Accueil » News » Hashcat, le pirate de mot de passe pratique

Hashcat, le pirate de mot de passe pratique

  • par

Indispensable pour les pentesters, l’outil Hashcat permet également de vérifier la solidité des mots de passe. Mais comment fonctionne ce pirate de mot de passe?

Dans le monde de la cybersécurité, il existe des outils essentiels. C’est le cas avec Hashcat. Nos collègues IDG nous en disent un peu plus sur cette solution.

Qu’est-ce que Hashcat?

Hashcat est un pirate de mot de passe connu pour son efficacité. Il est largement utilisé par les pentesters et les administrateurs système. Mais il est également populaire auprès des cybercriminels et des cyber espions. Le piratage de mot de passe est différent de la tentative de deviner un mot de passe de connexion pour un site Web, qui n’autorise généralement qu’un nombre limité de tentatives avant le verrouillage du compte. Une personne qui entre avec succès dans un système sécurisé avec des mots de passe chiffrés (« hachages ») tentera souvent de casser les hachages pour récupérer ces mots de passe.

Les mots de passe ne sont plus stockés dans un texte lisible (du moins pas). Ils étaient auparavant codés avec une fonction unidirectionnelle appelée « hachage ». La transformation d’un mot de passe tel que « Password1 » en hachage est très rapide. Mais que pouvons-nous faire avec ce hachage? Une attaque par force brute pour inverser la fonction de hachage et récupérer le mot de passe est difficile à calculer. Cela prendrait presque autant de temps que la mort thermique de l’univers! Heureusement, ou malheureusement, selon sa position, aucun de nous ne vivra aussi longtemps. Mais il existe plusieurs façons d’inverser un hachage pour restaurer le mot de passe d’origine sans recourir à une attaque par force brute, qui ne fonctionnera probablement pas. Et c’est là qu’intervient Hashcat. Comment? Il s’avère que les gens sont si prévisibles dans leurs choix de mots de passe que Hashcat peut souvent récupérer un mot de passe.

Utiliser hashcat

En plus des utilisations évidentes à des fins criminelles et d’espionnage, le piratage de mot de passe est légitimement justifié dans diverses situations. Par exemple, un administrateur système souhaite vérifier de manière préventive la sécurité des mots de passe des utilisateurs. Si Hashcat peut les casser, un attaquant potentiel le fera aussi. Les pentesters autorisés tentent souvent de casser des hachages de mots de passe volés pour tenter des mouvements latéraux au sein d’un réseau ou élever des privilèges au niveau administrateur. Étant donné que les pentesters travaillent sous contrat et détectent des failles dans les réseaux de leurs clients pour améliorer leur sécurité, ce cas d’utilisation Hashcat est tout à fait légitime. Le véritable avantage de cet outil est qu’il est utilisé par des attaquants illégaux ainsi que des défenseurs légitimes. Ainsi, le meilleur moyen d’empêcher un attaquant d’utiliser Hashcat contre un réseau est de tester ses propres défenses pour s’assurer qu’une telle attaque ne peut pas réussir.

Comment fonctionne Hashcat

Dans son utilisation la plus élémentaire, Hashcat devine le mot de passe, le hachage, puis compare le hachage obtenu avec le mot de passe qu’il tente de déchiffrer. Si les hachages correspondent, le mot de passe est découvert. Sinon, vous devez répéter l’opération de jeu. Toutes les attaques ne sont pas des attaques par force brute, telles que les attaques par dictionnaire, les attaques combinées, les attaques par masque et les attaques basées sur des règles. Hashcat peut également exploiter la puissance du GPU pour effectuer des attaques par force brute si vous avez le matériel et le temps.

Quelques exemples d’utilisation de Hashcat

– Attaque par dictionnaire

Étant donné que les gens ont tendance à utiliser de très mauvais mots de passe, une attaque par dictionnaire est la plus évidente à essayer en premier. Il est souvent basé sur le glossaire rockyou.txt. Il contient plus de 14 millions de mots de passe organisés par fréquence d’utilisation. En haut de la liste se trouvent les mots de passe couramment utilisés tels que « 123456 », « 12345 », « 123456789 », « mot de passe », « iloveyou », « princesse », « 1234567 » et « rockyou ». Ensuite, des mots de passe moins courants tels que « xCvBnM », «  » ie168 « , » abygurl69 « , » a6_123 « et » * 7¡Vamos « arrivent! Il existe de nombreuses autres listes de mots de passe gratuites sur Internet qui ciblent des langues spécifiques. choisir la liste des mots de référence En France par exemple, le projet Richelieu fournit aux équipes de sécurité des structures de santé une liste des mots de passe les plus courants pour évaluer leurs vulnérabilités disponibles sous licence CC BY 4.0 et disponibles sur GitHub, contenant 20000 Français les plus utilisés.

– Attaque combinée

Une dernière remarque: les mots de passe sont souvent des mots composés. Et Hashcat profite de cette habitude dans les soi-disant attaques combinées. Hashcat crée des listes de deux mots (également appelées « dictionnaires ») et crée une nouvelle liste de chaque mot en combinaison avec tous les autres mots.

Voici un exemple de la documentation Hashcat basé sur la combinaison de deux dictionnaires:

Jaune

vert

noir

bleu

et:

voiture

vélo

Hashcat associe ensuite chaque mot à chaque autre mot et teste les mots de passe suivants:

voiture jaune

voiture verte

Panier

voiture bleue

vélo jaune

velovert

velonoir

bleu bleu

L’outil peut également ajouter des signes de ponctuation tels que des tirets (-), des points d’exclamation (!) Et d’autres caractères spéciaux pour créer une liste finale de mots avec des mots de passe tels que « voiture jaune! » « Et » Vélobleu! « , Et ainsi de suite.

– Attaque au masque

De nombreux utilisateurs utilisent des mots de passe en adoptant un certain type de chaîne. Par exemple, une lettre majuscule suivie de six lettres plus un chiffre à la fin est un format assez courant pour les mots de passe plus anciens tels que « Bananas1 ». Au lieu d’essayer de forcer tous les mots de passe possibles, Hashcat vous permet de rechercher tous les mots de passe dans ce format, ce qui réduit considérablement le nombre de suppositions possibles, si le mot de passe en question est bien dans ce format.

La documentation Hashcat explique pourquoi une attaque par masque est souvent plus rapide par ordre de grandeur qu’une attaque par force brute:

– Dans les attaques traditionnelles par force brute, le jeu de caractères doit contenir tous les majuscules, les minuscules et tous les nombres (également appelés « mixalpha-numeric »). Si le mot de passe contient 9 caractères, l’itération doit contenir 62 ^ 9 (13 537 086 546 263 552) combinaisons. Supposons que la vitesse de fissuration soit de 100 M / s, il faudrait plus de quatre ans pour terminer l’opération.

– L’attaque par masque exploite les habitudes humaines et la façon dont elles comprennent les mots de passe. Le mot de passe ci-dessus correspond à un modèle simple mais courant. Un nom et une année sont inclus. Nous pouvons également configurer l’attaque pour essayer de ne mettre en majuscule qu’en première position, car il est très rare de voir une majuscule en deuxième ou troisième position. Fondamentalement, avec une attaque par masque, nous pouvons réduire l’espace du clavier à 52 * 26 * 26 * 26 * 26 * 10 * 10 * 10 * 10 (237 627 520 000) combinaisons. Avec la même vitesse de fissuration de 100 M / s, cela ne prend que 40 minutes.

– Attaque basée sur des règles

Si les options les plus simples ne fonctionnent pas et que vous avez une idée claire de la façon dont la cible construit son mot de passe, l’outil Hashcat propose d’effectuer une attaque basée sur des règles, tapez une syntaxe proche du langage de programmation, où vous spécifiez le type de mots de passe à tester. « Une attaque basée sur des règles est l’une des attaques les plus complexes », a déclaré le site Web de Hashcat. Une attaque basée sur des règles, c’est comme utiliser un langage de programmation pour générer des mots de passe. Il comprend des fonctions pour modifier, couper ou étendre les chaînes de mots et des opérateurs conditionnels pour en ignorer, etc. De ce point de vue, une attaque basée sur des règles est l’attaque la plus flexible, précise et efficace ». Si la courbe d’apprentissage pour commencer avec Hashcat est petite, il devient rapidement difficile d’apprendre la syntaxe des règles Hashcat.

– Attaque brutale

Si tout le reste échoue, il ne reste plus qu’à prier et à espérer que l’attaque de Hashcat réussira brutalement avant que notre soleil ne devienne une nova et engloutisse la Terre. Mais on ne sait jamais: on peut avoir de la chance!