Pour trouver le mot de passe d’une machine Linux, c’est assez simple mais ça prend parfois du temps…
Tout d’abord, il vous faut un petit logiciel open source qui s’appelle John The Ripper .
John the Ripper est un logiciel libre de cassage de mot de passe, il est capable de casser différents formats de chiffrement de mots de passe, notamment les mots de passes crypt (Unix), MD5, Blowfish, Kerberos, AFS, et les LM hashes.
La fonction de John est de tester toutes les combinaisons possibles soit d’une liste de mot, soit de manière incrémentale pour faire correspondre le hash du mot de passe crypté avec celui du mot testé.
Bref, vous l’aurez compris, ça peut prendre du temps si le mot de passe est bien long et bien complexe.
Installation de John The Ripper (sous Radhat):
Apres le Téléchargement de l’outil John, extraire le dossier a l’aide de la commande :
Ensuite entrer dans le répertoire ou vous avez extrait le fichier compressé, puis lancez les commandes suivantes:
Noter la catégorie de votre système puis taper:
Demarrer John comme suit:
L’outil est prêt pour l’utilisation.
Utilisation de John The Ripper
Tout d’abord on crée un nouvel utilisateur sur notre système pour le test, qui se nommera funInformatique et on lui attribut le mot de passe ‘pass32′ :
Ensuite on récupère son mot de passe crypté depuis le fichier /etc/shadow (contient les mots de passe cryptée de tous les utilisateurs) .
mpass c’est le nom de notre fichier qui contient le mot de passe crypté.
Enfin, Pour pouvoir cracker ce mot de passe, on exécute John a l’aide de la commande suivante:
Une fois que John aura fini son travail, il ne vous restera plus qu’a afficher ce mot de passe avec la commande suivante :
ici, il aura fallu pas moins de 6 minutes 50 secondes à John pour trouver la solution :
Comment s’en protéger ?
Une solution pour parer toutes ces techniques, est donc d’utiliser un mot de passe long comportant une multitude de caractères différents.
On devra également multiplier le nombre de mots de passe. En effet, utiliser le même et unique mot de passe pour protéger toutes ces données est fortement déconseillé.
Pour plus de nouveautés, merci de vous abonner à la newsletter du blog ou à son flux RSS. N’hésitez pas aussi à faire un tour sur Twitter, Google+ ou encore Facebook pour d’autres news.
Pour plus de nouveautés, merci de vous abonner à la newsletter du blog ou à son flux RSS. N’hésitez pas aussi à faire un tour sur Twitter, Google+ ou encore Facebook pour d’autres news.
0 commentaires:
Enregistrer un commentaire