Cracker le hash d'un mot de passe

Lorsque vous vous enregistrez sur un site web, vous renseignez un mot de passe, qui est stocké dans la base de données du site Internet. Évidemment, si les développeurs ont fait leur boulot correctement les mots de passe sont hachés et salés avant d'être stockés dans la base de données, c'est la base. Autant vous dire que quand je m'inscris sur un service qui me renvoie tout sourire un mail avec mon mot de passe en clair j'ai un peu envie d'écraser des chatons à gros coups de savate.


Ainsi, lorsque des méchants pirates avec leur jambe de bois et leur perroquet sur l'épaule pénètrent un système et accèdent à la base de données d'un site qu'ils diffusent généralement par la suite sur les réseaux P2P, les mots de passe sont protégés par ce chiffrement. Ils ne sont pas lisibles en clair puisqu'ils sont hachés et salés.

D'ailleurs ça veut dire quoi exactement ?

Le Hachage : Hacher un mot de passe, c'est le chiffrer (le crypter), via des algorithmes tels que MD5, SHA1 ou SHA-256 qui sont les plus courants.
Par exemple, lorsqu'on hache le mot de passe : azerty avec l'algorithme SHA-256 on obtient :
f2d81a260dea8a100dd517984e53c56a7523d96942a834b9cdc249bd4e8c7aa9

Le Salage : Saler un mot de passe permet d'ajouter une sécurité supplémentaire au hachage. Cela rend impossible les attaques par dictionnaire, qui permettent de comparer le hash d'un mot de passe avec une base de données (dictionnaire) des mots de passe les plus courants.

    Cela étant dit, un hacker a récemment diffusé une liste de plus d'1,5 milliards de mots de passe potentiels dans une archive compressée de 4Go, disponible ici en torrent (magnet link)(Le fichier .txt pèse 15Go une fois décompressé).

Cette liste contient les mots du dictionnaire, les mots de passe contenus dans les bases de données piratées ces dernières années et tous les mots présents dans Wikipédia, dans toutes les langues. Le paradis pour une attaque par brute-force en bonne et due forme. 

Vous comprenez maintenant l'intérêt d'avoir un mot de passe complexe composé de minuscules, majuscules, chiffres et caractères spéciaux et pas simplement un "mot" du dictionnaire ? :)

Ce hacker a également créé un outil en ligne baptisé CrackStation qui permet de cracker plusieurs algorithmes de hachage. Évitez d'y mettre n'importe quoi, genre votre vrai mot de  passe qui se retrouverait très vite dans cette liste...

La technique est loin d'être nouvelle et révolutionnaire mais c'est toujours bon d'aborder ce genre de sujet.


Partager cet article :
Fourni par Blogger.