Mot de passe, minuscules, majuscules et caractères spéciaux ?

Mot de passe, minuscules, majuscules et caractères spéciaux ?

Lors d’une Cryptoparty, une question sur la composition d’un mot de passe m’a était posée, la personne m’expliquait que l’informaticien de son boulot lui avait confirmé qu’un mot de passe de 15 caractères en minuscules était robuste, et que l’ajout de majuscule et/ou des caractères spéciaux ne servirait à rien.

J’ai répondu que cela était faux, et pour que le mot de passe soit le plus complexe possible il faut obligatoirement ajouter des majuscules et des caractères spéciaux.

En fait, nous avons raisons tous les deux, et ce fut une erreur de ma part de dire que l’informaticien avait tord.

Oui un mot de passe de 15 caractères tout en minuscule est un mot de passe robuste à l’heure actuelle, même si l’ajout des majuscules et des caractères spéciaux le rendent beaucoup plus complexe.

Plus c’est long plus c’est bon

Plus le mot de passe est long, moins il a besoin d’être d’être complexe, une chaîne aléatoire de caractère minuscule suffit, j’ai fais moi même des calcules avec mon ordinateur doté d’un processeur core i5.

L’attaque d’un mot de passe par Brute force est basé sur les mathématiques des « Permutations avec Répétition »

Si nous gardons notre exemple avec un mot de passe de 15 caractères

Cas N° 1 – Si il est composé uniquement de minuscule, il existe environ 3.7×1030 (3.7 Dekillion) de combinaisons possibles
Cas N° 2 – Si il est composé de minuscule et majuscule, il existe environ 14*1060 (14 Icosillion) de combinaisons possibles
Cas N° 3 – Si il est composé de minuscule, majuscule et de 18 caractères spéciaux, il existe environ 21*1081 (21 Icosiheptillion) de combinaisons possibles
Cas N° 4 – Si il est composé de minuscules, majuscules, chiffres et de 18 caractères spéciaux, il existe environ 1220*1090 (1220 Triacontillion) de combinaisons possibles

En sachant qu’un ordinateur de maison (Le mien en occurrence) avec un processeur de base (i5) combiné à un script de génération de combinaisons qui utilise les permutations avec Répétition, peut faire environ 256*1020 (256 Hexillion) de combinaisons/minute[1].

Il faut plus de 28209 ans pour tester toutes les combinaisons du premier cas, et a plus de 110*1033 année pour le Cas N° 2

Mais la période se réduit considérablement avec les superordinateurs, dont le plus puissant à l’heure actuel est le TaihuLight, il est 4,6 million de fois plus performant que notre petit i5.
En faisant un calcule grossier, il faut environ 2 jours et demi pour tester toutes les combinaisons du cas 1. Je vous rassure, tout le monde n’a pas de superordinateur sous la main.

Mais pour le cas n° 2, c’est a dire un mot de passe de 15 caractères, constitué de majuscules et minuscules on passe à 8,63*1030 années

Et cela n’est pas tous, dans les 4 cas que nous avons vu, nous connaissons le nombre de caractère, c’est a dire 15, imaginez vous, alors, le nombre de combinaisons possibles si le nombre de caractère était inconnu ?

Cela démontre bien qu’il est impossible, à l’heure actuelle, de casser un mot de passe de 15 caractères[2], même si celui-ci n’est constitué que de minuscules pour de « simple mortel » comme nous, mais que cela reste possible pour un superordinateur (2,5 jours)

Ce petit exemple démontre bien l’importance d’ajouter à ses mots de passe les majuscules, les chiffres et les caractères spéciaux.

Mais ce qu’il faut également retenir, c’est qu’il ne faut jamais donner les caractéristiques de son mot de passe, c’est à dire sa longueur et le type de caractères dont il est composé. Car en donnant ces deux informations, vous réduisez drastiquement le nombre de combinaisons possibles pour le casser, et cela est d’autant plus vrais si ce dernier fait moins de 10 caractères.

Je vous recommande de lire mon précédent article sur le gestion des mots de passe


[1]Théoriquement, le core i5 a une “puissance” d’environ 20 GigaFlops, alors que TaihuLight a lui une puissance de 93 pétaflops

[2]Ici je parles uniquement de mot de passe dont les caractères ont étaient générés aléatoirement, et non de mot de passe constitué de “mot” du dictionnaire ou du quotidien

Comment trouver le mot de passe d’un ZIP avec fcrackzip

Comment trouver le mot de passe d’un ZIP avec fcrackzip

Un fichier zip demande un mot de passe que vous n’avez pas ? fcrackzip est votre ami 🙂

Il arrive, souvent, de tomber sur des fichiers ZIP dont l’ouverture se fait via un mot de passe, et c’est très frustrant de tomber sur ce type de fichier si vous avez pas LE fameux sésame.

fcrackzip est un petit utilitaire libre, puissant et très facile à utiliser, il est développé et maintenu par Marc Lehmann. L’attaque du fichier ZIP peut se faire soit via un dictionnaire ou par brute force.

L’installation est très simple avec un simple apt-get

1
apt-get install fcrackzip

Vous pouvez aussi télécharger les fichiers sources et compiler vous même.

l’utilisation se fait selon la syntaxe suivante

1
fcrackzip option fichier.zip

Voici les options indispensables que vous devez connaître (toutes les options)

-h : Vous donne la version et l’aide
-v : Mode verbeux
-b : En mode Brute Force. Il tentera toutes les combinaisons possibles selon vos spécifications.
-D : utilisation d’un dictionnaire. Dans ce cas, on utilise un fichier qui doit contenir un mot de passe par ligne et doit être classé par ordre alphabétique
-c : nous spécifions les caractères à utiliser lors du brute-force, cela peut être une ou une combinaison de ce qui suit :

  • a = tous les caractères minuscules [a-z]
  • A = tous les caractères majuscules [A-Z]
  • 1 = tous les caractères numériques [0-9]
  • ! = inclure les caractères suivant [!:$%&/()=?{[]}+*~#]
  • : = inclure un ou plusieurs caractères spécifiques.

Pour utiliser fcrackzip avec un dictionnaire de mots, il faut utiliser l’option -D (–dictionary)

1
fcrackzip -D -p listeMots.txt monFichier.zip

Il va de soit qu’il faut un dictionnaire de bonne qualité, complet et assez bien fourni pour que cela fonctionne.

Pour l’utiliser en mode Brute-Force, il faut bien choisir les types de caractères et la longueur des mots de passe que nous voulons utiliser, plus vous mettez de type caractère plus l’attaque sera longue. il est de même si le nombre de caractère d’un mot de passe est élevé.
Il ne faut pas oublier l’option -b pour brute-force

Exemples de syntaxes

Tous les exemples si dessous sont en mode verbeux (-v) et test de dézip (-u pour unzip)

1
fcrackzip -b -c aaaaa -v -u monFichier.zip
1
fcrackzip -b -c a -v -u -l 5 monFichier.zip

Ces deux syntaxes sont identiques, ici seuls les mots de passe de 5 caractères en minuscules seront testés

1
fcrackzip -b -c aA -v -u -l 3-6 monFichier.zip

Les mots de passe entre 3 et 6 caractères contenant des minuscules et majuscules seront testés

1
fcrackzip -b -c aA1 -v -u -l 3-6 monFichier.zip

Les mots de passe entre 3 et 6 caractères contenant des minuscules, majuscules et chiffres seront testés

1
fcrackzip -b -c aA1! -v -u -l 3-6 monFichier.zip

Les mots de passe entre 3 et 6 caractères contenant des minuscules, majuscules, chiffres et les caractères spéciaux [!:$%&/()=?{[]}+*~#] seront testés

1
fcrackzip -b -c aA:.? -v -u -l 3-6 monFichier.zip

Les mots de passe entre 3 et 6 caractères contenant des minuscules, majuscules et caractères spéciaux “.” et “?” seront testés

Dès fois en vidéo c’est plus parlant : tuto vidéo

Voilà, à vous de jouer maintenant

Café vie privée à l’Atelier Numérique de Versailles

Café vie privée à l’Atelier Numérique de Versailles

coucou,

Les cafés “vie privée” sortent de Paris et sa proche ceinture pour atterrir dans les Yvelines, et plus exactement à Versailles.
Je vous donne donc, rendez-vous le samedi 17 octobre pour une café vie privée/Chifrfêtte/crypto-Partye à l’Atelier Numérique de Versailles

Atelier Numérique de Versailles
8 rue Saint Simon
Versailles, 78000 France

Café vie privée

Pour rappel, les chiffrofêtes, café vie privée, ou CryptoParty sont des événements grand public pour vulgariser le chiffrement et la protection de données personnelles, ainsi qu’avoir une hygiène numérique efficace, via des discussions et/ou échange et l’utilisation d’outils appropriés.
Amener vos PC, smartphones ou autre.

N’hésiter

3ème édition du café vie privée @numaparis

3ème édition du café vie privée @numaparis

cryptoparty
cryptoparty

Hello all,

Café vie privée ou Chiffrofête! la troisième édition se tiendra le samedi 22 février pour la première fois Numaparis au 39, rue du Caire à Paris. Pour rappel les deux premières éditions se sont tenues à Simplon,

Alors le Café vie privée, c’est quoi? C’est un joyeux rassemblement où échangent des personnes de tout âge, de tous sexes, de tous niveaux techniques dont la préoccupation principale est la protection de la vie privée et des données personnelles.

Alors venez apprendre à protéger vos communications et vos données en ligne, l’entrée est gratuite!!

Pour cela ;

– Amenez votre ordinateur portable.
– Amenez, si possible, quelques douceurs salées ou sucrées; bonbons, gâteaux, chips etc.. car tous va bien quand le ventre est plein!!
– Si vous hésitez, car vous n’y connaissez rien.. bah c’est l’occasion d’apprendre, vous y repartirez bien plus informé que lors de votre arrivée, c’est une certitude.

Au menu de ce Café Vie privée 3.0 :

– navigation anonyme et sécurisée,
– messagerie instantanée “off the record”.
– comment chiffrer ses données
– comment gérer ses mots de passe

J’y serai certainement, donc venez nombreux ^^

Café vie privée 3.0
39, rue du Caire
75002 Paris

Comment gérer ses phrases de passe ou mots de passe?

Comment gérer ses phrases de passe ou mots de passe?

Protéger les mots de passes
Protéger les mots de passes

Via ce billet, je vais essayer d’apporter ma modeste contribution à ce sujet aussi vaste soit-il.
Il est conseillé, aujourd’hui, d’avoir un mot de passe différent pour chaque application que nous utilisons (mail, forum, site etc..). Le problème qui se pose, est la multiplication de mot de passe à retenir.

Beaucoup proposent l’utilisation de logiciels permettant le stockage des mots de passe chiffrés (keepass, le trousseau mac ..) , et l’accès à ces mots de passe se fait via un seul « mot de passe maitre » que vous devez donc retenir.

Ceci certes, facilite la gestion des mots de passe, mais – dans ce cas – il faut avoir une confiance aveugle en la machine, et je l’avoue, ce n’est pas mon cas 0_o. C’est juste un avis personnel, et je n’enlève en rien la grande utilité de ces logiciels.

Donc, le meilleur moyen de ne pas oublier un mot de passe est de le mémoriser. Je vois déjà vos gros yeux qui s’écarquillent en se disant « mais comment je vais retenir 20 mots de passes ».

Une petite correction avant de continuer, par abus de langage je dis « mot de passe », mais j’entends par là « phrase de passe » qui doit contenir entre 15 et 30 caractères.

Comment choisir des phrases de passe.

Pour cela, j’ai une méthode facile et très efficace ; c’est de faire appel à ses souvenirs, ce souvenir doit être défini par : un lieu et/ou une personne et/ou un objet + une date + un adjectif, vous y ajoutez un caractère spécial ( ? , ! & * …)

Par exemple ; Vous avez assisté au dernier concert de Nirvana 18 février 1994 à Grenoble (Perso, un putain de souvenir !!) la phrase de passe serait alors PutainConcertNirvana94!, ou alors GTOconcertNirvana1994:P (GTO=j’étais au, : P c’est le smile  😛 ).

Ce type de mot de passe est impossible à trouver, même pour les personnes qui vous connaissent bien et qui sont allées avec vous au même concert, car il fait appel à des souvenirs persos, avec un adjectif, un caractère spécial et une construction de phrase dont vous êtes le seul à connaitre.

Vous allez me dire « Oui, mais cela ne résout pas le fait de mémoriser plusieurs mot de passe ! ». C’est juste, et c’est pour cette raison que vous devez classer vos applications selon l’impact que provoquerait leur perte (Du plus sensible ou moins sensible si vous préférez).

Importance du mot de passe
Importance du mot de passe

Exemple :

  • Groupe 1 : dans ce groupe nous mettons les données les plus sensibles ; la banque en ligne, votre compte mail principal, votre compte PayPal, Facebook etc… c’est-à-dire vos donner sensibles dont la perte vous causerez d’énormes soucis ; financiers, personnels, professionnels, judicaires etc..
  • Groupe 2 : ici, vous êtes le seul juge, par exemple un compte d’un forum de discussion sur lequel vous êtes un membre connu et respecté, et dont le piratage vous ennuierez fortement.
  • Groupe 3 : Dans les moins sensibles, vous pouvez mettre les éléments dont la perte n’est pas importante et dont l’impact sur votre vie est négligeable ou inexistant. Par exemple mon compte du le forum de MamyTherese.tld pour lire ces recettes.
  1. Dans le premier cas, la phrase de passe doit être unique pour chaque application. Ce n’est pas une recommandation, c’est une obligation.
  2. Dans le groupe 3, c’est-à-dire les données le moins sensible, utiliser un seul mot de passe pour tous. Ce mot de passe doit être, bien sûr, compliqué à trouver mais facile à mémorisé.
  3. Dans deuxième catégorie, bah vous faites un mélange des deux, une bonne phrase de passe, que vous utiliserez sur deux ou trois applications au maximum.

L’avantage de cette méthode, c’est qu’elle divise le nombre de mot de passe à retenir par 3 ou 4, et de ce fait, pas la peine de les stocker sur un logiciel.
L’inconvénient, c’est d’identifier les applications du groupe 2, car notre esprit (cartésien ou pas) a toujours des difficultés à identifier la zone grise qui est entre le noir et le blanc.

Voilà, ceci ne que un avis parmi tant d’autre, je sens que beaucoup de personnes ne seront en aucun cas en accord avec ce que je viens d’écrire ! Le débat est ouvert !!! (Les critiques aussi)

Vous avez aimé cet article ? Alors partagez-le ^^

Un petit retour sur le Café vie privée @simplonco

Un petit retour sur le Café vie privée @simplonco

Aujourd’hui, je vous propose un petit retour sur le “café de la vie privée” du 30 novembre @simplonco
Sans vous mentir, je suis plus à l’aise avec la rédaction de tuto que de compte rendu.

Bref,  l’endroit du rdv n’est pas facile à trouver, même si il y avait une petite affiche précisant l’endroit et les contacts des organisateurs.

Le simplon.co est une école de formation, un peu particulière de codeur entrepreneur, qui privilégie la formation des catégories sous-représentées dans la domaine informatique ; filles, personnes en situation de handicap ou issues de milieux modestes, des quartiers populaires, de la diversité..

Le lieu ressemble fortement à un Hackerspace, l’anonymat du lieu en moins, de la lumière en plus ^^

Les personnes venaient des divers horizons, et ayant des compétences multiples et de tous les niveaux
Le seul visage familier fut JCC, notre cher président de l’association Root66.

Un bref topo sur l’anonymat dans les réseaux fut présenté par les organisateurs ; Micro_ouvert Skhaen et Okhin entre autre.

3 ateliers furent proposés,

1 – Truecrypt le chiffrement de centenaires ou de disque, et gestion des mots de passes avec Keepass. Atelier animé par Skhaen

2 – Tor et l’anonymat sur internet, animé par Nicolas Vinot aka Aeris22

3 – Chiffrement de messagerie avec PGP/GPG, Thunderbird + Enigmail, animé par axl

Personnellement j’ai suivi le 1er atelier, même si je connais bien truecryp, j’ai  découvert le gestionnaire de mot de passe Keepass, qui est un trousseau de phrases de passe cryptés  mais dont je me passerai, car le meilleur gestionnaire de mot de passe reste votre mémoire, je n’ai pas assez confiance en la machine pour y stocker mes mots de passe.
J’anticipe le troll, et je dis que cela reste que mon avis.

J’ai eu l’occasion de discuter avec plusieurs intervenants et assistants notamment Aeris22, Okhine, et Genma.
Les échanges fut fort sympathiques, mais surtout très intéressants. Le sujet de nos discussions? Bah rien de vraiment extraordinaire ; l’anonymat sur internet, Tor, Bitcoin, chiffrement etc..!! En fait nous ne nous sommes pas éloignés du sujet initial.

Ce fut aussi l’occasion avec JCC de présenter les activités de Root66, et discuter d’une éventuelle collaboration pour des futurs présentation et/ou intervention des organisateurs et animateurs au programme de root66.

J’ai quitté le Simplon.co avec la ferme intention de participer à la prochaine édition et de revoir les protagonistes de ce joyeux rassemblement.

Supprimer le mot de passe de session Windows

Supprimer le mot de passe de session Windows

Unlock
Supprimer le mot de passe de session Windows
Il arrive des fois que nous ayons besoin de supprimer un mot de passe d’une session windows, parce que tout simplement  il fut oublié, cela m’est déjà arrivé sur un ordinateur sur lequel  je travaille que rarement.
Plusieurs utilitaires existent, et mon préféré reste NT Password & Registry Editor, car très puissant, simple et très efficace.
Nous allons voir comment l’utilisé étape par étape.

Présentation

NT Password & Registry Editor est un petit utilitaire Linux qui réinitialise les mots de passes des sessions de compte Windows NT, Seven, XP  etc…

Mise en place

NT Password & Registry Editor peut être utilisé sur CD bootable ou sur une clé USB. Moi je préfère de loin le support CD, car facile à crée et c’est un support durable.
Pour commencer, téléchargez  « NT Password & Registry Editor » en cliquant ici
Ensuite graver l’image cd100627.iso sur un CD à l’aide d’un utilitaire, comme CDburnerXP par exemple. Une fois le CD gravé, faite booter le PC dessus.

NT Password & Registry Editor
Accueil NT Password & Registry Editor

Valider pas “Enter” pour continuer

la partition du système
Choix de la partition du système

Dans cette étape il faut mettre la partition du système, en générale c’est 1, mais par exemple comme dans notre cas c’est 2, car je suis sous Seven, et lors de sont installation, Seven s’octroi une petite partition de 100Mo pour son système de boot, qui est le 1.
C’est pour cette raisons que dans notre exemple je mets 2, et je valide

 NT Password & Registry Editor
NT Password & Registry Editor

Ensuite, je valide sans rien changer.

modification du mot de passe
Choisir modification du mot de passe

Ensuite, je met le choix “1”, pour la modification du mot de passe, et je valide par “Enter”

l'utilisateur
Choix de l’utilisateur l’utilisateur pour le changement de son mot de passe

Ensuite, je valide le choix “1” et cela pour la modification des données et le mot de passe de l’utilisateur que nous choisirons par la suite.

Choix de l'utilisateur
Choix de l’utilisateur

Dans cette étape nous choisissons l’utilisateur dont nous voulons supprimer le mot de passe, dans la plupart des cas vous pouvez laisser “Administrateur”, mais dans notre cas nous choisissons l’utilisateur “Mehdi”.

Choix 1 pour la suppressions du mot de passe
Choix 1 pour la suppressions du mot de passe

Valider le choix “1” pour supprimer définitivement le mot de passe de l’utilisateur choisi, vous pouvez faire une autre choix, par exemple pour que l’utilisateur “Mehdi” soit un administrateur, ou tout simplement désactivé le compte.
Comme dans notre cas nous voulons supprimer le mot de passe nous choisissons “1”

Mot de passe Supprimé
Confirmation de la suppression du mot de passe

C’est bon, le mot de passe est bien supprimé.
Pour quitter taper “!”  (Shift + & en  clavier Querty)

quittez l'application
Quittez l’application

Taper “q” pour quitter

Confirmer vos modification
Confirmer vos modification “y”

Puis Taper “y” pour sauvegarder votre choix

Valider les modifications
Valider les modifications

Ici, ne changer rien faite juste “Enter”

Et enfin pour terminer, sortez le CD
Et enfin pour terminer, sortez le CD

Et enfin pour terminer, sortez le CD de votre lecteur et redémarrer votre PC  avec les touches CTRL+ALT+SUP.
Enjoy ^^ Normalement vous pouvez vous connecté au compte choisi sans mot de passe.

 

[embedplusvideo height=”509″ width=”642″ standard=”http://www.youtube.com/v/ASQQWhP4TjE?fs=1″ vars=”ytid=ASQQWhP4TjE&width=642&height=509&start=&stop=&rs=w&hd=0&autoplay=0&react=0&chapters=&notes=” id=”ep9666″ /]

 

Important :Zenzla.com décline toute responsabilité concernant l’usage de ce tutoriel par des personnes mal intentionnées. Ce tutoriel a comme seul but de récupérer un compte dans le quel le mot de passe fut oublié
Nous vous rappelons de ce fait qu’il est strictement interdit d’utiliser ce logiciel pour cracker un mot de passe d’un compte qui ne vous appartient pas.