Commentaires sur : BarWF – Cracker un mot de passe MD5 à la vitesse de l’éclair

Par : John The Ripper rapide comme l’éclair grâce au GPU

John The Ripper rapide comme l’éclair grâce au GPU — Mon, 05 Oct 2009 07:31:35 +0000

[...] softs comme BarWF permettent donc de cracker en quelques minutes un simple mot de passe hashé comme celui [...]

Par : bauer

bauer — Sat, 14 Mar 2009 21:48:29 +0000

j’ai récupéré un ordi potable mais il y a un mot de passe pour ouvrir comment je pe faire pour m’en servir et enlever se mot de passe ? quelqu’un peut me renseigner ici?

Par : paulita

paulita — Mon, 02 Feb 2009 12:55:05 +0000

Sinon il y a les rainbow tables de hash md5.
exemple site base de donnée : http://pollydevstorm.zapto.org/md5/index.php

Par : YoyoS

YoyoS — Sat, 10 Jan 2009 08:00:19 +0000

I made 1062MHash/s with GPU 4870 not overclocked and a Q6600 overclocked to 3.2Ghz (90MHash/s) Total: 1150MHash/s !!!

Par : Michail

Michail — Tue, 06 Jan 2009 23:54:24 +0000

AMD beta is out

Par : Gilles

Gilles — Fri, 12 Dec 2008 17:09:14 +0000

Ca dit pas combien de temps en moyenne faut pour un passe « moyen », non ?
Car s’il faut toujours 1 an pour décrypter un mot de passe car ce n’est plus « toto » le plus courant…

Par : Michail

Michail — Thu, 11 Dec 2008 22:06:34 +0000

I’m the author of thins thing
Active development is still in progress.
Max speed is 3.6 billions/sec on 4×9800GX2 (screenshot on the forum).
Initial research on AMD cards shows ~950mil on AMD 4870@800Mhz.

Par : YDFiX

YDFiX — Thu, 11 Dec 2008 20:45:03 +0000

Votre steack, vous le voulez haché ou crypté ?!

Par : voodka2007

voodka2007 — Wed, 10 Dec 2008 20:37:56 +0000

Ou bien içi : http://perso.epitech.eu/~bevand_m/home.html

Par : voodka2007

voodka2007 — Wed, 10 Dec 2008 19:31:34 +0000

Avec une Ps3 ça monte a plus de 1 milliard/secondes :
http://www.google.com/search?hl=fr&q=crackstation+filetype%3Apdf&btnG=Rechercher&lr=

Par : Michael

Michael — Wed, 10 Dec 2008 18:11:54 +0000

@Korben, Miche et Mathieu : Testé et re-testé, c’est bien 350 000 000 key/sec qui sont annoncé sur le site, donc 750 millions pour Mathieu (oui on frise bien le milliard à la seconde, vous lisez correctement)

Par contre le soft nécessite encore beaucoup d’améliorations au niveau fonctionnel. Je le compare par exemple à Md5Bruter de timwarriner (faite un tour sur Google) qui lui permet de gérer les pauses, le découpage multi thread, core et machine, et surtout la recherche simultanée de plusieurs hash (bien pratique selon l’utilisation n’est-ce pas? :p)

Par : coolmic

coolmic — Wed, 10 Dec 2008 12:10:44 +0000

La limitation du nombre de tentative marche bien contre les force brute!
Mais dans mon exemple, c’est dans l’hypothèse que l’attaquant possède déjà le mot de passe hashé, l’algorithme complet du hashage effectué, et le salt si il y’en a un!
Par exemple dans le cas où j’ai accès à une base de données d’un forum IPB avec des milliers d’inscrit, je suis sur que une partie des inscrits utilisent le même mot de passe sur le forum et sur gmail ou hotmail, IPB utilise un simple salt avec plusieurs hashage MD5, si j’arrive à trouver le mot de passe, j’aurais accès à son compte mail.

Par : PoP

PoP — Wed, 10 Dec 2008 08:22:05 +0000

Si y’en a que la crypto intéresse : http://www.ecrypt.eu.org/

Par : Paganel75

Paganel75 — Wed, 10 Dec 2008 02:41:06 +0000

>> un mot de passe super long <<

… ou une demande de mot de passe de type challenge/answer, contre laquelle les attaques en force brute, même lentes (3 essais par jour vers des dizaines de milliers de machines différentes, par exemple) ne peuvent rien.

J’ai administré un jour un AIX où, quand le bon mot de passe était donné, on regardait de quand dataient les 4 tentatives infructueuses précédentes sur le même compte. Si elles dataient toutes de moins d’une heure, on répondait « Mot de passe incorrect » même si le mot de passe était correct. Il fallait pour débloquer le système un mot de passe de débloquage suivi cette fois-ci du bon mot de passe. De quoi décourager la brute force

Par : coolmic

coolmic — Wed, 10 Dec 2008 01:53:47 +0000

> Piwaï, si l’attaquant connaît le salt, et la méthode de hachage, je ne pense pas que ça le protège du brute force, le seul moyen de se défendre contre un brute force, c’est d’avoir soit un mot de passe super long, soit une fonction de hachage couteuse en temps de calcul (et encore, les PC deviennent de plus en plus puissants)!

Le salt protège contre les attaques au dico, rainbow table, etc..

Par : Pierre

Pierre — Tue, 09 Dec 2008 12:18:55 +0000

Il n’empêche que de nombreux sites continuent de stocker les mots de passe en md5.

Par : nephtys

nephtys — Tue, 09 Dec 2008 11:24:31 +0000

Omg je vien de tester c’est de la folie j’ai casser mon mdp avec ma 8800gts en 3 sec lol

Par : MyGB

MyGB — Tue, 09 Dec 2008 11:05:04 +0000

Y’a aussi ça : Plus rapide :
http://www.authsecu.com/decrypter-dechiffrer-cracker-hash-md5/decrypter-dechiffrer-cracker-hash-md5.php

Par : MatC

MatC — Tue, 09 Dec 2008 10:47:27 +0000

Hum, je vais tester ça, l’avantage de cet outils est d’être gratuit

Dans le même genre, très puissant et surtout très complet, il y a ElcomSoft Distributed Password Recovery (http://www.elcomsoft.com/edpr.html)

Par : PoP

PoP — Tue, 09 Dec 2008 10:29:19 +0000

Je sais pas pourquoi, mais quand je lis GTX je peux pas m’empêcher de voir une Fuego…

Par : Mathieu

Mathieu — Tue, 09 Dec 2008 10:22:21 +0000

Sur ma GTX260 il monte a 600M/s + 150M/s sur le Q6600

Par : Mich

Mich — Tue, 09 Dec 2008 09:57:35 +0000

Le site indique 350 M keys/sec, pour ma part je comprend 350 millions de clés par seconde et non « seulement » 350 000 clés/sec.

Dommage que je n’ai pas de geforce 9xxx

Par : Piwaï

Piwaï — Tue, 09 Dec 2008 09:34:46 +0000

J’appuie Lea et PoP, surtout que je suis en train de lire un énoooorme bouquin sur ce genre de truc (Network Security – PRIVATE communication in a PUBLIC World, que d’ailleurs je conseille car il est très détaillé), et effectivement on ne crypte pas en md5. Une fonction md5 est irréversible, on n’est pas censé pouvoir revenir au contenu d’origine.

En l’occurrence, c’est désormais possible, il me semble que c’est à cause de certaines faiblesses du MD5. Mais ça demande quand même un certain temps.

Christophe Jean > Je crois, mais je peux me tromper, que tout ce que tu fais là est globalement inutile, à part allonger le temps de hashage. Utiliser SHA-1 avec un salt devrait largement suffire, et rajouter une touche de md5 par dessus je n’en vois pas trop l’intérêt, tu pourrais tout aussi bien faire deux SHA-1 de suite, ou 10… enfin bref.

Merci en tout cas Korben pour l’info, cela confirme le MD5 est définitivement à abandonner.

Par : PoP

PoP — Tue, 09 Dec 2008 09:17:19 +0000

Arf, j’avais écrit « MD5 est un hachage pas un cryptage » et puis je me suis dit que j’allais passer pour un grincheux à poster ça comme premier commentaire.
Merci Lea! :-p

Par : Christophe Jean

Christophe Jean — Tue, 09 Dec 2008 09:15:13 +0000

C’est ce genre d’article qui m’a poussé à compliquer la tache des attaque par brute force (qui sont déjà envisageable qu’en local).
J’ai décidé d’utiliser un autre algorithme de hachage nommé SHA-1 (plus puissant que MD5), de lui ajouter des caractères spéciaux (arbitraire) et de le re-haché en MD5. Cette méthode à pour conséquence qu’en cas d’intrusion sur le serveur ou sur l’ordinateur client, la personne devra, avant de trouver votre mot de passe, trouver un mot de passe de plus de 40 caractères ! Ce qui a pour effet, à l’heure actuelle, d’allonger la durée du traitement du cracking par Brute Force de quelques centaines d’années .

Par : Lea

Lea — Tue, 09 Dec 2008 09:03:49 +0000

Bon, l’info est super intéressante mais comment dire…..

Ceci : « mot de passe crypté en MD5″ est pour la cryptologue que je suis une énormité. Je développe : MD5 est une fonction de hachage et non un algo de chiffrement. Donc on ne peut pas chiffrer un mot de passe avec MD5, on ne peut que le « hacher ». La principale (et énorme) différence est que dans un chiffrement il y a une histoire de clé, dans une fonction de hachage, il n’y en a pas. N’importe qui connaissant le message d’origine peut recalculer le haché.
Donc, ce logiciel, qui m’a l’air très intéressant par ailleurs, permet de retrouver le mot de passe à partir de son haché (ou condensé) MD5.

Pour plus d’info :
http://fr.wikipedia.org/wiki/MD5
http://fr.wikipedia.org/wiki/Fonction_de_hachage
http://fr.wikipedia.org/wiki/Chiffrement

P.S : contrairement à mon discours de l’autre jour sur chiffrer/crypter, là ce n’est pas une question de niveau de langue….