Bonjour,
je voudrais utiliser le programme john pour vérifier mes mots de passe, mais pas seulement mes mots de passe système (aussi ceux de mes adresses e-mails).
Or je ne sais pas comment utiliser john pour qu’il vérifie d’autres adresse que celle du système. J’utilise john avec la commande john /etc/shadow en root. Comment faire pour que john vérifie aussi d’autre mots de passe ?
en cours ils nous faisaient utiliser pwdump, pour récuperer un fichier de mots de passes.
p’tet ca peut t’aider 
D’après mes recherches, ce programme tourne sous windows :
korben.info/les-nouvelles-ve … ortir.html
D’ailleurs il ne correspond pas exactement à ce que je veux faire. Je veux un programme auquel j’indique mon mot de passe et qui fasse défiler les dictionnaires qu’il a en mémoire (ou algorithme …) et s’arrête lorsque la correspondance est trouvé.
en gros tu veux un programme qui , en entrée prends ton pass crypté et en sortie te donne un critère de sécurité ? (le temps pris pour le décrypter par exemple ?)
oui sauf que je ne veux même pas entrer mon mdp crypté, mais en clair. Ça ne sert à rien de l’entrer crypté dans mon cas.
Tu as des dictionnaires de mots de passe mais John the ripper utilise non pas un dictionnaire mais un générateur avec des règles, il est particuièrement étonnant. Testé sur 400 comptes, il a fait tombé quasiment 90% des mots de passe. Un mot de passe comme giuly08 a été trouvé en 13 jours, thx1138 en 2s, Carambar en une semaine. Utilise john the ripper si tu veux être efficace.
Je viens de le lancer sur les comptes des élèves du lycée, le temps d’écrire ces mots et 40 mots de passe ont été craqués.
C’est mon intention, mais comment l’utiliser sur un mdp qui n’est pas le mdp de mon système ?
Facile, exemple, tu veux tester step27
$ echo test:`mkpasswd step27 EE`: > passwd
/home/boisson/Securite/john-1.7.2/essai
$ ./john passwd
Loaded 1 password hash (Traditional DES [64/64 BS MMX])
step27 (test)
guesses: 1 time: 0:00:00:25 (3) c/s: 75043 trying: step27 - stemkc
/home/boisson/Securite/john-1.7.2/essai
$ deviné en 25s
merci bcp,
chez moi il le trouve ne 7s et je suis obligé de le lancer en root :~$ echo test:`mkpasswd step27 EE`: > passwd~$ ./john passwd
bash: ./john: Aucun fichier ou répertoire de ce type
pierre@idjagiedas:~$ su -c "john passwd "
Mot de passe :
Loaded 1 password hash (Traditional DES [64/64 BS MMX])
step27 (test)
guesses: 1 time: 0:00:00:07 (3) c/s: 264389 trying: step27 - stemkc
À quoi servent les EE ? le man de mkpasswd ne me renseigne pas la dessus.
Encore une petite question (j’abuse de ton savoir).
Est-ce que les méthodes de cracker de compte mail (c’est pour mon compte e-mail que je voulais vérifier mon mdp) utilise la même méthode que John. Je veux dire par là que john ne peut que trouver un mdp qu’il connaît déjà en version chiffré, les gens qui hackent des comptes mails ne dispose pas de la version chiffré.
Alors, le EE est une graine d’alea pour encodé un mot de passe et c’est les deux premières lettres du hachage obtenue.
Pour ta deuxième question, ce qui t’intéresse c’est la fragilité par force brute, john the ripper utilise cette méthode, la méthode de hachage utilisée dans le test n’a pas d’importance, seul compte la méthode utilisée pour fabriquer les mots de passe testés et le fait de savoir si ton mot sera trouvé ou non.
PS: Il a mis 25s car un autre john était lancé, à l’heure actuelle, john a craqué 56,11% des mots de passe des élèves/profs de mon lycée… (je l’ai lancé lorsque je t’ai répondu), ça n’est pas demain que je leur ferais un accès de l’extérieur…
Salut,
Dix-huit secondes pour step27, au bout de 45 minutes il tourne toujours sur le mien.
Dans combien de temps je l’arrête et comment ?
merci pour tes explications fran.b
@ggoodluck47 J’ai lu sur une page web (que je n’arrive plus à retrouver) que john ne s’arrête jamais sauf s’il trouve le mpd.
Tu peux le stopper avec un CTRL+C, au redémarre, il continue là où il s’était arrêté si tu spécifie les mêmes options dans la commande.
Je ne sais pas à partir de combien de temps un mot de passe peut être considérer comme sûr.
un lien intéressant sur John : dawal.chrysalice.org/article.php3?id_article=48
je viens de remarquer que dès que je lance john, la température du processur monte de ~50°C ~55°C jusqu’à 70°C où la température se stabilise (le ventilateur se lance à 65°C).
Est-ce dangereux de laisser john marcher longtemps s’il fait ainsi augmenter la température du CPU ?
J’ai courrament laissé tourner john près de 5 mois. Dans la pratique, il ne trouve que très exceptionnelement quelque chose après 15 jours.
L’année dernière, il en a trouvé 142 en 1mn, 160 en 5mn, 178 en 10mn, 192 en 30mn et en 1 h, 202 en 2 heures, 219 en 6 heures, 238 en 12 heures, 254 en 24 heures, 272 en 48 heures, 285 en 3 jours, 288 en 4 jours, 291 en 5 jours et 295 en 6 jours.
je voudrais tester un mdp contenant des points d’exclamation.
mkpasswd reconnaît les ! comme des commandes et ne veut donc pas chiffre ce mdp. Comment le chiffrer ?
Plutôt le shell, non ? Tu peux mettre le mot de passe entre apostrophes ‘mdp’.
mkpasswd \!kdskdkf\!\! EE
EEMfRORr5i3zg
Met un «\» devant.
[quote=“fran.b”]mkpasswd \!kdskdkf\!\! EE
EEMfRORr5i3zg
Met un «\» devant.[/quote]
Ce caractère est dit “d’échappement” 
merci