LA PROTECTION DES MOTS DE PASSE
La protection des mots de passe est un des principaux problèmes de la sécurité sur Internet bien qu’il
existe des solutions
pour lutter efficacement contre ce dernier :
- les mots de passe « shadow » ;
- la génération de mots de passe sûrs.
Les mots de passe « shadow »
Les mots de passe « shadow » sont un système où le fichier de mots de passe cryptés est caché de tous les utilisateurs excepté
l’administrateur, en espérant empêcher les tentatives de crackage de mots de passe à la source.
La génération de mots de passe sûrs :
Premièrement, il serait intéressant de voir combien de mots de passe possibles il existe. La plus part des gens sont inquiets que des programmes comme « crack » vont éventuellement gagner en puissance jusqu’à ce qu’ils soient capables d’effectuer un
recherche exhaustive de tous les mots de passe possibles pour rentrer dans un compte utilisateur spécifique (généralement
administrateur). Les mots de passe valides sont créés à partir de 62 caractères [A-Z a-z 0-9] et ils peuvent inclure encore
plus de caractères comme : « }][{ $ ££@ !%&(#/)=-:_.;,?">< ».
Un exemple de bon mot de passe est donc constitué de :
- caractères uppercase (majuscules)
- caractères lowercase (minuscules)
- caractères spéciaux
- chiffres
Exemple :
[email protected]#gz3M6id9&Rt
Celui-ci fait 26 caractères (la plupart des mot de passes sont limités à 26 caractères en moyenne. Ce peut être moins. Mais dans tous les cas, il ne doit pas faire moins de 14 caractères. Sinon, même s'il est constitué de L.case, U.case, C.Spé et chiffres, il est cassable.
En utilisant seulement les 62 caractères communs, la taille de la série de mots de passe valides est :
625+626+627+628 = 2,2 E+14
Un nombre qui est bien trop grand pour entreprendre une recherche exhaustive avec les technologies actuelles.
De plus, si l’on peut utiliser les 95 caractères, qui ne sont pas des caractères de contrôle, dans les mots de passe, cela réduit d’autant plus les chances du cracker de mots de passe. Par contre, n’importe quel mot de passe qui est dérivé d’un dictionnaire (ou d’information personnelle), même modifié constitue un mot de passe potentiellement crackable.
Par exemple les mots de passe basés sur les :
- noms de login : monlogin
- noms famille : dupond, durand
- prénoms : Raoul, Adrienne
- mots écris à l’envers : enneirda, dnopud
- mots d’un dictionnaire : ordinateur, livres
- mots en capitales : Ordinateur, OrDiNateuR
- mots des dictionnaires de cracking : porsche911, 123456789, azerty.
- mots de langues étrangères : hello!, gutentag
- noms de personnalités : mozart, Nas, Obama
- dates de naissance : 030879, 12101982
Un moyen de créer un mot de passe incrackable est de le faire apparaitre comme défini au hasard. Il ne faut pas oublier d’insérer des chiffres et des signes de pontuation dans le mot de passe. Une méthode utilisée pour trouver un mot de passe difficile à craquer mais facile à se souvenir est de :
1. Prendre une phrase ou une ligne d’un poême ou d’une chanson qui doit être d’au moins long de 8 mots
2. Prendre la première lettre de chaque mot et l’utiliser dans le mot de passe.
3. Utiliser les signes de pontuation
Par exemple, la phrase : « Un pour tous, et tous pour un » donne un mot de passe relativement incrackable : « Upt,&tp1 » Un bon moyen pour un administrateur réseau de savoir si les utilisateurs ont des mots de passe sûrs est d’utiliser les programmes de crackage de mots de passe sur son propre système comme le ferait un cracker. « Crack » est un bon outil pour s’assurer que les utilisateurs de système UNIX n’ont pas choisis des mots de passe facilement crackable qui apparaissent dans les dictionnaires standards.
Voici un tool conçu par ptinaze, membre d'Hackademics, qui permet de générer des mots de passe robustes :
http://hackademics.fr/showthread.php...atoire-robuste
La protection des mots de passe est un des principaux problèmes de la sécurité sur Internet bien qu’il
existe des solutions
pour lutter efficacement contre ce dernier :
- les mots de passe « shadow » ;
- la génération de mots de passe sûrs.
Les mots de passe « shadow »
Les mots de passe « shadow » sont un système où le fichier de mots de passe cryptés est caché de tous les utilisateurs excepté
l’administrateur, en espérant empêcher les tentatives de crackage de mots de passe à la source.
La génération de mots de passe sûrs :
Premièrement, il serait intéressant de voir combien de mots de passe possibles il existe. La plus part des gens sont inquiets que des programmes comme « crack » vont éventuellement gagner en puissance jusqu’à ce qu’ils soient capables d’effectuer un
recherche exhaustive de tous les mots de passe possibles pour rentrer dans un compte utilisateur spécifique (généralement
administrateur). Les mots de passe valides sont créés à partir de 62 caractères [A-Z a-z 0-9] et ils peuvent inclure encore
plus de caractères comme : « }][{ $ ££@ !%&(#/)=-:_.;,?">< ».
Un exemple de bon mot de passe est donc constitué de :
- caractères uppercase (majuscules)
- caractères lowercase (minuscules)
- caractères spéciaux
- chiffres
Exemple :
[email protected]#gz3M6id9&Rt
Celui-ci fait 26 caractères (la plupart des mot de passes sont limités à 26 caractères en moyenne. Ce peut être moins. Mais dans tous les cas, il ne doit pas faire moins de 14 caractères. Sinon, même s'il est constitué de L.case, U.case, C.Spé et chiffres, il est cassable.
En utilisant seulement les 62 caractères communs, la taille de la série de mots de passe valides est :
625+626+627+628 = 2,2 E+14
Un nombre qui est bien trop grand pour entreprendre une recherche exhaustive avec les technologies actuelles.
De plus, si l’on peut utiliser les 95 caractères, qui ne sont pas des caractères de contrôle, dans les mots de passe, cela réduit d’autant plus les chances du cracker de mots de passe. Par contre, n’importe quel mot de passe qui est dérivé d’un dictionnaire (ou d’information personnelle), même modifié constitue un mot de passe potentiellement crackable.
Par exemple les mots de passe basés sur les :
- noms de login : monlogin
- noms famille : dupond, durand
- prénoms : Raoul, Adrienne
- mots écris à l’envers : enneirda, dnopud
- mots d’un dictionnaire : ordinateur, livres
- mots en capitales : Ordinateur, OrDiNateuR
- mots des dictionnaires de cracking : porsche911, 123456789, azerty.
- mots de langues étrangères : hello!, gutentag
- noms de personnalités : mozart, Nas, Obama
- dates de naissance : 030879, 12101982
Un moyen de créer un mot de passe incrackable est de le faire apparaitre comme défini au hasard. Il ne faut pas oublier d’insérer des chiffres et des signes de pontuation dans le mot de passe. Une méthode utilisée pour trouver un mot de passe difficile à craquer mais facile à se souvenir est de :
1. Prendre une phrase ou une ligne d’un poême ou d’une chanson qui doit être d’au moins long de 8 mots
2. Prendre la première lettre de chaque mot et l’utiliser dans le mot de passe.
3. Utiliser les signes de pontuation
Par exemple, la phrase : « Un pour tous, et tous pour un » donne un mot de passe relativement incrackable : « Upt,&tp1 » Un bon moyen pour un administrateur réseau de savoir si les utilisateurs ont des mots de passe sûrs est d’utiliser les programmes de crackage de mots de passe sur son propre système comme le ferait un cracker. « Crack » est un bon outil pour s’assurer que les utilisateurs de système UNIX n’ont pas choisis des mots de passe facilement crackable qui apparaissent dans les dictionnaires standards.
Voici un tool conçu par ptinaze, membre d'Hackademics, qui permet de générer des mots de passe robustes :
http://hackademics.fr/showthread.php...atoire-robuste
Commentaire