Sécurité Retour à la case départ Plan du site english version

Mots de passe

En construction

Généralités

Au cas où vous auriez passé les derniers siècles en hibernation, un petit rappel : un mot de passe, c'est un bout de texte que seul une ou quelques personnes connaissent, et qui permet de les authentifier ou de leur donner l'accès à un service restreint.
Parmi les utilisations les plus courantes, on trouve les systèmes d'exploitation multi-utilisateurs (Unix, Windows NT) ou les serveurs web protégés. Dans ces deux cas, le mot de passe vient en complément d'un identifiant.

Fragilités

Vol

Un mot de passe, ça se vole : on peut le "sniffer", pirater la base qui le contient ou regarder par dessus l'épaule de celui qui le tape.

Pour se protéger contre les regards curieux, on évite de l'afficher quand on le tape — l'affreux peut encore regarder le clavier, c'est plus difficile.

Contre le sniffer, on transmet le mot de passe chiffré (par exemple, les formulaires de connexion sont souvent transmis en HTTPS), ou bien on utilise un système de challenge / réponse.

Et contre les affreux hackers qui voleraient la base, là encore, on ne conserve pas les mots de passe en clair. Unix ou NT ne gardent qu'une "empreinte" des mots de passe. Lorsqu'un utilisateur se présente, le système "hâche" le mot et compare le résultat avec l'empreinte stockée.

Mais ce système (ou les challenges) ne sont pas invulnérables...

Cassage

Même si l'on n'a pas accès aux mots de passe en clair, on peut "essayer" des mots de passe plausibles, les passer à travers l'algorithme de hâchage et regarder si le résultat correspond à l'empreinte (ou à la réponse au challenge).

Selon le cas, les mots de passe peuvent être cassés par recherche exhaustive, si chaque test est rapide et si l'espace est suffisamment petit (mots de passe trop courts), ou bien par une attaque par dictionnaire. Ceci s'appuie sur un défaut bien humain (la recherche de la facilité) et consiste à utiliser une liste de mots communs. Dit autrement, on a plus de chance de trouver "toto" que "ZynBRRi".
Certains outils dérivent des mots probables du dictionnaire : à partir de "toto", on va essayer "toto1", "toto2", etc.

Parmi ces mots communs, on trouve : les mots de la langue de l'utilisateur et les prénoms.

En fait, tout ce verbiage ne servait qu'à amener ce qui suit...

Un dictionnaire de prénoms

Il est ici.

J'ai compilé ce machin depuis diverses sources...
Quelques remarques :

ispell

ispell et aspell sont des vérificateurs orthographiques libres. On trouve des dictionnaires dans tout un tas de langue, mais ils doivent être nettoyés avant d'être jetés en pâture à un outil comme Cracklib ou John. [...]


Sécurité Retour à la case départ Plan du site
Michel Arboi
Last modified: Sun Mar 25 16:17:06 CEST 2007