Crackeur de mot de passe

L'auteur de ce sujet a trouvé une solution à son problème.
Auteur du sujet

Bonjour,

Je voudrais faire un audit de sécurité sur un annuaire LDAP pour vérifier que les mots de passe utilisés respectent bien les règles établies. Pour ça je cherche un logiciel crackeur de mot de passe.

J'ai vu qu'il existait Hydra Mais il s'appuie apriori sur une liste de mot de passe à tester (et moi je n'en ai pas).

Est-ce que vous connaissez des outils dans le genre (ou des moyen d'avoir des listes de mots de passe)? Idéalement, il faudrait que ça fonctionne sous un système Unix…

Note : je me fiche bien de récupérer le mot de passe, je veux juste identifier les utilisateurs pour qui il n'est pas suffisamment sécurisé

Xia, peluche olympienne |Python en s'amusant | Random xkcd

+0 -0

Cette réponse a aidé l'auteur du sujet

  • Si tu as les hash des mots de passe, le premier truc que tu peux faire, c'est de recherche les hashs dans un annuaire de hash. Si tu as un résultat positifs, c'est que le mot de passe est trop faible.

  • Seconde solution (duale de la première): récupérer une liste des 10 000 ou 100 000 mot de passe les plus courant et les tester avec Hydra.

Aspect complémentaire : s'assurer au moment du choix du mot de passe par l'utilisateur qu'il vérifie bien quelques regles basiques.

Édité par Davidbrcz

+0 -0
Auteur du sujet

Merci pour ces conseils. On m'a également orienté vers johntheripper.

Aspect complémentaire : s'assurer au moment du choix du mot de passe par l'utilisateur qu'il vérifie bien quelques regles basiques.

Davidbrcz

En fait c'est de là que tout est parti : j'ai mis en place des règles pour les nouveaux mots de passe, j'ai demandé aux utilisateurs d'en changer, mais je n'ai aucun moyen de savoir qui l'a fait et qui a gardé l'ancien…

Édité par Xia

Xia, peluche olympienne |Python en s'amusant | Random xkcd

+0 -0

Tu n'a pas obligé le changement du mot de passe? Tu ne stocke pas la date de dernière modif (peut être utile si tu veux le faire expirer ou autre).
Sinon tu peux toujours (reloux pour l'utilisateur), faire changer le mot de passe de tout le monde (obligatoirement) en permettant de réutiliser l'ancien si il est suffisamment compliqué.

+0 -0
Auteur du sujet

Tu n'a pas obligé le changement du mot de passe? Tu ne stocke pas la date de dernière modif (peut être utile si tu veux le faire expirer ou autre).
Sinon tu peux toujours (reloux pour l'utilisateur), faire changer le mot de passe de tout le monde (obligatoirement) en permettant de réutiliser l'ancien si il est suffisamment compliqué.

cariopes

La structure actuelle de l'annuaire ne permet pas d'obliger à changer de mot de passe ni de stocker la date de dernière modification (la refonte de l structure, c'est dans les projets de 2015).

On a aussi comme solution un peu extreme de modifier le mot de passe des utilisateurs pour qui on a réussi à le cracker.

Xia, peluche olympienne |Python en s'amusant | Random xkcd

+0 -0

Une technique encore plus brutale consiste à changer inconditionnellement les mots de passe de tout le monde avec des mots de passe qui respectent les nouveaux critères et à les inviter à re choisir leurs mots de passe.

Édité par Davidbrcz

+0 -0
Vous devez être connecté pour pouvoir poster un message.
Connexion

Pas encore inscrit ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte