Red Team Field NotesPentest · Adversary Simulation · Validation
Credentials et mots de passe

Hashcat et John the Ripper

Audit de mots de passe avec données synthétiques, hashcat, John, Hydra et risques du credential dumping.

Usage autorisé

Ces outils servent à évaluer la robustesse des mots de passe à partir de hashes fournis par le sponsor ou d’exemples publics. Ne traite pas de hashes réels sur un poste personnel ou un service cloud non approuvé.

Hashcat avec un exemple officiel

Crée un fichier contenant un hash provenant de la page Example Hashes et utilise le mot de passe connu hashcat.

hashcat -m <mode_exemple> example.hash -a 0 small-lab-wordlist.txt
hashcat --show -m <mode_exemple> example.hash

John

john --format=<format_exemple> --wordlist=small-lab-wordlist.txt example.hash
john --show --format=<format_exemple> example.hash

Bonnes pratiques

Résultat

Le livrable doit proposer MFA, mots de passe interdits, gestionnaire, politiques adaptées et surveillance, pas humilier les utilisateurs.

Références officielles