Bonjour a tous,
voila en fait je me pose une question... j´ai un réseau entier qui tourne sous Linux Mdk... donc chaque utilisateur posséde un compte et un mot de passe pour pouvoir se connecter. Mon probleme est que si on tape la commande: " ypcat passwd", on obtient alors la liste de toutes les personnes ayant un compte avec leur mot de passe crypté. Ma question est: est-ce que ce cryptage est-il vraiment efficace?
Merci par avance
Bob

Oui il est fiable. C´est du md5 je crois donc c´est très fiable, peut-être pas assez pour le FBI mais pour le reste oui.

Etant donné qu´il ne peut être cassé qu´en testant une par une chaque possibilité, suffit de choisir des mots de passe composés de minimum 8 caractères, avec des chiffres et des signes.

Et ça leur prendra trop de temps pour qu´ils essayent.

oui mais, je me suis quand meme un minimum renseigner avant de poser la question sur ce forum et j´ai pu constater que un certain nombre de programme permette de trouver les pass !
seulement je n´ai pas encore pu les obtenir pour les tester et voir les rapidité de trouvage ! mais c´est a voir... en tout cas un certain nombre de logiciel pretende pouvoir casser les pass

Ce ne sont pas les mots de passe qui sont stockés, ce sont des codes qu´on a obtenu à partir d´eux. Par exemple si mon mot de passe est " steack hache" je peux obtenir b17b42f801033eb8f1d3e8af8c8cccae

Et ce code est indécryptable, l´opération n´est pas reversible. Donc la seule solution est vraiment de tester tous les mots de passe possible -> plus le mot de passe est long et plus il contient de caractères spéciaux en plus des lettres, plus il sera long de le " casser".

ouaip, par contre si les mots de passes sont courts ( 5 caractères) et composés uniquement de chiffre et lettre ( minuscule et majuscule), c´est largement faisable de faire un brute force.

C´est du md5 je crois donc c´est très fiable, peut-être pas assez pour le FBI mais pour le reste oui.

le md5 a eu des preuves de collisions .
On esasie d´utiliser le sha-1 mais qui a eu un " proof of concept" .
Reste le ripemb-160 ; le whirlpool ; et les sha-256 et > .

Enfin classiquement qu´il soit avec une fct de hash ; c´est bien ( mais il suffit de trouver un mdp qui donne la meme somme md5 ; pas forcement le meme mdp . ..) mais il faut quand meme mieux proteger par dessus ; les utilisateurs normaux ne doivent pas voir les mdp cryptes.

La plpuart des programmes qui permettent de trouver les mdp le font en " brute force" , et comme lamajorite ne mettent pas de caracteres speciaux; et souvent soit leurs ddn ou celle de leurs petit(e) ami(e) femme/marie enfant ou leurs noms/prenoms
Un bon dico et zoubidi . ..

"
La plpuart des programmes qui permettent de trouver les mdp le font en " brute force" , et comme lamajorite ne mettent pas de caracteres speciaux;"

Bah tu peux faire le tiens facilement, je l´avais fait en php ( d´accord c´est pas un modèle de performances)

me revoila apres un petit moment d´absence !
en fait j´ai essayer un programme de trouver des pass sous linux, j´ai essayer a mon IUT et a ma grande surprise, en 10 minutes, je trouve le pass d´une vingtaine d´étudiant et de 3 profs ! !!

C´est quoi les passes aussi ?

fait passer fait passer
enfin je dis ca mais a la fac ; il y a plus fun
-rwsrwsrwx 1 hmila lstap1-2004 11703860 Nov 16 10:14 / users1/lstap1-2004/*****/rmxv3.exe
-rwsr--rwx 1 bfages lsttc1-2004 2293874 Nov 12 15:49 / users1/lsttc1-2004/*****/amsn-0_94.tar.gz

les ***** reperesente le login de la personne donc pour des raison evidentes je l´ai enleve ; )
sans compter quelques repertoires acessibles en ecriture poru tout le monde....
( et le fourbe qui envoie une lettre a l´admin : il a des images de cul dans son repertoire kicker le kicker le )

quels sont les programmes qui permettent de retrouver un pass? et surtout... où les avoir? merci!! ; -)

Fais le tiens.

j´avais fait ça vite fait en php y´a assez longtemps :
http://www.phpcs.com/code.aspx?ID=19405