Commentaires sur : John The Ripper rapide comme l’éclair grâce au multi core

Par : KGPU – Accélérer Linux avec GPU Nvidia | FreeWays

KGPU – Accélérer Linux avec GPU Nvidia | FreeWays — Sat, 28 May 2011 22:18:16 +0000

[...] et des logiciels permettant de lancer ces calculs directement dans le GPU, comme par exemple BarWF capable de bruteforcer des milliers de hash en quelques secondes. KGPU veut pouvoir ramener ça au [...]

Par : KGPU – Accélérer Linux en utilisant la puissance du GPU | DailyLeaks

KGPU – Accélérer Linux en utilisant la puissance du GPU | DailyLeaks — Mon, 09 May 2011 20:29:18 +0000

[...] et des logiciels permettant de lancer ces calculs directement dans le GPU, comme par exemple BarWF capable de bruteforcer des milliers de hash en quelques [...]

Par : KGPU – Accélérer Linux en utilisant la puissance du GPU

KGPU – Accélérer Linux en utilisant la puissance du GPU — Mon, 09 May 2011 13:31:43 +0000

[...] et des logiciels permettant de lancer ces calculs directement dans le GPU, comme par exemple John The Ripper capable de bruteforcer des milliers de hash en quelques [...]

Par : mrboo

mrboo — Thu, 08 Oct 2009 09:12:41 +0000

Et que pense John d’un SHA-256(SHA-256(…(SHA-256(mot de passe)))) ?

Par : MikeZ

MikeZ — Tue, 06 Oct 2009 11:21:42 +0000

@kiwi
Le site oueb pour des raisons de sécurité ne stocke pas ton mot de passe mais son HASH… Quand tu te connecte, il hash le mot de passe que tu rentre et le compare au hash stocké sur son serveur..

un « hash » est un condensé mathématique d’un texte, par exemple. Que tu « hashe » l’intégralité de l’encyclopédie universalis ou ton mot de passe de x caractères le hash aura la même longueur :p. En aucun cas on ne peut retrouver directement le texte hashé à partir du hash…

Hashage(motdepasse) = HASH..

Il faut utiliser un logiciel qui teste les combinaisons possibles de caractères jusqu’a en trouver un qui correspond au hash qu’il connait. On pratique du « bruteforcing ».. Ce n’est pas forcément ton mot de passe, mais une expression qui convient tout de même: on parle alors de « collision ».

Toutefois cela reste très long si le mot de passe est compliqué.. D’où la news . Mais comme je le dit, en bruteforce de serveur c’est infaisable tester autant de mdp à la seconde .. le serveur saute vite… Et si c’est pour des gros serveurs qui « tiennent » ils auront vite fait de piger ce qui arrive..

Faut déjà un hash avant de « bruteforcer »….

Par : Clem

Clem — Mon, 05 Oct 2009 19:03:15 +0000

Gavage, merci pour l’info Korben.

Par : Noobi One Kenobi

Noobi One Kenobi — Mon, 05 Oct 2009 18:55:53 +0000

Faut peut-être que je la garde en fait ma 4870X2

Par : Kiwi

Kiwi — Mon, 05 Oct 2009 18:51:47 +0000

C’est kwa un mot de passe hashé? style 2fd4&d@fd47 ?

Par : waffle

waffle — Mon, 05 Oct 2009 17:41:09 +0000

À quand la version réseau et mpi ? =D

Par : Joji

Joji — Mon, 05 Oct 2009 15:36:18 +0000

1000 millions, c’est pas 1 millard ?

Par : MikeZ

MikeZ — Mon, 05 Oct 2009 12:22:19 +0000

De toute façon il faut déja le récupérer ce hash..
Donc à moins d’une faille PEBCAK ou d’un défaut de sécurité du site web/serveur..

Un admin consciencieux regarde les logs, et avec des tentatives erronées de login ca saute grave au yeux

Par : John

John — Mon, 05 Oct 2009 11:48:34 +0000

Si quelqu’un récupère ton hash, tu as plus à t’inquiéter de comment il l’a récupéré plutôt que du fait que le tools soit à disposition

Par : TrOu

TrOu — Mon, 05 Oct 2009 10:46:52 +0000

Pédagogique peut être mais peut-on qualifier de « pédagogique » le fait de laisser le soft disponible pour le voir utiliser par n’importe quel Kévin ?

Par : Jacob

Jacob — Mon, 05 Oct 2009 10:03:06 +0000

@Lenezir : Il ne reste plus qu’à complexifier les mots de passe (plus long, plus de caractères variés, ponctuation, majuscules, minuscules etc….
Ce genre d’outil est finalement très pédagogique pour faire « ressentir » pour de vrai la différence entre mot de passe bidon et un vrai mot de passe.

Par : sebsauvage

sebsauvage — Mon, 05 Oct 2009 09:45:35 +0000

« une durée de 1h30 pour un mot de passe de 8 lettres » (pour du MD5).

D’où l’intérêt pour les programmeurs d’apprendre à bien stocker/vérifier les mots de passe, c’est à dire SURTOUT PAS avec un simple hash (MD5 ou autre).

Voir http://www.commentcamarche.net/faq/sujet-8821-comment-bien-stocker-et-verifier-un-mot-de-passe

Je pense que la situation actuelle est assez abomifreuse, surtout en ce qui concerne les applications web.

Par : shnoulle

shnoulle — Mon, 05 Oct 2009 09:43:57 +0000

@Targhan: En même temps, tu peut carrément bruteforcer en direct en passant par des proxy anonyme pour éviter le blocage de ton IP. Il faut avoir une bonne raison de le faire, c'est tout.

Par : John

John — Mon, 05 Oct 2009 09:28:22 +0000

PoP> Y’a des collisions sur SHA-1 pour 2^63 opérations.

Par : PoP

PoP — Mon, 05 Oct 2009 09:11:58 +0000

MD5 sucks, SHA-1 FTW.

Par : Targhan

Targhan — Mon, 05 Oct 2009 08:56:30 +0000

Il suffit d’ajouter ce qu’on nomme du « Sel » ; c’est à dire une composante fixe qui va perturber le hash. Et là t’es bien malin avec ton mot de passe forcé qui n’a rien à voir avec le bon.

Par : Alix

Alix — Mon, 05 Oct 2009 08:34:49 +0000

J’adore, c’est énorme, well done John Jean.

Par : www.Romain-fr.net

www.Romain-fr.net — Mon, 05 Oct 2009 08:22:03 +0000

@Lenezir: combiner des hash md5() + sha1() ou autre… enfin faire des combinaisons complexe pour ne pas faciliter le décryptage

Par : Amaury

Amaury — Mon, 05 Oct 2009 08:12:47 +0000

Je pourrais m’amuser moi avec mon i7 et mon double 4850 en crossfire xD

Par : Lenezir

Lenezir — Mon, 05 Oct 2009 08:11:39 +0000

Qu’est-ce qu’on peut faire pour protéger nos mots de passes maintenant ? :s

Par : Korben

Korben — Mon, 05 Oct 2009 07:59:17 +0000

@Bruhn: @karpath: merci pour vos remarques, j’ai lu ses 2 articles et ça c’est un peu mélangé dans ma tête J’ai corrigé

Par : Pierre

Pierre — Mon, 05 Oct 2009 07:58:51 +0000

+1
c’est pour le multi cpu

Par : Bruhn

Bruhn — Mon, 05 Oct 2009 07:54:33 +0000

@karpath: Exact, t'as bien lu les premières lignes du billet de John Jean.

Par : karpath

karpath — Mon, 05 Oct 2009 07:50:10 +0000

si j’ai bien lu ta source la méthode de john-jean ne s’applique pas du tout au GPU mais aux CPU multicore. Le patch de bindshell permet de faire tourner une instance de JTR par core.