Windows : un mot de passe de huit caractères cassé en quelques heures

Avygeil a écrit :



Bah le mot de passe Windows c’est pas non plus super utile…



Au niveau hacking, forensic ou autre, c’est vraiment trop facile de soit passer outre soit d’écraser le hash NTLM par un hash vide.



Feraient mieux de faire leurs tests sur du 7zip AES 256 ou WinRAR, là c’est juste histoire de prendre un algo super facile pour montrer des gros chiffres.







Windows n’est pas en cause (en tous cas, pas directement), c’est du brut force, l’algo utilisé, on s’en fout un peu, puisque le principe est de tester des combinaisons.

La news aurait pu indiquer un autre OS, ça serait la même chose.

Tout ce qui joue, c’est le temps de réponse de l’OS, plus, il est rapide à vérifier ton mot de passe, plus tu pourras en tester en un temps mini

Pour ce qui est du Hash, idem, on estime que dès que tu as accès à la machine, ce n’est plus vraiment du hack, sinon, c’est trop facile quelquesoit l’OS.

Vincent_H a écrit :



Et limité à trois essais " />







Je me permet une précision sur les 3 essais :)

Bloquer une session au bout de 3 essais, c’est une erreur que beaucoup de monde fait, et qu’il ne faut surtout pas faire.



Cela entraine des deni de services. Beaucoup de virus, comme conficker par exemple, faisait du brut force, et bloquait les comptes utilisateurs en entreprise quand il y avait une stratégie de blocage.



Il est facile d’imaginer la suite, le support utilisateurs se fait dépasser par un nombre d’appels impossible à gérer et plus personne ne peut travailler.



L’une de techniques éprouvée est le blocage temporaire.



Juste un exemple :



Au bout de 3 mots de passes, je bloque la session pendant 1 seconde :

• Ca ne gêne pas l’utilisateur qui mettra plus d’une seconde à entrer son mot de passe
  


• Le hacker (dans le cas des chiffres de la news) passera de 180 milliards d’essais à la seconde à…3 à la seconde, donc on multiplie par 60 milliards le temps nécessaire
  
  
  
  Il faut toujours partir du principe qu’un mot de passe peut être hacké, c’est juste un question de temps, il faut donc également une bonne supervision pour remonter un nombre de tentatives infructueuses

NeVeS a écrit :



Il y a des algos plus ou moins rapide à calculer. Dans le cas de Windows, le hash NTLM n’est qu’un hash MD4 du mot de passe en unicode (et on ne va pas parler du hash LM…), bien plus rapide à calculer qu’un sha512crypt ou un freebsdmd5 utilisé sous Linux ou BSD.

C’est bien le choix de l’algo dans l’OS qui est en cause, donc l’OS.





encore faut il avoir le hash







NeVeS a écrit :



Non, tu n’as pas bien compris : ici on attaque le hash en offline, c’est à dire qu’on récupère le hash et qu’on le bruteforce dans la grappe de serveur. Le temps de réponse de l’OS n’a aucune influence ici.





J’ai pas compris l’article alors, car pour moi c’est du brut force sur mot de passe







NeVeS a écrit :



On peut avoir accès au hash NTLM sans avoir accès physique à la machine.





Comment?

XalG a écrit :



Microsoft pourrait utiliser des algos plus à jour, genre un SHA2.







Oui, je suis d’accord.



Par contre, je ne suis peut-être pas encore réveillé mais quand on fait du brut force, on n’utilise toutes les combinaisons de mot de passe.

Le principe est simple, je prend un dictionnaire, j’essaye et je récupère le résultat.



Je ne vois pas où l’algo rentre en compte, à part dans le calcul pour vérifier si c’est bon ou pas.



Ce qui est important, c’est le nombre de caractères du mot de passe et les caractères acceptés.



Je vais essayer d’être plus clair. Si j’essaye 100 000 combinaison sur un hash .

J’envoie 100 000 user/mdp à la suite et à chaque fois, j’attends la réponse.

En quoi le type d’algo va jouer?