Tous les forums
Votre mot de passe/CrAcKiNg_FoRcE_BrUtE
30/11/2006 à 00h15
Ayant eu plusieurs fois des intrusions sur mon petit serveur distant, heureusement innofensives (oeuvres de hackers "blancs", des "gentils" qui veulent juste montrer à des innocents comme moi la vulnérabilité d'un systeme... ), je me suis intéressé au crackage des mots de passe, sujet qui nous concerne tous, par exemple sur eugenol.
Des logiciels de force brute essaient de passer un mot de passe en essayant des combinaissant de lettres/chiffres à une vitesse infernale.
N'importe qui sur notre forum peut :
-se déconnecter
- debrancher le modem
- le rebrancher pour changer d'IP
Et hop, ni vu ni connu, a moins d'une commission rogatoire qui va rapprocher l'IP du nom du fautif chez le fournisseur d'acces. Mais pour cela, il faut un délit grave.
- par exemple taper pseudo: attic
-mettre en place le logiciel de force brute, qui se connecte sans cesse et essaie des combinaisons, jusqu'à peut etre mot de passe: bingo. Et a lui la lecture et l'envoi de MP sous le nom de la victime.
Plus le mot de passe est long, et comporte de possibilités (lettres minusules, majuscules, chiffres), plus évidemment l'intrusion est lente, voire impossible.
Il existe un excellent site qui montre, en fonction des choix de codage du mot de passe, le temps moyen pour forcer l'intrusion illicite.
http://www.lockdown.co.uk/?pg=combi&s=articles
Ainsi,
-si le mot de passe n'utilise que 5 caracteres minuscules OU majuscules, sans chiffres
il faudra seulement 20 minutes pour rentrer sur votre pseudo.
- si vous n'utilisez que des chiffres, il faudra ... 10 secondes. Effrayant. Et ces chiffres vont en diminuant avec la montée en puissance des temps de calcul.
L'idéal est d'utiliser un mot de passe minimum de 9 caracteres ou de 7 caractères chiffres et lettres (entre 3 et 17 ans de crackage)
Ce genre d'attaque va se multiplier a l'infini devant le tout numérique. Un MP amène une adresse, une adresse peut ammener un code, et un code peut se repeter pour un acces bancaire...
Faites donc gaffe a votre mot de passe sur le nonol, le mien ne fait que 5 caracteres , chiffres et lettres, un peu insuffisant, vite , je vais le changer, brrrr..........!!!!)
30/11/2006 à 01h40
ça fait peur,athos!mais que faire
dans qq mois ils auront un autre logiciel plus performant qui trouvera en 20mn un mot de passe de 20 lettres!!
merci de nous prevenir,si je reçois des mp suspects,je repenserai à ton post
je vais changer egalement mon pseudo
par contre un phénomène que j'ai déja signalé est la deconnection fortuite ,disparition de l'encart "message privé"et il faut se réinscrire,c'est peut être fait expres,cela m'est arrivé plusieurs fois
30/11/2006 à 09h58
vraiment!!!! adhoc!!!! toujours là sans rien avoir a demander, tu devines et tu reponds, t'es un ange sur ce forum!!!
merci donc d'eclairer ces tenebres là qui pourrissent la vie...
30/11/2006 à 21h12
un serveur bien protégé se doit de prendre en compte ce type d'attaque. L'exemple classique est la désactivation temporaire ou définitive du compte après un nombre définis d'erreur de login. Malheureusement la sécurité n'est pas vraiment la préoccupation principale sur les serveur grand public et comme tu le souligne on rentre comme dans un moulin :(
01/12/2006 à 00h41
oui, squirrax, tu peux ecrire le maxlogins = 0 si tu veux zigouiller ton utilisateur!!!!!!!!!!!!!!!!
Avoue qu'entre les PAM, shadow et les limits.conf , il y a de quoi péter les plombs. Dure vie d'administrateur!
01/12/2006 à 11h56
adhoc Ecrivait:
-------------------------------------------------------
> oui, squirrax, tu peux ecrire le maxlogins = 0 si
> tu veux zigouiller ton
> utilisateur!!!!!!!!!!!!!!!!
> Avoue qu'entre les PAM, shadow et les limits.conf
> , il y a de quoi péter les plombs. Dure vie
> d'administrateur!
c'est vrai :) mais sysadmin c'est un métier ! Comme dans beaucoup de domaine ( le notre par exemple ) le bricolage et la bidouille ne sont pas vraiment gage de qualité et de sécurité... Mais ici aussi, de plus en plus, "mon sysadmin est en hongrie" :)
01/12/2006 à 12h23
on en dit que de toute façon, on a les mots de passe de tout le monde, et que faites gaffe...
mais non, on rigole...
01/12/2006 à 12h40
Blague a part, moderateureugenol (comme moi :-))), meme l'administrateur ne peut lire ton mot de passe EN CLAIR (aucun site serieux ne valide cette option dangereuse) , qui est immédiatement crypté md5 sur une clef mahousse en 512 au moment de l'inscription.
01/12/2006 à 14h54
sauf à word biz,scrabble,ils t'envoient un message vous vous êtes inscrite,votre mot de passe est...,en l'occurrence,c'était bien,car apres ghost,je l'avais oublié
03/12/2006 à 11h46
Pour protéger quoi ?
Quelle est la valeur du bien à protéger ?
Si c'est un forum public comme eugénol, c'est pas grave, le 'fraudeur' pourra juste poster ..
Eventuellement, met des quotas.
Si c'est pour un compte d'admin, utilise ssh , et précise une liste d'adresse IP appelantes permises.
Vérifie les process et les logs de temps à autres, pour détecter d'éventuels rootkits et te rassurer.
Depuis 5 ans, je n'ai jamais eu de soucis.
Je touche du bois.
Je parle pour des serveurs linux, normaux quoi.
15/12/2006 à 18h43
adhoc,je tiens a te remercier pour ton conseil
j'ai changé mon mot de passe,en un plus compliqué,juste avant ma deconnexion,ce qui fait que j'ai du le taper au moins 100fois,chiffres et lettres mélangées,j'ai bien pensé à toi!!
15/12/2006 à 19h21
Bien sur, jean phy, on peut sur webzimn, ou directement en console linux pour les pros, limiter le nombre 'ip entrants (plage, idé"pndantes etc...). Mais quand tu as un IP mobile, dur, dur!!! Bien sur,certains providers proposent de l'Ip fixe, mais faut avoir tres confiance. Parfois, l'ip redevient mobile, et alors, impossible de "rooter"!!!!
15/12/2006 à 19h37
Pas de probleme, mon annie, t'es tranquille maintenant. N'oublie pas de le noter !!
15/12/2006 à 19h41
le noter ? tsss, tsss, cette quoi ce soudain laxisme sur la sécurité adhoc... Au choix : mange le papier, ou brule le et jette les cendres dans les toilettes :)
15/12/2006 à 19h46
j'ai repris l'ancien passe partout,car mes nerfs en ont pris un coup! de toute façon,il n'y a rien à prendre
15/12/2006 à 19h56
Bon...., hum,... mettons, squirrax!!!!!Mais annie est championne de plomberie; elle va nous planquer ses codes serets sous l'evier qui n'a plus de ... secret pour elle.