Windows : mot de passe standard cassé en moins de 6 heures
Un mot de passe Windows standard peut être deviné en moins de 6 heures par une grappe de serveurs avec 25 GPUs dans le cadre d'une attaque par force brute.
En à peine 5,5 heures, un mot de passe Windows de huit caractères a été cassé par force brute. L'œuvre d'un cluster constitué de cinq serveurs exécutant le logiciel libre HashCat et équipés de 25 GPUs Radeon d'AMD. La démonstration a eu lieu lors de la conférence Passwords^12 à Oslo en Norvège.
Basé sur Linux et avec la plateforme de cluster Virtual OpenCL, le système présenté par Jeremi Gosney ( PDF ), fondateur et PDG de Stricture Consulting Group, a réalisé 348 milliards d'essais par seconde pour casser les hashes du mot de passe générés par l'algorithme de chiffrement NTLM que Microsoft intègre dans toutes les versions de Windows depuis Windows Server 2003.
" C'est assez pour une attaque par force brute pour tout mot de passe de 8 caractères contenant des majuscules, minuscules, chiffres et symboles ", rapporte Ars Technica qui souligne qu'une telle politique de mots de passe est courante dans de nombreuses entreprises.
Reste que l'ajout d'un caractère supplémentaire augmente de 500 heures le temps nécessaire à la machine pour casser un mot de passe. Avec 10 caractères, il faut compter cinq ans et quatre mois.
Le système à 25 processeurs graphiques de Jeremi Gosney ne se limite pas à casser des mots de passe Windows dans la mesure où il peut s'attaquer à 44 autres algorithmes de chiffrement. Pour SHA1, il opère à 63 milliards d'essais à la seconde et à 180 milliards d'essais par seconde pour MD5.
L'attaque pourrait être exécutée à l'encontre de hashes de mots de passe qui ont fuité, mais pas via des méthodes de connexion directe à des sites.
-
Microsoft a commencé à prendre ses distances avec le mot "Metro" qui caractérise l'interface utilisateur de Windows 8 mais aussi celle de Windows Phone. La société conseille aux développeurs de ne plus employer le terme dans leurs ... -
Microsoft détaille la fonctionnalité Picture Password de Windows 8 qui permet de définir et saisir un mot de passe via des opérations tactiles sur une image choisie.
Vos commentaires
Cool, j'ai une radéon qui foire sous Linux, ou dont le driver Catalyst est hyper lourd sous Windows et souvent problématique avec les jeux (suffit de voir les patchs des jeux rien que pour les AMD) mais bon, je suis heureux, car les radéons c'est du sérieux et on peut casser un mot de passe en brute force. Ca me rassure alors !
casser un mot de passe en 6h ou moins alors que windows se casse tout seul au bout de 2 heures,est-ce bien nécessaire...?
C'est parce qu'elle sent ton hostilité, c'est sensible une Radeon
Plus sérieusement, j'ai jamais eu de souci avec une Radeon (à part avec Catalyst 12.6), mais faut dire aussi que j'ai attendu que les Catalyst, ces drivers il est vrai particulièrement repoussants, murissent un peu puisque j'ai attendu la série HD 5xxx. Et sur Linux c'est driver open source.
Pour hacher les GeForce ne font pour l'instant pas le poids: https://en.bitcoin.it/wiki/Mining_h...comparison (par exemple, GTX680 120Mhash/s vs HD7970 ~600Mhash/s)
Il est clair que les GPU d'AMD n'ont rien a envier sur le point des performances face à la concurrence. C'est indiscutable ! D'autant plus que leur rapport perfo/prix est excellent. Mais la gestion de celles-ci sur Linux est calamiteuse. Un KDE ou même un Gnome Shell en multi-écran est une vraie plaie. Instabilité, perte de signal sur le connecteur DVI, gel du gestionnaire de fenêtres..etc ... Que le driver Opensource (trop limité à mes exigences et à celles de mes clients) soit installé ou que ce soit le driver proprio. Les problèmes restent. Sans compter que Catalyst sous GNU/Linux a des options inopérantes voir "crashantes". Aucun souci via NVidia. Sous Windows, c'est pas terrible non plus car les joueurs doivent souvent recourir à un nombre incroyables de patch pour faire fonctionner leur logiciel ludique avec leur Radéon. Mais sur ce dernier point, non seulement je ne me sens pas très concerné mais en plus la plupart des éditeurs de jeux sont sponsorisés par NVidia ... alors forcément
Est-ce nécessaire de mettre autant d'énergie a casser un mot de passe windows en fait, car avec une petite image iso de quelques ko, on bypass le mot de passe et roulez jeunesse, j'ai nommé Konboot pour ceux qui connaitraient pas ce bijou...
Quelques secondes seulement pour casser un mot de passe de 14 caractères avec un bête PC portable et la technique du rainbow table.
Je ne sais pas comment tu t'y prends, mais j'ai eu plusieurs cartes AMD (7980 desktop / 4850 desktop / 5xxx laptop) et je n'ai pas eu UN SEUL problème aussi bien sur Linux que Win7
et le multi écran :