Les mots de passe Windows sont le plus en plus facile à craquer. Il y a quelque temps j'avais trouvé un logiciel qui me permettait de remettre un nouveau mot de passe administrateur en démarrant le PC sur une disquette ou un CD (sous Linux !).
Mais la, un peu par hasard, je suis tombé sur un logiciel capable de craquer les "password hash" Windows en quelques secondes si ceux-ci ont moins de 14 caractères et qu'ils utilisent un jeu de caractère prédeterminé (en gros ceux disponible sur le clavier).
Un "password hash" est ce qui est stocké à la place du mot de passe. Il ne s'agit pas d'un encryption du mot de passe lui-même donc il n'est pas possible de le decrypter. La principale méthode d'attaque est la méthode "brute" qui est bien sûr très couteuse en resources.
En générale quand on parle de sécurité d'une encryption on transforme la taille des clés en durée de calculs. Mais ici comme il s'agit de mot de passe et qu'on les essayes tous (les mots de passe et pas les clés), c'est le nombre de mots de passe possibles qui assurent la sécurité. Par exemple pour la méthode d'encryption de Windows et un mot de passe de 15 caractères alpha-numériques, y compris des majuscules et des caractères spéciaux et ponctuations, on arrive à un temps de calcul de 3,491,870,000,000,000 années, ce qui semble relativement sûr.
Ici la nouveauté c'est une amélioration de la méthode "brute" par des
précalculs stockés dans des fichiers. On utilise donc non seulement la puissance de calcul des ordinateurs, mais aussi leur puissance de stockage.
En effet, comme indiqué dans cet article (en), le plus long dans le processus d'essai des mots de passe est le calcul du hash du mot de passe présumé afin de comparer celui-ci avec le vrai hash. L'idéal serait d'avoir précalculé tous les hash possibles, mais cela prendrait le nombre d'années expliqué ci-dessus et un sockage enorme.
La solution (si on peut dire) proposé en 1980 par Martin Hellman et améliorée par Philippe Oechslin consiste à précalculer des données accélérant les calculs des hashs. Ces données peuvent prendre relativement longtemps à calculer (mais pas des années) et peuvent être stockées.
Typiquement, pour des mots de passe alphanumériques, la méthode de Philippe Oechslin trouve 99.9% des mots de passe en 13.6 secondes en utilisant 1.4GB de données précalculés (qui ont du prendre quelques jours ou quelques mois pour être préparées).
L'utilisation d'un peu plus de caractères (caratères spéciaux, ponctuations) augmente le temps à quelques minutes.
Bref, dans la mesure ou il ne semble pas facile d'utiliser des caractères chinois pour les mots de passe, il ne faut surtout pas compromettre les "password hash". Or il suffit d'un petit programme pour les récupérer (je l'ai testé) en mode administrateur. Il est aussi possible d'accéder à ces fichiers en démarrant sur une disquette ou un CD-ROM spécial.
Ce qui veut dire:
1/ Si vous laisse quelqu'un accéder à votre ordinateur en mode administrateur, il peut obtenir vos fichiers de password hash en moins d'un minute.
2/ Si vous laissez votre ordinateur chez quelqu'un il peut obtenir vos fichiers de password hash en quelques minutes.
3/ Une fois que les fichiers de password hash sont compromis, votre mot de passe est lui aussi compromis.
Bref, aussi bien sur Internet (la plupart des mots de passe circulent sans encryption) que sur vos ordinateurs personnels, vos mots de passe de servent qu'a empecher l'accès à un non spécialiste.
Rassurant n'est-ce pas ?
