Comment casser un mot de passe

Par exemple, quelqu’un m’a appelé une fois parce qu’un administrateur mécontent a changé tous les mots de passe avant de quitter. Dans une autre situation, j’ai reçu un CD avec un produit que j’examinais mais l’expéditeur a oublié de me donner le mot de passe de l’archive .zip. Ce ne sont que deux exemples parmi plusieurs qui m’ont obligé à plonger dans l’art noir de la fissuration par mot de passe. Techniques de craquage de mot de passe

Une faille de mot de passe par force brute consiste à essayer toutes les combinaisons de mots de passe possibles jusqu’à ce que vous trouviez celui qui fonctionne. Bien que ce concept semble assez simple, il peut être assez difficile. Vous ne pouvez pas commencer à entrer combinaisons de mots à l’écran de connexion Windows, par exemple. Cela prendra beaucoup de temps, et vous aurez probablement verrouiller le compte après quelques tentatives.


Les fissures de force brute sont mieux adaptées aux fichiers de données contenant des mots de passe: Vous pouvez utiliser une fissure de force brute sur un document Microsoft Word protégé par un mot de passe ou un fichier .zip. L’astuce consiste à trouver un utilitaire qui est conçu pour casser le type spécifique de fichier avec lequel vous travaillez (l’Internet est plein d’entre eux).

Lors de l’exécution d’un fissure de force brute, la longueur du mot de passe fait une différence dans le temps passé à craquer. Puisque les mots de passe longs sont la norme aujourd’hui, essayez de trouver un utilitaire multithread de mot de passe qui peut essayer plusieurs combinaisons de mots de passe en même temps.

Il y a des années, si je devais effectuer un fissure de force brute, Je voudrais copier le fichier sur plusieurs PC et faire travailler chacun sur la fissure. Par exemple, je configurerais un PC pour essayer des combinaisons de mots de passe de cinq caractères ou moins. Un autre PC peut essayer des mots de passe de six et sept caractères, tandis qu’un autre peut essayer des mots de passe de huit caractères.

Cette technique a toujours bien fonctionné sauf pour une occasion où quelqu’un m’a lancé une courbe en utilisant un mot de passe d’un caractère. Mon logiciel a craqué le mot de passe, mais j’ai supposé que le mot de passe ne pouvait pas être un personnage long, alors j’ai continué à essayer.

Les défenses contre les failles de force brute incluent le verrouillage des utilisateurs après quelques tentatives de connexion non valides et obligeant les utilisateurs à changer fréquemment leurs mots de passe. Le principal moyen d’empêcher un pirate d’obtenir un hachage à partir du registre Windows ou Active Directory est de refuser l’accès physique au serveur. Dictionnaire fissures

Les fissures du dictionnaire sont similaires aux fissures de force brute, sauf que l’utilitaire de craquage utilise des mots d’un dictionnaire plutôt que d’essayer tous les mot de passe possible combinaison. Dictionnaire fissures Cependant, les exigences de complexité du mot de passe ont rendu les fissures du dictionnaire presque obsolètes. Déchiffrement

Certaines anciennes applications encore utilisées aujourd’hui s’appuient sur des algorithmes de chiffrement statique. Quand il s’agit de casser un mot de passe pour une telle application, il est plus facile de décrypter le mot de passe que d’utiliser une attaque par force brute (il y a des utilitaires qui automatisent le processus). Bien sûr, même si vous utilisez un utilitaire pour effectuer une fissure de force brute contre une application moderne, cet utilitaire exécute le décryptage en coulisses en essayant d’utiliser chaque mot de passe possible comme une clé de cryptage. Contournement

Le contournement est généralement la méthode la plus difficile pour déchiffrer un mot de passe. L’idée de base est de contourner le mécanisme qui vérifie le mot de passe. Le contournement peut être utilisé à plusieurs fins. Par exemple, certains sites Web de piratage de logiciels contiennent des correctifs faits maison qui évitent la protection contre la copie ou les mécanismes d’application de licences pour diverses applications.

J’ai utilisé le contournement pour déchiffrer un mot de passe seulement une fois. Un client a réinitialisé le mot de passe de l’administrateur pour Windows et a entré par erreur le nouveau mot de passe. Par conséquent, le client n’avait aucun moyen de se connecter au système en tant qu’administrateur.

Bien que je ne veuille pas révéler exactement comment j’ai fait irruption, je vais vous dire que le processus impliquait de retirer le disque dur du serveur et de le connecter à une autre machine. De cette façon, j’étais libre de parcourir et d’éditer le contenu du disque sans que les fonctionnalités de sécurité de Windows ne me gênent – j’ai contourné les fonctions de sécurité de Windows. Je peux aussi vous dire que je n’ai pas déchiffré le mot de passe, mais plutôt le réinitialiser.

Le moyen le plus simple de déchiffrer un mot de passe est de trouver un utilitaire spécialement conçu pour fissure mots de passe pour le système d’exploitation ou l’application avec lesquels vous rencontrez des problèmes. Cependant, faites attention. Il existe de nombreux utilitaires gratuits de piratage de mot de passe sur les sites de piratage, mais ces utilitaires incluent souvent des charges utiles malveillantes. À mon avis, il est préférable de se procurer des utilitaires de craquage de mots de passe auprès des fournisseurs de logiciels commerciaux. Un fournisseur réputé fournira généralement une version d’essai de ses produits qui seront en mesure de déchiffrer des mots de passe extrêmement courts. Vous pouvez protéger un fichier avec un mot de passe court et essayer de casser votre fichier de test. Cela vous permet de confirmer que l’utilitaire fonctionne avant de dépenser de l’argent.

Brien Posey est un MVP de Microsoft à huit reprises avec deux décennies d’expérience en informatique. Avant de devenir rédacteur technique indépendant, Brien a travaillé comme directeur de l’information pour une chaîne nationale d’hôpitaux et d’établissements de soins de santé. Il a également été administrateur de réseau auprès de certaines des plus grandes compagnies d’assurance du pays et du département de la Défense des États-Unis à Fort Knox.