Casser un mot de passe

Soyez le premier à donner votre avis sur cette source.

Vue 23 329 fois - Téléchargée 3 623 fois

Description

Cette source propose differentes facons de casser des mots de passes. Ces techniques sont des techniques connues et ont pour but d'expliquer l'importance de choisir un mot de passe suffisamment long avec majuscules, minuscules, chiffres, caracteres speciaux.

Le lanceur qui permet de monter une attaque fonctionne a peu pres comme John the ripper (il y a un article sur wikipedia).

Je vous propose trois types d'attaques :
- L'attaque Brute Force : essayer tous les mots de passes possibles
- L'attaque par dictionnaire : essayer tous les mots de passes d'un dictionnaire
- L'attaque mixte : un mélange des deux attaques qui permet de faire tomber rapidement les mots de passes compose d'un mot et un ensemble de chiffres.

Le but de cette source n'est pas de pirater les mots de passes de vos copains, de toute facon, elle ne permet pas de le faire en l'etat, elle ne peut casser que les mots de passe que vous lui entrez.

Conclusion :


Mot de passe numerique : 1507
- Attaque par Brute Force
Fonctionne tres rapidement, si on sait que le mot de passe est numerique, attaque avec la chaine de caracteres de reference "0123456789"
Nombre d'iterations maximum pour un mot de passe de 4 chiffres = 9999
Nombre d'iterations pour ce mot de passe : 1507
- Attaque par dictionnaire
Ne fonctionne pas 1507 n'est pas dans le dictionnaire
- Attaque mixte
Fonctionnera sous certaines conditions aussi rapidement que l'attaque par Brute Force

Mot de passe qui est un mot : anticonstitutionnellement
- Attaque par Brute Force
Fonctionne bien si le mot de passe est court (moins de 6 caracteres), sinon, fonctionne difficilement; l'attaque aboutiera mais le temps sera long
Nombre d'iterations maximum pour un mot de passe de 25 minuscules : 26^25 = 2*10e35
Nombre maximum d'iterations pour un mot de passe de 4 minuscules : 456376
- Attaque par dictionnaire
Fonctionnera assez rapidement, surtout si le dictionnaire est trié par ordre alphabétique (ce tri n'est neamoins pas le plus judicieux)
Nombre d'iterations maximum : taille du dictionnaire 336531 dans notre cas
- Attaque mixte
Fonctionnera aussi rapidement que celle par dictionnaire

Mot de passe mot associe a deux chiffres bibine58
- Attaque par brute force
Fonctionne bien si le mot de passe est court (moins de 6 caracteres), sinon, fonctionne difficilement; l'attaque aboutiera mais le temps sera long
Nombre d'iterations maximum pour un mot de passe de 25 caracteres avec chiffres : 36^25 = 8*10e38
Nombre d'iterations maximum pour un mot de passe de 8 caracteres avec chiffres : 36^8 = 2821109907456
- Attaque par dictionnaire
Ne fonctionne pas
- Attaque Mixte
Fonctionne assez rapidement
Nombre d'iterations pour un mot suivi de deux chiffres = taille du dictionnaire * 100 = 33653100

Mot de passe complexe avec lettre minuscule et majuscule, chiffre et caracteres speciaux
- Attaque par brute force
Fonctionne bien si le mot de passe est court (moins de 6 caracteres), sinon, fonctionne difficilement; l'attaque aboutiera mais le temps sera long
Nombre d'iterations maximum pour un mot de passe de 4 caracteres : 91^4 = 68574961
Nombre d'iterations maximum pour un mot de passe de 8 caracteres : 91^8 = 4702525276151521
- Attaque par dictionnaire
Ne fonctionne pas
- Attaque Mixte
Ne fonctionne pas (ou du moins n'ameliore pas l'attaque par Brute Force)


Bilan : le tableau ci dessous indique le nombre de caracteres necessaires pour qu'une attaque aboutisse pour un mot de passe de 5 caracteres, et le temps qu'il faut pour casser le mot de passe en considérent qu'une itération = 1 ms

Type de mot de passeNombre d'iterationsTemps pour le casser
chiffre999991min 30sec
minuscules11881376 3h 15min
minuscules et chiffres6046617616h 45min
minuscules et majuscules3802040324j 12h
minuscules, majuscules, chiffres et caracteres speciaux624032145172j 5h

Codes Sources

A voir également

Ajouter un commentaire

Commentaires

Messages postés
6413
Date d'inscription
mardi 8 mars 2005
Statut
Modérateur
Dernière intervention
17 mai 2018
286
Regardes dans la classe Lanceur du package lancement, il y a une main et c'est là que tu dois entrer le mot de passe.
Messages postés
6
Date d'inscription
mercredi 14 avril 2010
Statut
Membre
Dernière intervention
24 juillet 2011

A l'aise ta conception, coup de chapeau mais selement je suis debutant en Java; ton programme j'essaie de le lancer et rien
. je ne sais où mettre un mot de passe pour le tester. Merci pour ton aide
Messages postés
6413
Date d'inscription
mardi 8 mars 2005
Statut
Modérateur
Dernière intervention
17 mai 2018
286
Là, oui, tu as raison, ca ne sert à même à rien d'essayer sur des serveurs avec ce dispositif de sécurité, on ne pourra pas y arriver de cette manière.

Ne serai-ce qu'en bloquant l'accès au compte pendant 10 minutes avec un mot de passe de 5 chiffres il faut 16 heures pour le casser au lieu de 1 minute 30 et si le mot de passe ne contient que des minuscules il faudra presque trois mois.

C'est vrai qu'en bloquant 24 heures pour un mot de passe de 4 chiffres, il faut 24 ans pour le casser (autant dire impossible)
Messages postés
20
Date d'inscription
jeudi 1 juillet 2010
Statut
Membre
Dernière intervention
3 avril 2011

il faut mettre 2 mot de passe différents avec minuscule, maj caract spé ^^.
Accepter que 3 tentatives fausses consécutives(quelque soit le temps)et débloquage au bout de 24H, 36H à la seconde fois, 48H la troisième...etc
Et là les possibilités sont exponentielles.
Le craquer devient impossible de notre vivant.
Messages postés
6413
Date d'inscription
mardi 8 mars 2005
Statut
Modérateur
Dernière intervention
17 mai 2018
286
Bonjour Dominique49,

En fait, mon programme ne permet pas de décrypter quoi que ce soit. Il ne réalise pas une attaque sur un chiffrement mais sur un mot de passe (éventuellement sur une clé de chiffrement mais pas sur le chiffrement lui même)

Il y a plusieurs solutions pour trouver un mot de passe qu'on ne connait pas :
- Aller le récupérer dans les bases de données ou dans les trames réseau(donc le décrypter)
- Le récupérer sur une boite de messagerie (quand un site vous envoi un mot de passe, il le fait en clair)
- demander la réinitialisation du mot de passe et sniffer le réseau (idem, le nouveau mot de passe est envoyé en clair)
- Utiliser un logiciel espion (KeyLogger)
- Attaquer le mot de passe par dictionnaire ou par brute force

Ma source permet d'attaquer par dictionnaire et par brute force. Le chiffrement ne permet pas de se protéger contre ce type d'attaque.

Pour se protéger contre ce type d'attaque (brute force ou dictionnaire) on peut mettre en place un nombre maximum d'échec en 10 minutes comme le propose areverse.

Les captcha sont plutot utilisées pour se prémunir contre les attaques de type flooding (deni de service), elles empêchent qu'un robot surcharge un serveur. On en voit rarement pour se protéger contre les attaques de type password cracking mais, c'est vrai ca pourrait marcher.

Globalement, les serveurs sont assez bien dotés pour se prémunir contre les attaques de type brute force, ce genre d'attaque est plus facile à mettre en place localement, pour accéder à un dossier zippé avec mot de passe par exemple ou pour trouver une clé de chiffrement.
Afficher les 22 commentaires

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.

Le fait d'être membre vous permet d'avoir des options supplémentaires.