ANALYSE VERACITE DES MOTS DE PASSES
Position du problème:
Les statistiques montrent que plus de 60 % des intrusions réseaux sont dus au non respect
des utilisateurs système des normes et codifications des choix du mot de passe imposés par
les administrateurs systèmes.
Objectif:
Dans cette pratique nous allons voir les fichiers impliquées dans la gestion et le stockage des
mots de passe. De plus et selon différentes options de créer des mots de passes et tester
leur efficacité. Cette l'efficacité sera testée avec un logiciel de craquage de mot de passe
(Password crack), il y'en a plusieurs parmi eux John The Ripper.
A/ Installation de John The Ripper
Télécharger le logiciel john-[Link].tar.bz2 ou toute autre version compatible avec ton
système.
Dans /root ou tout autre répertoire, désarchive-le.
Consulte le répertoire crée ainsi que ses sous répertoires.
Le fichier INSTALL de l'objet doc explique comment créer les sources et donc installer le
logiciel. Ceci- étant exécuter make generic à partir de l'objet src fera notre affaire.
Par generic, on laisse le soin à Ripper de déterminer le système d'exploitation et de compiler
en conséquence.
Par contre avec make SYSTEM tu seras amené à choisir ton système d'exploitation sur la
liste affichée par make.
B/ Création de mots de passes avec différentes options.
1) A l'aide de la commande #setup, dans Authentification configuration, désactive les options
– Utiliser des mots de passes masques
– Utiliser des mots de passes MD5
Créer 2 utilisateurs : test1 et tes2 en leurs spécifiant des mots de passes (test11 et test22)
Faire une copie des fichiers comme suit:
# cp /etc/passwd /tmp/test
2) Puis créer deux autres utilisateurs avec cette fois-ci l'option : Mots de passe masquées
dans setup : shadow1 et shadow2 en leurs spécifiant le même mot de passe que test1 et
test2
Faire une copie des fichiers comme suit:
# cp /etc/passwd /tmp/passshadow
# cp /etc/shadow /tmp/shadshadow
[Link]@[Link] 1 1
Consultant Linux System
�3) Activer l'encryptage MD5, et créer 2 autres utilisateurs: md5a et md5b, en spécifiant les
mêmes mots de passe que les utilisateurs test1 et test2
Faire une copie des fichiers comme suit:
# cp /etc/passwd /tmp/passmd5
# cp /etc/shadow /tmp/shadmd5
L’étape suivante consiste à essayer les mots de passes des différents fichiers que vous avez
crée dans l'étape précédente.
C/ Test du logiciel et décodage des mots de passe:
1) Lancer le décodage des mots de passes stockés dans les différents fichiers dans l'ordre de
leur création.
Supprime toutes les lignes de /tm/test autres que celles de test1 et test2
run# ./john /tmp/test
2) Pour l'option des mots de passes masqués,
Vide les lignes autres que ceux de tes utilisateurs
Créer d'abord un fichier unique a partir des deux fichiers par la commande :
#./unshadow /tmp/passshadow /tmp/shadshadow > /tmp/shadow1
Puis lancez john par: #./john /tmp/shadow1
3) Faire la même procédure avec les fichiers crées avec l'option MD5
Conclusion generale:
.....................................................................................................................................................
.....................................................................................................................................................
.....................................................................................................................................................
.....................................................................................................................................................
.....................................................................................................................................................
.....................................................................................................................................................
.....................................................................................................................................................
[Link]@[Link] 2 2
Consultant Linux System
