Mot de passe, minuscules, majuscules et caractères spéciaux ?

Mot de passe, minuscules, majuscules et caractères spéciaux ?

Lors d’une Cryptoparty, une question sur la composition d’un mot de passe m’a était posée, la personne m’expliquait que l’informaticien de son boulot lui avait confirmé qu’un mot de passe de 15 caractères en minuscules était robuste, et que l’ajout de majuscule et/ou des caractères spéciaux ne servirait à rien.

J’ai répondu que cela était faux, et pour que le mot de passe soit le plus complexe possible il faut obligatoirement ajouter des majuscules et des caractères spéciaux.

En fait, nous avons raisons tous les deux, et ce fut une erreur de ma part de dire que l’informaticien avait tord.

Oui un mot de passe de 15 caractères tout en minuscule est un mot de passe robuste à l’heure actuelle, même si l’ajout des majuscules et des caractères spéciaux le rendent beaucoup plus complexe.

Plus c’est long plus c’est bon

Plus le mot de passe est long, moins il a besoin d’être d’être complexe, une chaîne aléatoire de caractère minuscule suffit, j’ai fais moi même des calcules avec mon ordinateur doté d’un processeur core i5.

L’attaque d’un mot de passe par Brute force est basé sur les mathématiques des « Permutations avec Répétition »

Si nous gardons notre exemple avec un mot de passe de 15 caractères

Cas N° 1 – Si il est composé uniquement de minuscule, il existe environ 3.7×1030 (3.7 Dekillion) de combinaisons possibles
Cas N° 2 – Si il est composé de minuscule et majuscule, il existe environ 14*1060 (14 Icosillion) de combinaisons possibles
Cas N° 3 – Si il est composé de minuscule, majuscule et de 18 caractères spéciaux, il existe environ 21*1081 (21 Icosiheptillion) de combinaisons possibles
Cas N° 4 – Si il est composé de minuscules, majuscules, chiffres et de 18 caractères spéciaux, il existe environ 1220*1090 (1220 Triacontillion) de combinaisons possibles

En sachant qu’un ordinateur de maison (Le mien en occurrence) avec un processeur de base (i5) combiné à un script de génération de combinaisons qui utilise les permutations avec Répétition, peut faire environ 256*1020 (256 Hexillion) de combinaisons/minute[1].

Il faut plus de 28209 ans pour tester toutes les combinaisons du premier cas, et a plus de 110*1033 année pour le Cas N° 2

Mais la période se réduit considérablement avec les superordinateurs, dont le plus puissant à l’heure actuel est le TaihuLight, il est 4,6 million de fois plus performant que notre petit i5.
En faisant un calcule grossier, il faut environ 2 jours et demi pour tester toutes les combinaisons du cas 1. Je vous rassure, tout le monde n’a pas de superordinateur sous la main.

Mais pour le cas n° 2, c’est a dire un mot de passe de 15 caractères, constitué de majuscules et minuscules on passe à 8,63*1030 années

Et cela n’est pas tous, dans les 4 cas que nous avons vu, nous connaissons le nombre de caractère, c’est a dire 15, imaginez vous, alors, le nombre de combinaisons possibles si le nombre de caractère était inconnu ?

Cela démontre bien qu’il est impossible, à l’heure actuelle, de casser un mot de passe de 15 caractères[2], même si celui-ci n’est constitué que de minuscules pour de « simple mortel » comme nous, mais que cela reste possible pour un superordinateur (2,5 jours)

Ce petit exemple démontre bien l’importance d’ajouter à ses mots de passe les majuscules, les chiffres et les caractères spéciaux.

Mais ce qu’il faut également retenir, c’est qu’il ne faut jamais donner les caractéristiques de son mot de passe, c’est à dire sa longueur et le type de caractères dont il est composé. Car en donnant ces deux informations, vous réduisez drastiquement le nombre de combinaisons possibles pour le casser, et cela est d’autant plus vrais si ce dernier fait moins de 10 caractères.

Je vous recommande de lire mon précédent article sur le gestion des mots de passe


[1]Théoriquement, le core i5 a une “puissance” d’environ 20 GigaFlops, alors que TaihuLight a lui une puissance de 93 pétaflops

[2]Ici je parles uniquement de mot de passe dont les caractères ont étaient générés aléatoirement, et non de mot de passe constitué de “mot” du dictionnaire ou du quotidien

Comment trouver le mot de passe d’un ZIP avec fcrackzip

Comment trouver le mot de passe d’un ZIP avec fcrackzip

Un fichier zip demande un mot de passe que vous n’avez pas ? fcrackzip est votre ami 🙂

Il arrive, souvent, de tomber sur des fichiers ZIP dont l’ouverture se fait via un mot de passe, et c’est très frustrant de tomber sur ce type de fichier si vous avez pas LE fameux sésame.

fcrackzip est un petit utilitaire libre, puissant et très facile à utiliser, il est développé et maintenu par Marc Lehmann. L’attaque du fichier ZIP peut se faire soit via un dictionnaire ou par brute force.

L’installation est très simple avec un simple apt-get

1
apt-get install fcrackzip

Vous pouvez aussi télécharger les fichiers sources et compiler vous même.

l’utilisation se fait selon la syntaxe suivante

1
fcrackzip option fichier.zip

Voici les options indispensables que vous devez connaître (toutes les options)

-h : Vous donne la version et l’aide
-v : Mode verbeux
-b : En mode Brute Force. Il tentera toutes les combinaisons possibles selon vos spécifications.
-D : utilisation d’un dictionnaire. Dans ce cas, on utilise un fichier qui doit contenir un mot de passe par ligne et doit être classé par ordre alphabétique
-c : nous spécifions les caractères à utiliser lors du brute-force, cela peut être une ou une combinaison de ce qui suit :

  • a = tous les caractères minuscules [a-z]
  • A = tous les caractères majuscules [A-Z]
  • 1 = tous les caractères numériques [0-9]
  • ! = inclure les caractères suivant [!:$%&/()=?{[]}+*~#]
  • : = inclure un ou plusieurs caractères spécifiques.

Pour utiliser fcrackzip avec un dictionnaire de mots, il faut utiliser l’option -D (–dictionary)

1
fcrackzip -D -p listeMots.txt monFichier.zip

Il va de soit qu’il faut un dictionnaire de bonne qualité, complet et assez bien fourni pour que cela fonctionne.

Pour l’utiliser en mode Brute-Force, il faut bien choisir les types de caractères et la longueur des mots de passe que nous voulons utiliser, plus vous mettez de type caractère plus l’attaque sera longue. il est de même si le nombre de caractère d’un mot de passe est élevé.
Il ne faut pas oublier l’option -b pour brute-force

Exemples de syntaxes

Tous les exemples si dessous sont en mode verbeux (-v) et test de dézip (-u pour unzip)

1
fcrackzip -b -c aaaaa -v -u monFichier.zip
1
fcrackzip -b -c a -v -u -l 5 monFichier.zip

Ces deux syntaxes sont identiques, ici seuls les mots de passe de 5 caractères en minuscules seront testés

1
fcrackzip -b -c aA -v -u -l 3-6 monFichier.zip

Les mots de passe entre 3 et 6 caractères contenant des minuscules et majuscules seront testés

1
fcrackzip -b -c aA1 -v -u -l 3-6 monFichier.zip

Les mots de passe entre 3 et 6 caractères contenant des minuscules, majuscules et chiffres seront testés

1
fcrackzip -b -c aA1! -v -u -l 3-6 monFichier.zip

Les mots de passe entre 3 et 6 caractères contenant des minuscules, majuscules, chiffres et les caractères spéciaux [!:$%&/()=?{[]}+*~#] seront testés

1
fcrackzip -b -c aA:.? -v -u -l 3-6 monFichier.zip

Les mots de passe entre 3 et 6 caractères contenant des minuscules, majuscules et caractères spéciaux “.” et “?” seront testés

Dès fois en vidéo c’est plus parlant : tuto vidéo

Voilà, à vous de jouer maintenant

Supprimer le mot de passe de session Windows

Supprimer le mot de passe de session Windows

Unlock
Supprimer le mot de passe de session Windows
Il arrive des fois que nous ayons besoin de supprimer un mot de passe d’une session windows, parce que tout simplement  il fut oublié, cela m’est déjà arrivé sur un ordinateur sur lequel  je travaille que rarement.
Plusieurs utilitaires existent, et mon préféré reste NT Password & Registry Editor, car très puissant, simple et très efficace.
Nous allons voir comment l’utilisé étape par étape.

Présentation

NT Password & Registry Editor est un petit utilitaire Linux qui réinitialise les mots de passes des sessions de compte Windows NT, Seven, XP  etc…

Mise en place

NT Password & Registry Editor peut être utilisé sur CD bootable ou sur une clé USB. Moi je préfère de loin le support CD, car facile à crée et c’est un support durable.
Pour commencer, téléchargez  « NT Password & Registry Editor » en cliquant ici
Ensuite graver l’image cd100627.iso sur un CD à l’aide d’un utilitaire, comme CDburnerXP par exemple. Une fois le CD gravé, faite booter le PC dessus.

NT Password & Registry Editor
Accueil NT Password & Registry Editor

Valider pas “Enter” pour continuer

la partition du système
Choix de la partition du système

Dans cette étape il faut mettre la partition du système, en générale c’est 1, mais par exemple comme dans notre cas c’est 2, car je suis sous Seven, et lors de sont installation, Seven s’octroi une petite partition de 100Mo pour son système de boot, qui est le 1.
C’est pour cette raisons que dans notre exemple je mets 2, et je valide

 NT Password & Registry Editor
NT Password & Registry Editor

Ensuite, je valide sans rien changer.

modification du mot de passe
Choisir modification du mot de passe

Ensuite, je met le choix “1”, pour la modification du mot de passe, et je valide par “Enter”

l'utilisateur
Choix de l’utilisateur l’utilisateur pour le changement de son mot de passe

Ensuite, je valide le choix “1” et cela pour la modification des données et le mot de passe de l’utilisateur que nous choisirons par la suite.

Choix de l'utilisateur
Choix de l’utilisateur

Dans cette étape nous choisissons l’utilisateur dont nous voulons supprimer le mot de passe, dans la plupart des cas vous pouvez laisser “Administrateur”, mais dans notre cas nous choisissons l’utilisateur “Mehdi”.

Choix 1 pour la suppressions du mot de passe
Choix 1 pour la suppressions du mot de passe

Valider le choix “1” pour supprimer définitivement le mot de passe de l’utilisateur choisi, vous pouvez faire une autre choix, par exemple pour que l’utilisateur “Mehdi” soit un administrateur, ou tout simplement désactivé le compte.
Comme dans notre cas nous voulons supprimer le mot de passe nous choisissons “1”

Mot de passe Supprimé
Confirmation de la suppression du mot de passe

C’est bon, le mot de passe est bien supprimé.
Pour quitter taper “!”  (Shift + & en  clavier Querty)

quittez l'application
Quittez l’application

Taper “q” pour quitter

Confirmer vos modification
Confirmer vos modification “y”

Puis Taper “y” pour sauvegarder votre choix

Valider les modifications
Valider les modifications

Ici, ne changer rien faite juste “Enter”

Et enfin pour terminer, sortez le CD
Et enfin pour terminer, sortez le CD

Et enfin pour terminer, sortez le CD de votre lecteur et redémarrer votre PC  avec les touches CTRL+ALT+SUP.
Enjoy ^^ Normalement vous pouvez vous connecté au compte choisi sans mot de passe.

 

[embedplusvideo height=”509″ width=”642″ standard=”http://www.youtube.com/v/ASQQWhP4TjE?fs=1″ vars=”ytid=ASQQWhP4TjE&width=642&height=509&start=&stop=&rs=w&hd=0&autoplay=0&react=0&chapters=&notes=” id=”ep9666″ /]

 

Important :Zenzla.com décline toute responsabilité concernant l’usage de ce tutoriel par des personnes mal intentionnées. Ce tutoriel a comme seul but de récupérer un compte dans le quel le mot de passe fut oublié
Nous vous rappelons de ce fait qu’il est strictement interdit d’utiliser ce logiciel pour cracker un mot de passe d’un compte qui ne vous appartient pas.