Credentials et mots de passe
Hashcat et John the Ripper
Audit de mots de passe avec données synthétiques, hashcat, John, Hydra et risques du credential dumping.
Usage autorisé
Ces outils servent à évaluer la robustesse des mots de passe à partir de hashes fournis par le sponsor ou d’exemples publics. Ne traite pas de hashes réels sur un poste personnel ou un service cloud non approuvé.
Hashcat avec un exemple officiel
Crée un fichier contenant un hash provenant de la page Example Hashes et utilise le mot de passe connu hashcat.
hashcat -m <mode_exemple> example.hash -a 0 small-lab-wordlist.txt
hashcat --show -m <mode_exemple> example.hash
John
john --format=<format_exemple> --wordlist=small-lab-wordlist.txt example.hash
john --show --format=<format_exemple> example.hash
Bonnes pratiques
- limiter la durée et la liste ;
- isoler le système de cracking ;
- chiffrer les fichiers ;
- ne pas afficher les mots de passe dans le rapport ;
- fournir des statistiques : longueur, motif, temps, politique.
Résultat
Le livrable doit proposer MFA, mots de passe interdits, gestionnaire, politiques adaptées et surveillance, pas humilier les utilisateurs.