Votre mot de passe est-il sécurisé? Nous avons tous entendu beaucoup de conseils sur les types de mots de passe que vous ne devriez jamais choisir - et il existe divers outils qui prétendent évaluer la sécurité de votre mot de passe en ligne Mettez vos mots de passe à travers le test de fissure avec ces cinq mots clés À travers le test de fissure avec ces cinq outils de force de mot de passe Chacun d'entre nous a lu une bonne partie de «comment je craque un mot de passe» des questions. Il est sûr de dire que la plupart d'entre eux sont à des fins néfastes plutôt que curieux. Violation des mots de passe ... Pour en savoir plus. Cependant, ceux-ci ne peuvent être que douteusement précis. La seule façon de vraiment tester la sécurité de vos mots de passe est d'essayer de les casser.
Donc, aujourd'hui, nous allons faire exactement cela. Je vais vous montrer comment utiliser un outil que les vrais pirates utilisent pour casser les mots de passe, et vous montrer comment l'utiliser pour vérifier le vôtre. Et, si le test échoue, je vais vous montrer comment choisir des mots de passe plus sûrs qui résisteront.
Configuration de Hashcat
L'outil que nous allons utiliser s'appelle Hashcat. Officiellement, il est prévu pour la récupération de mot de passe 6 Outils de récupération de mot de passe gratuits pour Windows 6 Outils de récupération de mot de passe gratuits pour Windows Lire la suite, mais dans la pratique c'est un peu comme dire BitTorrent Beat the Bloat! Essayez ces clients BitTorrent légers Battre le ballonnement! Essayez ces clients légers BitTorrent Les pistolets ne partagent pas de fichiers illégaux. Les gens partagent des fichiers illégaux. Ou, attendez, comment ça se passe? Ce que je veux dire, c'est que BitTorrent ne devrait pas être disséqué en raison de son potentiel de piratage. En savoir plus est destiné à télécharger des fichiers sans droits d'auteur. Dans la pratique, il est souvent utilisé par les pirates informatiques qui tentent de briser les mots de passe volés sur des serveurs non sécurisés Ashley Madison Leak No Big Deal? Réfléchissez encore Ashley Madison Fuite No Big Deal? Think Again Site de rencontre en ligne discret Ashley Madison (ciblant principalement les conjoints tricheurs) a été piraté. Cependant, cette question est beaucoup plus grave que celle qui a été décrite dans la presse, avec des implications considérables pour la sécurité des utilisateurs. Lire la suite . Comme un effet secondaire, cela en fait un moyen très puissant de tester la sécurité des mots de passe.
Note: ce tutoriel est pour Windows. Ceux d'entre vous sur Linux peuvent voir la vidéo ci-dessous pour savoir par où commencer.
Vous pouvez obtenir Hashcat à partir de la page Web hashcat.net. Téléchargez et décompressez-le dans votre dossier de téléchargements. Ensuite, nous allons avoir besoin de données auxiliaires pour l'outil. Nous allons acquérir une liste de mots, qui est essentiellement une énorme base de données de mots de passe que l'outil peut utiliser comme point de départ, en particulier l'ensemble de données rockyou.txt. Téléchargez-le et collez-le dans le dossier Hashcat. Assurez-vous qu'il s'appelle 'rockyou.txt'
Maintenant, nous allons avoir besoin d'un moyen de générer les hachages. Nous allons utiliser WinMD5, qui est un outil freeware léger qui permet de hacher des fichiers spécifiques. Téléchargez-le, décompressez-le et déposez-le dans le répertoire Hashcat. Nous allons créer deux nouveaux fichiers texte: hashes.txt et password.txt. Mettez les deux dans le répertoire Hashcat.
C'est tout! Vous avez terminé.
Une histoire populaire des guerres de hackers
Avant d'utiliser cette application, parlons un peu de la façon dont les mots de passe sont réellement brisés, et comment nous en sommes arrivés là.
Dans l'histoire brumeuse de l'informatique, il était pratique courante pour les sites Web de stocker les mots de passe des utilisateurs en texte brut. Cela semble avoir du sens. Vous devez vérifier que l'utilisateur a envoyé le mot de passe correct. Une façon évidente de le faire est de garder une copie des mots de passe sous la main dans un petit fichier quelque part, et de vérifier le mot de passe soumis par l'utilisateur dans la liste. Facile.
C'était un énorme désastre. Les hackers auraient accès au serveur via une tactique sournoise (comme demander poliment), voler la liste des mots de passe, se connecter, et voler l'argent de tout le monde. Alors que les chercheurs en sécurité se relevaient des décombres de cette catastrophe, il était clair que nous devions faire quelque chose de différent. La solution était le hachage.
Pour ceux qui ne sont pas familiers, une fonction de hachage Ce que signifie tout ce truc de hachage MD5 [Explication technologique] Ce que tout ce hachage MD5 signifie réellement [Technologie expliquée] Voici une version complète de MD5, un hachage et un petit aperçu des ordinateurs et de la cryptographie . Read More est un morceau de code qui prend une information et la calcule mathématiquement en un morceau de charabia de longueur fixe. C'est ce qu'on appelle «hacher» les données. Ce qui est cool chez eux, c'est qu'ils vont seulement dans une direction. Il est très facile de prendre une information et de comprendre son hash unique. Il est très difficile de prendre un hachage et de trouver un élément d'information qui le génère. En fait, si vous utilisez un mot de passe aléatoire, vous devez essayer toutes les combinaisons possibles pour le faire, ce qui est plus ou moins impossible.
Ceux d'entre vous qui suivent à la maison peuvent remarquer que les hachages ont des propriétés très utiles pour les applications de mot de passe. Maintenant, au lieu de stocker le mot de passe, vous pouvez stocker les hashs des mots de passe. Lorsque vous souhaitez vérifier un mot de passe, vous devez le hacher, supprimer l'original et le comparer à la liste des hashs. Les fonctions de hachage offrent toutes les mêmes résultats, vous pouvez donc toujours vérifier qu'ils ont soumis les mots de passe corrects. Fondamentalement, les mots de passe en clair ne sont jamais stockés sur le serveur. Ainsi, lorsque les pirates piratent le serveur, ils ne peuvent voler aucun mot de passe - seulement des hashs inutiles. Cela fonctionne raisonnablement bien.
La réponse des hackers était de dépenser beaucoup de temps et d'énergie à trouver des moyens astucieux d'inverser les hashs. Ophcrack - Un outil de piratage de mot de passe pour cracker presque n'importe quel mot de passe Windows Ophcrack - Un outil de piratage de mot de passe Beaucoup de raisons différentes pourquoi on voudrait utiliser un nombre quelconque d'outils de piratage de mot de passe pour pirater un mot de passe Windows. Lire la suite .
Comment fonctionne Hashcat
Nous pouvons utiliser plusieurs stratégies pour cela. L'un des plus robustes est celui utilisé par Hashcat, qui consiste à remarquer que les utilisateurs ne sont pas très imaginatifs et ont tendance à choisir les mêmes types de mots de passe.
Par exemple, la plupart des mots de passe sont constitués d'un ou deux mots anglais, de quelques chiffres et peut-être d'un remplacement de lettres «leet-speak» ou d'une majuscule aléatoire. Parmi les mots choisis, certains sont plus susceptibles que d'autres: «mot de passe», le nom du service, votre nom d'utilisateur, et «bonjour» sont tous populaires. Idem populaires noms de compagnie, et l'année en cours.
Sachant cela, vous pouvez commencer à générer des suppositions très plausibles sur ce que les différents utilisateurs ont pu choisir, ce qui devrait (éventuellement) vous permettre de deviner correctement, casser le hachage, et avoir accès à leurs informations de connexion. Cela ressemble à une stratégie désespérée, mais rappelez-vous que les ordinateurs sont ridiculement rapides. Un ordinateur moderne peut essayer des millions de suppositions par seconde.
C'est ce que nous ferons aujourd'hui. Nous ferons semblant que vos mots de passe sont dans une liste de hachage entre les mains d'un pirate malveillant, et exécutant le même outil de hachage que les hackers utilisent sur eux. Pensez-y comme un exercice d'incendie pour votre sécurité en ligne. Voyons comment ça se passe!
Comment utiliser Hashcat
Premièrement, nous devons générer les hachages. Ouvrez WinMD5 et votre fichier "password.txt" (dans le bloc-notes). Entrez l'un de vos mots de passe (un seul). Enregistrez le fichier. Ouvrez-le en utilisant WinMD5. Vous verrez une petite boîte contenant le hachage du fichier. Copiez cela dans votre fichier 'hashes.txt' et enregistrez-le. Répétez ceci, en ajoutant chaque fichier à une nouvelle ligne dans le fichier 'hashes.txt', jusqu'à ce que vous ayez un hash pour chaque mot de passe que vous utilisez régulièrement. Ensuite, juste pour le plaisir, mettre dans le hachage pour le mot «mot de passe» comme la dernière ligne.
Il vaut la peine de noter ici que MD5 n'est pas un très bon format pour stocker les hachages de mot de passe - il est assez rapide à calculer, ce qui rend le forçage brut plus viable. Puisque nous faisons des tests destructifs, c'est un avantage pour nous. Dans une véritable fuite de mot de passe, nos mots de passe seraient hachés avec Scrypt ou une autre fonction de hachage sécurisée, qui est plus lente à tester. En utilisant MD5, nous pouvons essentiellement simuler l'injection de beaucoup plus de puissance et de temps de traitement que nous n'en avons réellement.
Ensuite, assurez-vous que le fichier 'hashes.txt' a été enregistré et affichez Windows PowerShell. Accédez au dossier Hashcat ( cd .. monte d'un niveau, ls répertorie les fichiers en cours, et cd [nom de fichier] entre dans un dossier du répertoire courant). Maintenant, tapez ./hashcat-cli32.exe -hash-type = 0 -attack-mode = 8 hashes.txt rockyou.txt .
Cette commande dit essentiellement "Exécutez l'application Hashcat. Réglez-le pour travailler sur les hachages MD5, et utilisez une attaque «mode prince» (qui utilise une variété de stratégies différentes pour créer des variantes sur les mots de la liste). Essayez de rompre les entrées dans le fichier 'hashes.txt' et utilisez le fichier 'rockyou.txt' comme dictionnaire.
Hit entrer, et accepter le CLUF (qui dit essentiellement "je jure que je ne vais pas pirater quoi que ce soit avec cela"), puis laissez-le fonctionner. Le hachage du mot de passe devrait apparaître dans une seconde ou deux. Après ça, c'est juste une question d'attente. Les mots de passe faibles apparaîtront en quelques minutes sur un processeur rapide et moderne. Les mots de passe normaux apparaîtront dans quelques heures à un jour ou deux. Les mots de passe forts peuvent prendre beaucoup de temps. Un de mes anciens mots de passe a été cassé en moins de dix minutes.
Vous pouvez laisser cela fonctionner aussi longtemps que vous le souhaitez. Je suggère au moins la nuit, ou sur votre PC pendant que vous êtes au travail. Si vous le faites 24 heures, votre mot de passe est probablement assez fort pour la plupart des applications - bien que ce ne soit pas une garantie. Les pirates peuvent être prêts à lancer ces attaques depuis longtemps ou avoir accès à une meilleure liste de mots. En cas de doute sur la sécurité de votre mot de passe, obtenez-en un meilleur.
Mon mot de passe a été brisé: maintenant quoi?
Plus que probablement, certains de vos mots de passe n'ont pas résisté. Alors, comment pouvez-vous générer des mots de passe forts pour les remplacer? En fait, une technique très forte (popularisée par xkcd) est celle des phrases de passe. Ouvrez le livre le plus proche, retournez à une page aléatoire et posez votre doigt sur une page. Prenez le nom, le verbe, l'adjectif ou l'adverbe le plus proche, et souvenez-vous-en. Lorsque vous en avez quatre ou cinq, mélangez-les sans espaces, chiffres ou majuscules. N'utilisez PAS "correcthorsebatterystaple". Il est malheureusement devenu populaire comme mot de passe, et est inclus dans de nombreuses listes de mots.
Un exemple de mot de passe que je viens de générer à partir d'une anthologie de science-fiction qui était assis sur ma table basse est "leanedsomeartisansharmingdarling" (n'utilisez pas celui-ci non plus). C'est beaucoup plus facile à retenir qu'une chaîne arbitraire de lettres et de chiffres, et c'est probablement plus sûr. Les anglophones ont un vocabulaire de travail d'environ 20 000 mots. En conséquence, pour une séquence de cinq mots communs choisis au hasard, il y a 20 000 ^ 5, soit environ trois sextillions de combinaisons possibles. C'est bien au-delà de toute attaque de force brute actuelle.
En revanche, un mot de passe de huit caractères choisis au hasard serait synthétisé en termes de caractères, avec environ 80 possibilités, y compris majuscules, minuscules, chiffres, caractères et espaces. 80 ^ 8 n'est qu'un quadrillion. Cela sonne toujours gros, mais le casser est en fait dans le domaine de la possibilité. Étant donné que dix ordinateurs de bureau haut de gamme (dont chacun peut faire environ dix millions de hachages par seconde), cela pourrait être brutalement forcé dans quelques mois - et la sécurité s'effondre totalement si elle n'est pas réellement aléatoire. C'est aussi beaucoup plus difficile à retenir.
Une autre option consiste à utiliser un gestionnaire de mots de passe, qui peut générer à la volée des mots de passe sécurisés, qui peuvent tous être «déverrouillés» à l'aide d'un seul mot de passe principal. Vous devez toujours choisir un très bon mot de passe principal (et si vous l'oubliez, vous êtes en difficulté) - mais si vos hachages de mot de passe sont divulgués dans une violation de site Web, vous disposez d'un niveau de sécurité supplémentaire.
Vigilance constante
Une bonne protection par mot de passe n'est pas très difficile, mais vous devez être conscient du problème et prendre des mesures pour rester en sécurité. Ce genre de test destructif peut être un bon appel de réveil. C'est une chose de savoir, intellectuellement, que vos mots de passe pourraient ne pas être sécurisés. C'en est une autre de le voir sortir de Hashcat après quelques minutes.
Comment vos mots de passe ont-ils résisté? Faites le nous savoir dans les commentaires!