John The Ripper rapide comme l'éclair grâce au multi core
Depuis quelques années, le cracking de mots de passe hashé a bien progressé… Les bruteforces de hash prennent de moins en moins de temps, notamment grâce au déport des calculs du CPU vers les GPU de la carte graphique…
Des softs comme BarWF permettent donc de cracker en quelques minutes un simple mot de passe hashé comme celui qu’on trouve dans les bases de données Mysql ou dans les passwd / shadow des serveurs web. Avec une bonne carte graphique type ATI Radeon HD 4870 tournant sur une machine double core, BarWF peut atteindre des bruteforces allant à une vitesse de plus de 1 000 millions de hash à la seconde… Dingue !
BarWF c’est sympa mais limité uniquement aux MD5 et ce genre de logiciels exploitant les GPU de cartes graphiques sont rares. C’est pourquoi, John Jean, expert en sécurité après avoir publié un comparatif de ce genre de ce soft, vient de mettre en ligne une version tunée du célèbre cracker de mots de passe John The Ripper, afin de le faire tourner sur des processeurs Multi-Core. Du coup, il devient possible de cracker du MD5 natif, Mysql, Apache et IPB2, DES, BSDI DES, FreeBSD MD5, OpenBSD Blowfish, Kerberos AFS DES, LM DES, Netscape LDAP, NT MD4, Lotus 5, Microsoft Cache Hash, SHA1, MS-SQL, WPA PSK, …etc à la vitesse de l’éclair en lançant une instance de John The Ripper par Core…
John Jean a d’ailleurs publié ses benchmarks sur son blog, c’est très instructif. Il passe donc d’un crack de MD5 d’une durée de 11h sur un CPU classique à une durée de 1h30 pour un mot de passe de 8 lettres sur un multi core… Je vous laisse imaginer le délire !
Bref, il est fini le temps où vous pensiez que les mots de passes hashés en base de vos utilisateurs étaient secure car hashés…
Puis John Jean est sympa, car si vous voulez tester chez vous, il vous explique même comment installer cette version de John The Ripper tunée pour votre machine multicore.
Merci John Jean !
[Photo]
Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).