La question c’est surtout de savoir qu’en 5 jours tu vas tester beaucoup plus de mots de passe qu’auparavant. Ce n’est pas dis que le mot de passe valide soit dedans.

J’ai pris 5 jours au hasard mais quelquesoit l’algo, tu arriveras à tout passer.

Au bout d’un moment, tu auras le résultat.

Ce qui va jouer, ce sont les moyens que tu mettras en face pour y arriver.

J’insiste car je ne voudrais pas que certains se croient en sécurité avec un type d’algo, c’est juste les moyens en face qui seront plus important, ou le temps de découverte qui sera plus long

NeVeS a écrit :

Ça n’a rien à voir avec la question ici. L’article dit qu’on peut bruteforcer plus rapidement qu’hier les hashs NTLM avec une certaine machine, et c’est tout. Personne ne débat si c’est un hack “élite” ou non, et le hacker il s’en fout, il va utiliser la méthode pour arriver à ses fins et basta. Ce n’est qu’une brique comme une autre disponible pour un attaquant.

(et d’ailleurs j’ai déjà dis plus haut qu’un accès physique n’était pas nécessaire)

On est d’accord.

Ok accès physique ou malware.

sepas

Le 10/12/2012 à 11h10

coket a écrit :

oui, mais la plupart du temps sur les sites de banque en ligne, 3 essais infructueux bloquent le mot de passe, et faut en demander un autre…

Faut vraiment avoir un coup de bol pour le trouver dans les 3 premiers essais.

De plus, au moins sur mes 2 banques, le mdp se tape à la souris, avec des caractères qui changent d’emplacement à chaque fois.

Ca, c’est un peu de la m….e

Un hacker qui envoie la liste des comptes (pas compliqué en général c’est un incrément de 1 sur le compte) avec 3 faux mots de passes et tous les clients sont bloqués….

XalG

Le 10/12/2012 à 11h11

coket a écrit :

oui, mais la plupart du temps sur les sites de banque en ligne, 3 essais infructueux bloquent le mot de passe, et faut en demander un autre…

Faut vraiment avoir un coup de bol pour le trouver dans les 3 premiers essais.

De plus, au moins sur mes 2 banques, le mdp se tape à la souris, avec des caractères qui changent d’emplacement à chaque fois.

Rien ne t’empêche de tester 3 essais sur N comptes.

Et les caractères qui changent, ça doit pouvoir être gérable " />

coket

Le 10/12/2012 à 11h15

sepas a écrit :

Ca, c’est un peu de la m….e

Un hacker qui envoie la liste des comptes (pas compliqué en général c’est un incrément de 1 sur le compte) avec 3 faux mots de passes et tous les clients sont bloqués….

Pas si simple; en effet si un simple incrément est valable pour trouver le compte suivant, il en va très différemment pour la clé rib…

De toute façons, aucun hacker sérieux utiliserait cette méthode pour du compte bancaire… le phishing marche encore si bien^^

sepas

Le 10/12/2012 à 11h17

coket a écrit :

Pas si simple; en effet si un simple incrément est valable pour trouver le compte suivant, il en va très différemment pour la clé rib…

De toute façons, aucun hacker sérieux utiliserait cette méthode pour du compte bancaire… le phishing marche encore si bien^^

La clé est sur 2 chiffres :)

L3 G33K

Le 10/12/2012 à 10h23

Winderly a écrit :

l’infini

J’ai rencontré ce phénomène incompréhensible (notamment avec ma banque) et je comprend toujours pas par quelle logique extraterrestre on peut en arriver à programmer une telle aberration.

Bah, ce sont les mêmes qui assurent aux clients que prendre un crédit à 8% pour acheter sa voiture est plus rentable que de sacrifier son livret A (2.25%) pour la payer cash… " />

Zerbus

Le 10/12/2012 à 10h26

NeVeS a écrit :

Ça nécessite très souvent (toujours ?) d’avoir des droits administratifs sur une machine (mais pas forcement celle de l’utilisateur ciblé). Après il y a plein d’autres techniques comme celles basées sur l’interception réseau (et la modification d’un challenge à la volée par exemple) mais ce n’est pas directement le hash NTLM qui circule sur le réseau, dans le cas de Windows. Y’a tellement de méthodes d’authentification différentes qu’il est impossible de généraliser.

Ok je vois.

NeVeS a écrit :

Ici je parlais de la récupération du hash en mémoire, qui est en effet modifiable dans une session Windows (avec l’outils Windows Credentials Editor par exemple). Mais ce n’est pas le but de l’attaquant, qui veut au final avoir le mot de passe en clair pour pouvoir le rejouer ailleurs.

Donc l’objectif est d’avoir accès à la machine (ou d’autres ayant le même mdp) sans que ce soit remarqué et donc qu’il y ait découverte de l’infraction par l’utilisateur ?

Si oui, sachant qu’il faut connaitre le hash, il doit y avoir un nombre assez réduit d’applications.

kosame

Le 10/12/2012 à 10h26

c’est quoi le set de caractères utilisé ? dans l’article “original” il y a des 69 et des 95 … ils connaissent pas l’UTF-8 ?

Zerbus

Le 10/12/2012 à 10h29

Winderly a écrit :

l’infini

J’ai rencontré ce phénomène incompréhensible (notamment avec ma banque) et je comprend toujours pas par quelle logique extraterrestre on peut en arriver à programmer une telle aberration.

Pour moi ils font un traitement sur toutes les chaines de caractère pour éviter d’éventuelles injections… et ils traitent les mdp de la même façon, bien stupide.

Pour éviter ça j’utilise des caractères spéciaux qui ne sont pas des “&”, “;” , etc…

XalG

Le 10/12/2012 à 10h30

Microsoft pourrait utiliser des algos plus à jour, genre un SHA2.

anonyme_60aeeb9ee17a60482c7144ba44f6c818

Le 10/12/2012 à 10h30

Vincent_H a écrit :

Absolument rien à voir. Personne n’est arrivé pour troller idiotement sur la news pour l’instant, et les discussions sont techniques, sans provocation, sans insultes. Si le cas se produit, le résultat sera le même..

ok ok " />

the_Grim_Reaper Abonné

Le 10/12/2012 à 10h31

TBirdTheYuri a écrit :

Et pour un pirate, modifier le mot de passe pour entrer dans le réseau implique que l’utilisateur va se rendre compte rapidement que son mot de passe ne fonctionne plus, qu’il va contacter son administrateur et que l’intrusion sera alors probablement détectée.

S’il ne fait que découvrir le mot de passe, le fonctionnement interne de l’entreprise visée n’est pas affectée, et le pirate peut rester potentiellement plus longtemps connecté avant que l’intrusion ne soit remarquée.

j’ai rien dit sur cette partie la il me semble " />

Le but était de distingué le droit en lecture sur le fichier du droit en écriture via un compte tiers.

La logique veut que effectivement tu ne modifies le MDP que si et seulement si, ton action a une portée courte dans le temps.

Sauf a foutre en vrac m’infra complète, la c’est plus long a retaurer.

L3 G33K

Le 10/12/2012 à 10h32

C’était juste pour préciser :)

Commentaire_supprime

Le 10/12/2012 à 10h33

Alors, en tant que littéraire, je me permet de faire un petit résumé.

Les initiateurs de cette expérience ont voulu démontrer qu’il était, tant matériellement que de façon logicielle, de casser un mot de passe en 8 caractères, tous ceux disponibles compris, dans un délai raisonnable et pour un coût, certes conséquent pour un particulier, mais à la portée d’une organisation ayant des moyens raisonnables.

De ce fait, ils ont simulé une tentative de crack en brute force d’un mot de passe en NTLM comportant huit caractères, et ils y sont arrivés en cinq heures et demie.

La méthode ? Ils ont récupéré le hash du mot de passe sur la machine concernée, ce n’est pas précisé de quelle façon, et ils l’ont mouliné sur leur cluster fait maison de 25 cartes graphiques jusqu’à ce qu’il soit déchiffré. Ce qui leur a pris cinq heures et demie.

Donc, vu la puissance de calcul embarqué, il est prouvé que l’on peut casser un mdp de 8 caractères en NTLM en récupérant son hash, et cela en moins de l’équivalent d’une journée de travail.

Par voie de conséquence, on peut en déduire que, pour éviter ce genre de problème, il est recommadable d’utiliser autre chose que le NTLM pour des mots de passe critique, et de pousser la longueur des mpd au-delà de huit caractères.

Voilà, merci de votre attention.

the_Grim_Reaper Abonné

Le 10/12/2012 à 10h35

TBirdTheYuri a écrit :

Sinon je viens de calculer le nombre de combinaisons possibles pour ma clé WPA2 : 2.28E128

Je suis tranquille pour un bon moment " />

ça dépend, c’est du PSK ou de l’AES ?

Le PSK des clés WPA/2 a été craqué y’a un peu plus d’un an " />

Pour le moment c’est le WPA2 AES qui est le mieux pour les connexion wifi.

metaphore54

Le 10/12/2012 à 10h37

the_Grim_Reaper a écrit :

ça dépend, c’est du PSK ou de l’AES ?

Le PSK des clés WPA/2 a été craqué y’a un peu plus d’un an " />

Pour le moment c’est le WPA2 AES qui est le mieux pour les connexion wifi.

Merci du renseignement, il faudra que je vérifie chez moi, je crois que c’est aes, mais je n’en suis pas sûr.

sepas

Le 10/12/2012 à 10h38

XalG a écrit :

Microsoft pourrait utiliser des algos plus à jour, genre un SHA2.

Oui, je suis d’accord.

Par contre, je ne suis peut-être pas encore réveillé mais quand on fait du brut force, on n’utilise toutes les combinaisons de mot de passe.

Le principe est simple, je prend un dictionnaire, j’essaye et je récupère le résultat.

Je ne vois pas où l’algo rentre en compte, à part dans le calcul pour vérifier si c’est bon ou pas.

Ce qui est important, c’est le nombre de caractères du mot de passe et les caractères acceptés.

Je vais essayer d’être plus clair. Si j’essaye 100 000 combinaison sur un hash .

J’envoie 100 000 user/mdp à la suite et à chaque fois, j’attends la réponse.

En quoi le type d’algo va jouer?

the_Grim_Reaper Abonné

Le 10/12/2012 à 10h38

TBirdTheYuri a écrit :

C’était juste pour préciser :)

" />

Commentaire_supprime a écrit :

Alors, en tant que littéraire, je me permet de faire un petit résumé.

Les initiateurs de cette expérience ont voulu démontrer qu’il était, tant matériellement que de façon logicielle, de casser un mot de passe en 8 caractères, tous ceux disponibles compris, dans un délai raisonnable et pour un coût, certes conséquent pour un particulier, mais à la portée d’une organisation ayant des moyens raisonnables.

De ce fait, ils ont simulé une tentative de crack en brute force d’un mot de passe en NTLM comportant huit caractères, et ils y sont arrivés en cinq heures et demie.

La méthode ? Ils ont récupéré le hash du mot de passe sur la machine concernée, ce n’est pas précisé de quelle façon, et ils l’ont mouliné sur leur cluster fait maison de 25 cartes graphiques jusqu’à ce qu’il soit déchiffré. Ce qui leur a pris cinq heures et demie.

Donc, vu la puissance de calcul embarqué, il est prouvé que l’on peut casser un mdp de 8 caractères en NTLM en récupérant son hash, et cela en moins de l’équivalent d’une journée de travail.

Par voie de conséquence, on peut en déduire que, pour éviter ce genre de problème, il est recommadable d’utiliser autre chose que le NTLM pour des mots de passe critique, et de pousser la longueur des mpd au-delà de huit caractères.

Voilà, merci de votre attention.

c’est la méthode de windows, donc tu reviens à dire qu’il faut pas utiliser windows pour des choses critiques " />

the_Grim_Reaper Abonné

Le 10/12/2012 à 10h39

metaphore54 a écrit :

Merci du renseignement, il faudra que je vérifie chez moi, je crois que c’est aes, mais je n’en suis pas sûr.

Tu as le choix PSK, PSK et AES ou AES seul.

perso c’est AES seul, sinon tu peux passer sur du PSK dans certains cas et retombé sur le problème d’utiliser du PSK.

L3 G33K

Le 10/12/2012 à 10h40

AES " />

John Shaft

Le 10/12/2012 à 08h58

INpressionnante la bécane !

Heureusement, ce n’est pas encore a la portée du premier piratin venu, mais ça fait réfléchir

(et heureusement mon MdP fait pile 10 caractère)

kiliking

Le 10/12/2012 à 08h58

L’accès admin de pcinpact.com fait combien de caractères ? " />

snoopy1492

Le 10/12/2012 à 08h59

Bon avec onze caractères, je me sens à peu près bien protégé " />

Mais vu les chiffres qu’ils avancent, MS ferait bien de réfléchir au renouveau du chiffrement des mdp…

ulhgard

Le 10/12/2012 à 09h00

Là ou cela pose problème c’est lors de la perte d’un disque ou d’une clé USB voir d’un laptop.

Dans ce genre de cas le chiffrement pourrai être “aisément” cassé.

Dans le cas d’une attaque distante il y à d’autres méthodes moins chiante je présume.

UpByvM_jEBXe3b

Le 10/12/2012 à 09h01

Avec sa bécane, moi je ferai des Bitcoins " />

L3 G33K

Le 10/12/2012 à 09h04

Avec les 109 caractères disponibles directement sur un clavier standard FR, un mot de passe de 8 caractères permet d’obtenir 19 925 626 416 901 921 combinaisons différentes.

Soit 57 258 heures pour toutes les tester au rythme indiqué, ce qui représente tout de même 6 ans et demi de calcul.

Ils n’ont donc pas dû utiliser tous les caractères du clavier, et encore moins tous les caractères alternatifs.

Avygeil

Le 10/12/2012 à 09h04

Bah le mot de passe Windows c’est pas non plus super utile…

Au niveau hacking, forensic ou autre, c’est vraiment trop facile de soit passer outre soit d’écraser le hash NTLM par un hash vide.

Feraient mieux de faire leurs tests sur du 7zip AES 256 ou WinRAR, là c’est juste histoire de prendre un algo super facile pour montrer des gros chiffres.

KenjI_S

Le 10/12/2012 à 09h05

28 caractères alphabétiques (maj/min) et numérique plus caractères spéciaux

Leur faudra beaucoup de temps " />

sinon vais changer celui pour pcinpact " /> => 8 caractères pile-poil

SFX-ZeuS

Le 10/12/2012 à 09h05

Alors c’est sur, la machine est rapide pour tester des combinaisons mais ça s’arrête là… Aucunement applicable à une réelle attaque … et si t’as besoin de récupérer un mot de passe winwin y’a tout de même plus rapide (vu que là y’a un accès la machine physique)…

totolitoto

Le 10/12/2012 à 09h52

à supprimer- merci

Commentaire_supprime

Le 10/12/2012 à 09h52

Bon, j’ai de quoi voir venir avec mon mdp admin de 12 caractères…

Pas sous Win, cela dit en passant…

Mais bon, j’ai des mdp faiblards à remplacer aussi (8 caractères), va falloir que je m’y mette !

sepas

Le 10/12/2012 à 09h52

NeVeS a écrit :

Il y a des algos plus ou moins rapide à calculer. Dans le cas de Windows, le hash NTLM n’est qu’un hash MD4 du mot de passe en unicode (et on ne va pas parler du hash LM…), bien plus rapide à calculer qu’un sha512crypt ou un freebsdmd5 utilisé sous Linux ou BSD.

C’est bien le choix de l’algo dans l’OS qui est en cause, donc l’OS.

encore faut il avoir le hash

NeVeS a écrit :

Non, tu n’as pas bien compris : ici on attaque le hash en offline, c’est à dire qu’on récupère le hash et qu’on le bruteforce dans la grappe de serveur. Le temps de réponse de l’OS n’a aucune influence ici.

J’ai pas compris l’article alors, car pour moi c’est du brut force sur mot de passe

NeVeS a écrit :

On peut avoir accès au hash NTLM sans avoir accès physique à la machine.

Comment?

Eagle1

Le 10/12/2012 à 09h54

j’aimerais bien avoir l’exemple d’une situation récente où le brute force à été utilisé ?

et puis 7 milions de miliard de tentative sur un mot de passe windows ? et le système n’a pas réagi en bloquant ? quelle bonne blague.

the_Grim_Reaper Abonné

Le 10/12/2012 à 09h57

al_bebert a écrit :

oui mais bon quand même … perso leur truc merdique au lcl ça me soule 6 caractère NUMERIQUE seulement …

et je parle pas de leur intégration du 3D secure complétement foireuse… (ils m’ont coller un mdp sauf que je sais pas lequel et quand je fait “récupérer le mdp” paf le tomcat m’envoie chier… ^^

les banques et l’informatique ça fait 2 quand même !

3DS c’est surtout pour les vendeurs que c’est bien, et pour les banques vu qu’elles vendent une prestations associée " />

Ca fait longtemps que je vois ce truc pointer mais très peu d’entreprises l’utilisent.

Le principe de base c’est d’assurer au truc ou bidule qui va payer à la fin en cas de litige.

Vincent_H Abonné

Le 10/12/2012 à 10h01

Eagle1 a écrit :

j’aimerais bien avoir l’exemple d’une situation récente où le brute force à été utilisé ?

et puis 7 milions de miliard de tentative sur un mot de passe windows ? et le système n’a pas réagi en bloquant ? quelle bonne blague.

Il s’agit d’un hash récupéré sous forme de fichier. Il est évident que l’attaque ne transitait pas par le réseau. 348 milliards d’opérations par seconde, ce n’était pas vraiment possible sinon.

anonyme_60aeeb9ee17a60482c7144ba44f6c818

Le 10/12/2012 à 10h03

Il s’agissait d’une grappe de serveurs embarquant 25 cartes graphiques basées sur des puces Radeon d’AMD

la machine de monsieur tout le monde.

25 GPU Radeon d’AMD a été capable de craquer un mot de passe Windows en quelques heures.

forcement avec du tel matos. en tout cas cela poutre ^^

Je note quand même un certains partis pris :

news Apple on commente gentiment un dredi. ban delete. (pour provocation en plus " />)

news windows: heu… dire que péter un mot de passe avec une telle machine ça prends peu de temps…… euh…;

ps : Blackbeery sut tel interdit dans son nouvel os mobile 106 password type justement pour éviter cela.

neves

Le 10/12/2012 à 10h03

sepas a écrit :

J’ai pas compris l’article alors, car pour moi c’est du brut force sur mot de passe

En effet tu n’as pas compris l’article :)

sepas a écrit :

Comment?

Avec des droits administrateur tu peux le récupérer sur la machine (ou sur les autres machines Windows où l’utilisateur est connecté), il est en mémoire, et les hackeurs récupèrent cet accès via une faille (dans un navigateur Web par exemple), ou par phishing, ou par un autre compte que celui de l’utilisateur ciblé, etc… Parfois ce n’est pas l’accès à la machine qui compte mais bien le mot de passe lui même, réutilisé par la personne à d’autres endroits, d’où le bruteforce du hash.

the_Grim_Reaper Abonné

Le 10/12/2012 à 10h03

sepas a écrit :

Comment?

facile, tu fais une connexion distante sur la machine, par un moyen ou un autre, et tu copie le fichier chez toi en local pour bosser dessus " />

Fredhug01

Le 10/12/2012 à 10h03

Magyar a écrit :

25 HD6990 ça veut dire 50 GPU " />

Heu non, ce qui a été utilisé c’est :

10x HD 7970

•

4x HD 5970 (dual GPU)

•

3x HD 6990 (dual GPU)

•

1x HD 5870

donc 25 cpu’s :)

Fredhug01

Le 10/12/2012 à 10h05

Snake-Ice a écrit :

On a trouvé un ordinateur capable de faire tourner crisis 3 a fond, ça y est " />

Si tu arrive a faire tourner crisis III sur un linux ^^

Zerbus

Le 10/12/2012 à 10h05

Ah merci neves. Trois pages de commentaires et je viens de comprendre la méthode !

Par contre ça veut dire qu’il faut récupérer le hash, c’est si facile que ça ? Je parle dans un cas général, pas sous windows.

Je dis ça sans trop réfléchir mais si tu arrives à avoir le hash c’est que tu y as accès et tu peux le modifier par ce que tu veux non ? Du moins plus facilement que par bruteforce

Avygeil

Le 10/12/2012 à 10h05

NeVeS a écrit :

On peut avoir accès au hash NTLM sans avoir accès physique à la machine.

Ouais bon, si t’as déjà un ver qui te permet d’avoir un accès à distance sur la bécane, récupérer le mdp te sert à rien ^^ (ça veut dire que la session est déjà ouverte et Bitlocker déjà déchiffré).

Eagle1

Le 10/12/2012 à 10h06

Vincent_H a écrit :

Il s’agit d’un hash récupéré sous forme de fichier. Il est évident que l’attaque ne transitait pas par le réseau. 348 milliards d’opérations par seconde, ce n’était pas vraiment possible sinon.

donc le but c’est de récupérer la méthode d’encodage, puis de récupérer des mots de passe, les décoder pour ensuite avoir le pass en clair ?

Vincent_H Abonné

Le 10/12/2012 à 10h07

yukon_42 a écrit :

la machine de monsieur tout le monde.

forcement avec du tel matos. en tout cas cela poutre ^^

Je note quand même un certains partis pris :

news Apple on commente gentiment un dredi. ban delete. (pour provocation en plus " />)

news windows: heu… dire que péter un mot de passe avec une telle machine ça prends peu de temps…… euh…;

ps : Blackbeery sut tel interdit dans son nouvel os mobile 106 password type justement pour éviter cela.

Absolument rien à voir. Personne n’est arrivé pour troller idiotement sur la news pour l’instant, et les discussions sont techniques, sans provocation, sans insultes. Si le cas se produit, le résultat sera le même.

Et évidemment que ce n’est pas la machine de monsieur tout le monde. Mais e genre de personne qui serait intéressé par de telles méthodes n’est pas monsieur tout le monde justement. En termes de sécurité, on peut imaginer un malware récupérant les hash ou un accès physique à la machine. Là où il aurait fallu un budget délirant avant pour obtenir des résultats équivalent, on peut se monter un serveur avec uniquement des composants vendus dans le grand public.

Citan Abonné

Le 10/12/2012 à 10h08

Salauds d’AMD !" />

Non seulement ils font des processeurs en carton, mais en plus avec leurs cartes graphiques ils aident les pirates à s’emparer de nos comptes !!

" />" />

Bon, à part ça, des mdp de plus de 9 caractères je veux bien, mais, je sais pas pour vous, ça m’arrive encore régulièrement de tomber sur des sites qui non seulement limitent le nombre de caractères (les pauv’ choux ce serait trop dur pour leur bdd), mais poussent le vice jusqu’à limiter le choix à l’alphabet simple et deux trois ponctuations précises. Va sécuriser ton compte avec ça quoi…" />" />

EDIT : Bon, en rattrapant la lecture de coms je vois que je suis overcarbonized " />

neves

Le 11/12/2012 à 09h58

Mehcoib a écrit :

je vois pas trop le but de précisier “de Windows”. “Un mot de passe de 8 caractères”, cette information est suffisante. Les mots de passe des sessions Windows n’ont pas de réelle fonction de sécurité, sauf si on parle de sessions sensibles telles administrateur et/ou serveur. Mais dans ce cas il suffit de cocher une case pour que ledit compte se bloque au bout d’un nombre restreint d’essais infructueux, et là, le mot de passe peut bien faire 3 caractères, bonne chance pour le trouver en max. 5 essais !! Et 25 ou 25,000 GPU n’y changeront rien.

Déjà dis mille fois mais bon : “de Windows” parce que la vitesse de calcul dépend de l’algorithme utilisé et ici l’algorithme en question est NTLM, c’est tout. Rien à voir avec une quelconque politique de sécurité ni de blocage de compte suite à 3 tentatives, on parle de bruteforce offline.

neves

Le 11/12/2012 à 10h10

geekounet85 a écrit :

bah justement j’ai un client qui vient de me laisser un PC parce qu’il a oublié son mot de passe sur un W8 avec secure boot, et j’en chie pour arriver à lui enlever son mot de passe! au pire, je récupère ses données et j’essaye de lui faire un nouveau compte, mais c’est biaiser!

Tu peux tenter de booter sur un livecd Backtrack pour utiliser samdump2 et récupérer son hash (voir tuto sur le net) et le bruteforcer avec john the ripper.

Si ça ne tombe pas et qu’il a un vrai mot de passe, tu devrais pouvoir le changer comme ça, si la partition n’est pas chiffrée : YouTube

Minikea

Le 11/12/2012 à 10h18

NeVeS a écrit :

Tu peux tenter de booter sur un livecd Backtrack pour utiliser samdump2 et récupérer son hash (voir tuto sur le net) et le bruteforcer avec john the ripper.

Si ça ne tombe pas et qu’il a un vrai mot de passe, tu devrais pouvoir le changer comme ça, si la partition n’est pas chiffrée : YouTubeoui mais non. enfin avec un bête ntpasswd ça ne fonctionne pas parce que la partition est une EFI GPT et le bootCD n’a pas été concu pour ça. j’ai pas essayé backtrack ni ophcrack j’ai juste suivi ce tuto qui fonctionne toujours.

le seul soucis: extraire le disque dur car le boot sur CD est vraiment une galère sur ce genre de matos, à cause du secureBoot et de L’EFI de merde! mais au final j’ai monté le disque sur une mageia, fais les manip pour remplacer utilman.exe par cmd.exe, remis le disque dur et fais les manip… et ça marche encore même sur ce nouvel OS!

doom_Oo7

Le 11/12/2012 à 11h15

Alors je prends pour exemple BBOX : mot de passe 3 - 8 caractères, pas de caractères spéciaux, tentatives de login illlimitées

HarmattanBlow

Le 11/12/2012 à 13h30

doom_Oo7 a écrit :

Alors je prends pour exemple BBOX : mot de passe 3 - 8 caractères, pas de caractères spéciaux, tentatives de login illlimitées

Avec certains algos, 8 caractères suffisent à avoir un mdp très robuste.

Bon, cela dit, ici, c’est sans doute du SHA-1.

doom_Oo7

Le 11/12/2012 à 13h35

Ben oui mais ici on parle de brute force, donc de test de toutes les possibilités. Bien évidemment, comme c’est du web la latence est un facteur plus que limitant mais bon…

neves

Le 11/12/2012 à 16h22

doom_Oo7 a écrit :

Ben oui mais ici on parle de brute force, donc de test de toutes les possibilités. Bien évidemment, comme c’est du web la latence est un facteur plus que limitant mais bon…

Ici on parle de bruteforce offline.

HarmattanBlow

Le 11/12/2012 à 17h56

NeVeS a écrit :

Ici on parle de bruteforce offline.

Et pour détailler, parce qu’apparemment il n’est pas le seul à ne pas avoir compris, ça concerne les cas de figure où la base de données a été volée (intrusion, employé corrompu, ancien employé mécontent, etc). Ce qui se produit tout le temps et partout, y compris chez les plus grands sites, entreprises et institutions.

typhoon006

Le 10/12/2012 à 09h30

Vincent_H a écrit :

Et limité à trois essais " />

et impossible à saisir au clavier

al_bebert

Le 10/12/2012 à 09h31

Vincent_H a écrit :

Et limité à trois essais " />

oui mais bon quand même … perso leur truc merdique au lcl ça me soule 6 caractère NUMERIQUE seulement …

et je parle pas de leur intégration du 3D secure complétement foireuse… (ils m’ont coller un mdp sauf que je sais pas lequel et quand je fait “récupérer le mdp” paf le tomcat m’envoie chier… ^^

les banques et l’informatique ça fait 2 quand même !

Cacao

Le 10/12/2012 à 09h32

ArnoH a écrit :

C’est surtout ça qui fait mal ! Combien de site nécessitant un compte et/ouun accès sécurisé bride la mot de passe à 6 caractères ou à un type de caractère uniquement … .

Du coup je peux pas mettre le même mot de passe pour tous mes comptes de l’internet " /> " />

Ya pire. Et je l’ai déjà rencontré plusieurs fois :

Le site qui accepte ton mot de passe de 15 caractères mais qui a “je ne sais fait quoi avec” et du coup, celui-ci ne marche pas au login.

kontas

Le 10/12/2012 à 09h34

Impressionnant en chiffre ce Hack !!

Le hack qui me fait bien déliré est celui la, il freeze la ram pour ne pas perdre les signaux éléctrique et l’analyse dans une autre machine. Couillu la manip

YouTube!

sepas

Le 10/12/2012 à 09h35

Avygeil a écrit :

Bah le mot de passe Windows c’est pas non plus super utile…

Au niveau hacking, forensic ou autre, c’est vraiment trop facile de soit passer outre soit d’écraser le hash NTLM par un hash vide.

Feraient mieux de faire leurs tests sur du 7zip AES 256 ou WinRAR, là c’est juste histoire de prendre un algo super facile pour montrer des gros chiffres.

Windows n’est pas en cause (en tous cas, pas directement), c’est du brut force, l’algo utilisé, on s’en fout un peu, puisque le principe est de tester des combinaisons.

La news aurait pu indiquer un autre OS, ça serait la même chose.

Tout ce qui joue, c’est le temps de réponse de l’OS, plus, il est rapide à vérifier ton mot de passe, plus tu pourras en tester en un temps mini

Pour ce qui est du Hash, idem, on estime que dès que tu as accès à la machine, ce n’est plus vraiment du hack, sinon, c’est trop facile quelquesoit l’OS.

oOZakOo

Le 10/12/2012 à 09h36

On notera que les GPU sont des VTX3D sur la photo :)

et de 7950 ou 7970

Deep_INpact

Le 10/12/2012 à 09h40

ce type d’attaque n’est en général pas possible en ligne, à cause de la limitation des essais (trois le plus souvent)

Mais cela peut être fait à la manière des appels publicitaires : un robot serveur qui test 3 mots de passe sur un compte de M Michu puis sur un autre compte et ainsi de suite, avec les trois mêmes combinaisons…

Et si une combinaison est positive, alors il “donne la main” à un humain pour faire le reste.

jaretlafoudre

Le 10/12/2012 à 09h41

En ligne cette methode n’est pas trop possibles, la latence du reseau ainsi que les temps de réponse des serveurs d’autentification font que ca serais des millier de fois plus lent…quelque soit la puissance de calcul.

roswell51

Le 10/12/2012 à 09h42

Une grappe de serveurs embarquant 25 GPU Radeon d’AMD a été capable de craquer un mot de passe Windows en quelques heures. Une opération qui soulève des questions sur l’efficacité de l’algorithme de chiffrement du protocole NTLM utilisé depuis Windows Server 2003.

je vois pas le rapport avec le chiffrement NTLM puisque ça a été craqué en force brute.

Tu peux bien crypter comme tu veux, la force brute marchera toujours.

Après c’est plus la méthode d’authentification qui devrait peut être changer

de plus en plus de sites demande 3 éléments login/pwd+ autre

DUNplus Abonné

Le 10/12/2012 à 09h42

ActionFighter a écrit :

Là où je bosse, il y a des comptes admin de serveur avec des MDP a 5 caractères " />

Et personne ne s’en soucie, même lorsque tu soulèves le problème " />

La ou je suis en mission, il n’y a personne qui lock son PC.

Nan, c’est pas que si c’est une boite remplie d’ingénieurs informatiques, électroniques et mécaniques.

Nan, c’est pas comme si tout les semaines nous recevions des mails qui nous parle de sécurité de données.

Nan, c’est pas comme si le système nous demandait de changer de MDP tout les 3 mois.

Sur l’ancienne mission, si un quelqu’un oublie de locker son PC, je m’arrange pour le rappeler : le lendemain c’est tourner croissant. " />

Mais la, je suis désespérait. " />

sepas

Le 10/12/2012 à 09h43

Vincent_H a écrit :

Et limité à trois essais " />

Je me permet une précision sur les 3 essais :)

Bloquer une session au bout de 3 essais, c’est une erreur que beaucoup de monde fait, et qu’il ne faut surtout pas faire.

Cela entraine des deni de services. Beaucoup de virus, comme conficker par exemple, faisait du brut force, et bloquait les comptes utilisateurs en entreprise quand il y avait une stratégie de blocage.

Il est facile d’imaginer la suite, le support utilisateurs se fait dépasser par un nombre d’appels impossible à gérer et plus personne ne peut travailler.

L’une de techniques éprouvée est le blocage temporaire.

Juste un exemple :

Au bout de 3 mots de passes, je bloque la session pendant 1 seconde :

Ca ne gêne pas l’utilisateur qui mettra plus d’une seconde à entrer son mot de passe

Le hacker (dans le cas des chiffres de la news) passera de 180 milliards d’essais à la seconde à…3 à la seconde, donc on multiplie par 60 milliards le temps nécessaire

Il faut toujours partir du principe qu’un mot de passe peut être hacké, c’est juste un question de temps, il faut donc également une bonne supervision pour remonter un nombre de tentatives infructueuses

Hebus25

Le 10/12/2012 à 09h44

ActionFighter a écrit :

Là où je bosse, il y a des comptes admin de serveur avec des MDP a 5 caractères " />

Et personne ne s’en soucie, même lorsque tu soulèves le problème " />

admin ?

taralafifi

Le 10/12/2012 à 09h49

Ca fonctionne comment ? C’est juste une simulation ?

Car sinon il faudrait brancher cette machine sur le PC que l’ont veut cracker et espérer que Windows accepte plusieurs milliard de combinaison à la seconde sur l’écran de log, ce que je doute.

Et puis on peut définir un nombre limité de tentative infructueuse avant que le compte ne se verrouille.

neves

Le 10/12/2012 à 09h50

sepas a écrit :

Windows n’est pas en cause (en tous cas, pas directement), c’est du brut force, l’algo utilisé, on s’en fout un peu, puisque le principe est de tester des combinaisons.

La news aurait pu indiquer un autre OS, ça serait la même chose.

Il y a des algos plus ou moins rapide à calculer. Dans le cas de Windows, le hash NTLM n’est qu’un hash MD4 du mot de passe en unicode (et on ne va pas parler du hash LM…), bien plus rapide à calculer qu’un sha512crypt ou un freebsdmd5 utilisé sous Linux ou BSD.

C’est bien le choix de l’algo dans l’OS qui est en cause, donc l’OS.

sepas a écrit :

Tout ce qui joue, c’est le temps de réponse de l’OS, plus, il est rapide à vérifier ton mot de passe, plus tu pourras en tester en un temps mini

Non, tu n’as pas bien compris : ici on attaque le hash en offline, c’est à dire qu’on récupère le hash et qu’on le bruteforce dans la grappe de serveur. Le temps de réponse de l’OS n’a aucune influence ici.

sepas a écrit :

Pour ce qui est du Hash, idem, on estime que dès que tu as accès à la machine, ce n’est plus vraiment du hack, sinon, c’est trop facile quelquesoit l’OS.

On peut avoir accès au hash NTLM sans avoir accès physique à la machine.

Arkthus

Le 10/12/2012 à 09h51

perso le mien mélange chiffre, numéros et caractères spéciaux, sur 10 caractères, bon courage !

Platoun

Le 10/12/2012 à 09h51

TBirdTheYuri a écrit :

Ils n’ont donc pas dû utiliser tous les caractères du clavier, et encore moins tous les caractères alternatifs.

Ils ont utilisé 95 caractères différents pour leur calcul de 5,5 heures avec 8 caractères (mais il y a aucune démo, juste des calculs théoriques)

http://securityledger.com/new-25-gpu-monster-devours-passwords-in-seconds/

le podoclaste

Le 10/12/2012 à 13h05

letter a écrit :

Ce n’est pas pour rien que dans le monde industriel on conseille de metter des mots de pass admin de 15 charactères avec charactères spéciaux et chiffres répartis aléatoirement.

C’est également pour cela qu’on interdit aussi que les mdp soient choisi par des gens et qu’on prend des générateurs codés maison…

Enfin bref, la base de la sécurité de nos jours.

C’est marrant, parce que tu demandes à 40 personnes la bonne manière de faire un mot de passe, tu auras 40 réponses différentes.

mononokehime

Le 10/12/2012 à 13h07

Avec les ordinateurs quantiques dans quelques années il n’y aura bientôt plus aucun mot de passe assez long pour ne pas être deviner.

anonyme_751eb151a3e6ce065481d43bf0d18298

Le 10/12/2012 à 13h11

Commentaire_supprime a écrit :

+1 !

Du home-made à base de postgresql (comme Météo-France), ça aurait coûté moins cher et ça serait fonctionnel, avec la possiblité de faire 100 % du dev et de la maintenance en interne.

Mais bon, faites passer un marché public à des Shadoks, vous obtenez Chorus…

" />

Commentaire_supprime a écrit :

“consultant hors de prix”, c’est un pléonasme…

" />" />" />" />" />

Il y a des consultants, comme moi " />, qui font bien leurs boulot, et qui mériteraient même une augmentation " />

Commentaire_supprime

Le 10/12/2012 à 13h13

ActionFighter a écrit :

Il y a des consultants, comme moi " />, qui font bien leurs boulot, et qui mériteraient même une augmentation " />

Ah, va falloir que je revoie mon vocabulaire… Désolé !

anonyme_751eb151a3e6ce065481d43bf0d18298

Le 10/12/2012 à 13h18

Commentaire_supprime a écrit :

Ah, va falloir que je revoie mon vocabulaire… Désolé !

Pas la peine, je suis une exception " />

Commentaire_supprime

Le 10/12/2012 à 13h21

ActionFighter a écrit :

Pas la peine, je suis une exception " />

" />" />" />" />" />

Ellierys

Le 10/12/2012 à 13h28

ActionFighter a écrit :

Là où je bosse, il y a des comptes admin de serveur avec des MDP a 5 caractères " />

Et personne ne s’en soucie, même lorsque tu soulèves le problème " />

5 caractères…. admin ? " />

anonyme_751eb151a3e6ce065481d43bf0d18298

Le 10/12/2012 à 13h32

Ellierys a écrit :

5 caractères…. admin ? " />

Carbonized " />

Ellierys

Le 10/12/2012 à 13h33

ActionFighter a écrit :

Carbonized " />

" />

Minikea

Le 10/12/2012 à 13h37

Vincent_H a écrit :

C’est précisé dans l’article : les résultats sont pour n’importe quelle combinaison de caractères, majuscules, minuscules, chiffres et caractère spéciaux.

en ASCII, pas en UTF8! ^^

nicobiz

Le 10/12/2012 à 13h38

Vu le nombre de boites où le mot de passe c’est admin, administrateur ou le non de la boite, c’est 5h de trop " />

h4l

Le 10/12/2012 à 13h39

des GPUs? c’est moi qui suis mal reveillé ou on voulait dire CPU?

neves

Le 10/12/2012 à 13h47

h4l a écrit :

des GPUs? c’est moi qui suis mal reveillé ou on voulait dire CPU?

C’est toi qui es mal réveillé :)

the_Grim_Reaper Abonné

Le 10/12/2012 à 14h06

ActionFighter a écrit :

" />

Sur ITIL " />

C’est pas faux. Mais mon client ne manque pas d’architectes logiciels de très bon niveau. Et il a déjà des applis maison qui tournent parfaitement bien.

Ça va être mon travail dans les mois qui suivent " />

ITIL c’est une philosophie pas un travail " />

Nous on pond rarement les appli en interne. Etrangement, elles sont rarement fonctionnelles dans mon milieu précis.

Par contre des appli dév spécifiquement pour nos besoin roulent super bien, mais c’est plus cher parfois.

Perso je change avec la nouvelle année et je fais plus ce gende truc, adieux la prod " />

anonyme_751eb151a3e6ce065481d43bf0d18298

Le 10/12/2012 à 14h19

the_Grim_Reaper a écrit :

ITIL c’est une philosophie pas un travail " />

" />

Je bosses sur un logiciel basé sur la norme ITIL.

the_Grim_Reaper a écrit :

Nous on pond rarement les appli en interne. Etrangement, elles sont rarement fonctionnelles dans mon milieu précis.

Par contre des appli dév spécifiquement pour nos besoin roulent super bien, mais c’est plus cher parfois.

Perso je change avec la nouvelle année et je fais plus ce gende truc, adieux la prod " />

Moi, ça ne dérange pas pour l’instant. C’est mon premier vrai boulot et je suis payé un bras en tant que consultant " />

riefflat

Le 10/12/2012 à 14h25

ActionFighter a écrit :

Je bosses sur un logiciel basé sur la norme ITIL.

" />

ITIL est un ensemble bonne pratique, ce n’est pas une norme " />

Catégories

Nous Suivre

À propos

Windows : un mot de passe de huit caractères cassé en quelques heures

5h30 suffisantes pour tester toutes les combinaisons

Commentaires (188)