sécurité: Explorer les failles classiques élaboration:Mots de passe et Clés utilisateurs

Parallèlement aux usages malicieux qu'on peut faire des logiciels en lignes de commande : john the ripper ; Lophtcrack et Cain et Abel; il est bien possible et aisé d'exploiter ces outils pour explorer les failles classiques mots de passe et des clés utilisateurs afin de sécuriser et alerter les utilisateurs sur les pratiques et risques encourus .

En effet , techniquement un outil comme John the ripper est capable de casser différents formats de chiffrement de mots de passe, notamment les mots de passe crypt (Unix), MD5, Blowfish, Kerberos, AFS, et les LM hashes de Windows NT/2000/XP/2003. Des modules additionnels sont disponibles pour lui permettre de casser les mots de passe basés sur les hash MD4 et les mots de passe enregistrés dans MySQL ou LDAP, ainsi que les mots de passe NTLM, pour les dernières versions de Windows.

Il n'est pas nécessaire d'avoir un accès physique sur la machine à auditer, tant qu'on dispose d'un fichier dans lequel sont enregistrés les mots de passe chiffrés.

John s'utilise en ligne de commande: L'utilisateur commence par récupérer la liste de mots de passe cryptés, qu'il peut formater correctement pour la rendre compréhensible par John avec l'utilitaire unshadow. L'utilisateur lance John avec ou sans options, en précisant le chemin du fichier ou sont enregistrés les mots de passe cryptés. John affiche le type de formatage qu'il a détecté.

Ensuite, si l'utilisateur presse une touche, il verra apparaître une ligne du type "guesses: U time: V W% (X) c/s: Y trying: Z", ou U représente le nombre de mots de passe cassés, V le temps depuis le début de l'attaque, W le pourcentage effectué dans l'attaque, X représente le mode utilisé (simple, dictionnaire, ou incrémental), Y le nombre de coups par seconde et Z la dernière chaîne de caractères testée. Cette ligne peut changer en fonction des options spécifiées au programme.

Une fois le cassage fini, on peut afficher le mot de passe avec l'option --show chemin/vers/le/fichier.