dimanche 04 janvier
Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Liens connexes

Dépêche modérée par

Dépêche éditée par

: Sortie de John the Ripper version 1.7

Posté par Xavier Teyssier (Jabber id, page perso, ). Modéré le 13 février 2006.
0
John The Ripper est un logiciel de “cassage” de mot de passe, permettant aux administrateurs de sensibiliser les utilisateurs au bon choix de leurs mots de passe, disponible pour de nombreux systèmes Unix, DOS, Windows, BeOS et OpenVMS. Son principal objectif est de repérer les mauvais mots de passe.

Après plusieurs années de développement pendant lesquelles seules des “snapshots” ont été publiés, la version 1.7 vient d’être livrée [1].

John the Ripper permet aussi bien les attaques en force brute (recherche d’un mot de passe par le test de l’ensemble des combinaisons possibles) que les attaques par dictionnaire (test des différents mots présents dans une liste). Il est aussi possible de réaliser une attaque par dictionnaire étendue : utilisation des mots d’un dictionnaire et de variantes de ces mots fabriquées par des règles simples (passage majuscule/minuscule, insertion de chiffres, etc.).

Dans l'optique du "cassage" d'un mot de passe, une solution encore plus rapide peut être l’utilisation des “Rainbowtables”. Ces tables, bien que non exhaustives, contiennent un grand nombre de hashs précalculés, ce qui facilite grandement la recherche. C’est bien entendu très gourmand en espace mémoire, mais le gain en temps de recherche est considérable. Plus de détails sur les compromis temps/mémoire sont accessibles ici : [4]. Bien entendu, chacune de ces tables n’est valable que pour une longueur maximale et un jeu de caractère donné. De plus, certains systèmes (typiquement, les OS Unix/Linux) utilisent un “grain de sel”, c’est à dire une fonction simple choisie aléatoirement avec laquelle est traitée le hash du mot de passe. L’utilisation des Rainbowtables devient inefficace sur ces systèmes et le recours à John the Ripper ou un logiciel similaire est alors la seule solution.

On peut en profiter pour citer APG [3], un générateur de “bon” mot de passe, qui donne aussi un moyen mnémotechnique pour les retenir.

> Lire la suite (11 commentaires, moyenne: 2,9).   [dépêche : 609 caractères]

Dans l’annonce, on apprend que John The Ripper devient beaucoup plus rapide grâce à l’utilisation d'algorithmes plus performants, ainsi qu’à des optimisations du code plus poussées. On peut noter également une meilleure exploitation des ressources matérielles, tel que l’AltiVec pour les processeurs PowerPC G4 et G5, et le MMX sur les Intel Pentium.

Sont inclus dans cette version de nombreux pré-réglages optimaux pour des cibles prédéfinies, telles que OpenBSD sur la majeure partie des architectures 32 et 64 bits, Mac OS X pour PowerPC et x86, Linux sur x86-64 et PowerPC, etc.

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

APG, ça rox

Posté par Loïs Taulelle (page perso, ) le 13/02/2006 à 15:44. (lien). Évalué à 3.

Avé l'alias :

alias apg='apg -a 0 -M sNCL -n 8 -x 8 -m 8 -E I1l0O\|\_ -t'

Et c'est top-facile à scripter, aussi...

C'est efficace

Posté par 桃白白 (page perso, ) le 13/02/2006 à 19:42. (lien). Évalué à 4.

John The Ripper est un logiciel de “cassage” de mot de passe, permettant aux administrateurs de sensibiliser les utilisateurs au bon choix de leurs mots de passe,

Ouais c'est ca ouais

Cela dit c'est efficace, il m'a trouvé mes mots de passe en deux secondes.

--
Get Firefox!

Jawn : John the Ripper sur FPGA

Posté par Luzerne GANHIR (page perso, ) le 13/02/2006 à 20:30. (lien). Évalué à 3.

David “h1kari” Hulton à annoncé l'anné dernière lors du ShmooCon la création du projet Jawn. Le descriptif de la conférence se trouve ici :
http://www.shmoocon.org/2005/program.html#h1kari

Petite citation :


This talk will release a new tool (jawn) that implements the basic functionality of john the ripper in FPGA logic. Jawn v1.0 currently implements DES, MD5, and Blowfish hash password cracking and runs on the ROAG platform, a Type 2 PCMCIA card with a XILINX Virtex-II Pro FPGA and a fully embedded PowerPC with 128MB RAM, 32MB Flash ROM, Ethernet, Serial Ports, and CANBus. It supports simple distributed processing by setting how many bits of the keyspace you want to search and allows you to search for just alpha numeric, all typeable/printable characters, or the full keyspace. Future plans are to run the key generation on the PowerPC for intelligent password generation.

Les slides de la conférence qu'il a faite au CCC 2004, et qui porte le même titre :
"High-Speed Computing & Co-Processing with FPGAs"
http://www.ccc.de/congress/2004/fahrplan/files/340-fpga-slid(...)

Voila, pour ceux que le sujet intéresse, j'ai posté dernièrement sur Harded un article sur l'utilisation de FPGA dans le domaine de la cryptologie :
"Cryptographie/Cryptanalyse et FPGA"
http://harded.free.fr/site/?p=51

Bonne lecture.
Luzerne GANHIR

IHM de config pour neuneu

Posté par Bonnefille Guilhem (page perso, ) le 14/02/2006 à 13:25. (lien). Évalué à 2.

Moi, j'avais essayé d'utiliser JTR. Apparement, les mots de passe recherchés étaient assez bon (après plusieurs minutes, rien). Comme je connais vaguement la règle (le login suivi de chiffres par exemple) j'ai voulu rajouter une règle pour qu'il se concentre sur ce genre de possibilités. Et là, c'est la catastrophe : j'ai rien pigé à la conf.

Vous connaissez une IHM ou un générateur de règle à partir d'une syntaxe potable (du genre, à partir d'une simple regex) ?

Revenir en haut de page

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.1013s (dont 0.0275 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !