Je réalise un test de pénétration sur un site Plone. Y at-il un outil pour évaluer la force du mot de passe, une fois que j'ai les mots de passe (haché avec SSHA)?test Plone force de mots de passe
Merci et salutations, Grig
No.
Si je vous comprends bien, vous proposez de fournir l'outil émis l'hypothèse d'un hachage plutôt que le mot de passe en texte clair lui-même. Je suis raisonnablement confiant dans cette conjecture: un outil tel que vous le décrivez en dira plus sur le cryptage SSHA que sur la force du mot de passe sous-jacent. Je vais le dire d'une manière positive: un outil pour évaluer la force du mot de passe fonctionne sur le mot de passe en clair; sinon, il mesure principalement l'entropie de la méthode de hachage.
Il n'y a pas de contenu Plone particulier à mes revendications, bien sûr. Pour construire un produit Plone (ou Zope ...) basé sur l'un des contrôleurs de robustesse de mot de passe existants, il devrait, bien sûr, être simple. Je suis au courant de rien qui a été emballé pour le public.
SSHA ou plus communément appelé sha1 salé est une bonne méthode de stockage des mots de passe. SHA1 est techniquement cassé mais personne n'a généré de collision et il est toujours sur la liste des fonctions de digestion de messages recommandées par le NIST.
John The Ripper peut être utilisé pour broyer les hachés salés sha1.
Un SHA256 salé serait un meilleur choix.
Notez que les faiblesses connues sur SHA-1 n'ont aucun impact ici. Le hachage par mot de passe fonctionne sur la résistance pré-image, pas sur la résistance aux collisions et, autant que nous le sachions, SHA-1 est toujours aussi solide contre les pré-images. En pratique, le processus de salage (la façon dont le sel est inséré, et combien de répétitions et d'itérations sont impliquées) est beaucoup plus important. L'utilisation de SHA-256 est toujours recommandée, ne serait-ce que parce qu'elle évite d'avoir des commentaires sur la façon dont "SHA-1 est cassé". –
@Thomas Pornin Une fonction de hachage qui a une faiblesse de collision peut être plus rapide à la force brute parce que X nombre de tours sont inutiles (http://www.blackhat.com/presentations/bh-usa-09/BEVAND/BHUSA09-Bevand- MD5-SLIDES.pdf) – rook
Si vous avez seulement le hachage, la seule évaluation que vous pouvez faire est d'essayer de deviner le mot de passe exact, ce qui est assez cher. Et puis, soit vous le cassez, ou pas; Il n'y a pas de juste milieu. Vous pouvez utiliser le temps il vous a fallu pour deviner le mot de passe comme une estimation de la force du mot de passe, mais, heureusement, les bons mots de passe prendront plus de temps que ce qui est pratique. C'est le point de hachage des mots de passe: de sorte que deviner le mot de passe et le vérifier avec le hachage est une question de semaines ou de mois, pas de minutes. Dans le cadre d'un test de pénétration, si vous avez les mots de passe hachés, vous devez exécuter un password cracker. Vous devrez peut-être développer un peu de logiciel si le processus de hachage par mot de passe exact n'est pas déjà intégré. Tout mot de passe rompu serait signalé comme une faiblesse grave du système.
Les estimateurs de force de mot de passe habituels fonctionnent sur le mot de passe non haché, en essayant de déterminer combien de mot de passe est devinable. Cela ne fonctionne pas très bien dans la pratique, car "deviner" peut impliquer des cerveaux humains, qui échappent à une modélisation précise. Par exemple, vous pouvez créer un mot de passe long en concaténant quatre ou cinq dates (par exemple, au format YYMMDD); un tel mot de passe sera estimé avoir une bonne force - mais si les dates sont les dates de naissance de votre femme et de vos enfants, il y a de fortes chances que le mot de passe soit facile à deviner.
Il ne s'agit pas d'une question spécifique à Plone, j'ai donc supprimé l'étiquette plone. –
sha/ssha est une fonction de hachage et non un algorithme de cryptage. – rook