Shadow Cracker

Le cracking de mots de passe est une compétence fondamentale en cybersécurité, essentielle pour les testeurs d'intrusion, les analystes criminalistiques et les auditeurs de sécurité. Les systèmes Linux stockent les hachages de mots de passe dans le fichier /etc/shadow, un fichier système critique qui est une cible principale lors de la post-exploitation. Comprendre comment cracker ces hachages - et pourquoi certains mots de passe sont vulnérables - est essentiel pour évaluer la solidité des politiques d'identifiants d'une organisation.

Comprendre le fichier shadow Linux

Le fichier /etc/shadow stocke les mots de passe hachés de tous les comptes utilisateurs d'un système Linux. Chaque ligne contient des champs séparés par des deux-points, incluant le nom d'utilisateur, le mot de passe haché et divers paramètres de vieillissement du mot de passe. Le champ de hachage lui-même contient trois composants séparés par des signes dollar : l'identifiant de l'algorithme de hachage ($6$ pour SHA-512, $5$ pour SHA-256, $1$ pour MD5), le sel (une chaîne aléatoire qui garantit que des mots de passe identiques produisent des hachages différents) et la valeur de hachage résultante. Cette connaissance de tutoriel hashcat est essentielle pour comprendre quelle approche de cracking utiliser.

Outils et techniques de cracking de mots de passe

Deux outils dominent le paysage du cracking de mots de passe : John the Ripper et hashcat. John the Ripper excelle dans la détection automatique des formats de hachage et l'exécution d'attaques par dictionnaire intelligentes avec des règles de transformation intégrées. Un tutoriel hashcat révèle sa force dans le cracking accéléré par GPU, prenant en charge des centaines de types de hachage avec des moteurs de règles puissants et des attaques par masque. Les deux outils prennent en charge les attaques par dictionnaire (essai de mots d'une liste comme rockyou.txt), les attaques basées sur des règles (application de transformations comme la capitalisation et l'ajout de nombres) et les attaques par force brute (essai de chaque combinaison possible jusqu'à une longueur spécifiée).

Implications réelles

Le cracking de mots de passe lors des tests d'intrusion révèle régulièrement des identifiants faibles qui pourraient mener à un accès non autorisé. Les découvertes courantes incluent des mots du dictionnaire, des modèles comme "Password1!" et des identifiants réutilisés. La vitesse à laquelle les GPU modernes peuvent traiter les calculs de hachage rend les mots de passe faibles pratiquement équivalents à aucun mot de passe du tout. Les professionnels de la sécurité doivent comprendre ces techniques pour fournir des recommandations exploitables concernant les politiques de mots de passe, incluant les exigences de longueur minimale, les règles de complexité et l'adoption de gestionnaires de mots de passe et de l'authentification multifacteur.