Crack de mot passe

[baali_hacene]

Bonjour,
je sais c'est dangereux ce que je pose comme qustion, mais!!!
je boss dans la sécurité informatique(stage). j'ai besoin d'un outils pour audit des mot de passe et des comptes users.
j'ai utiliser john the ripper. mais a chque q*fis quand je le lance sur un fichier:il me rend rien:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
ohn-1.6/run# sudo ./john passwd.txt
Loaded 0 passwords, exiting...

quelqu'un a une idée
merci

[laurentschneider]

c'est quoi passwd.txt?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
# ./john /etc/shadow
Loaded 3 password hashes with 3 different salts (OpenBSD Blowfish [32/32])
oracle           (oracle)

[baali_hacene]

j'ai fait une copier des mots de passe sur un fichier .txt (mesur de sécurité lol).
le probléme je croi que j'utilise le shadow, ce qui sécurise le fichier passwd.
avec ta commande /etc/shadow ça marche bien.

Est ce que tu sai comment utiliser la fonction d'envoi des mail par john:
en cas de détection d'un mot de passe faible, il envoi auto un mail au responsable.

[laurentschneider]

Citation:

Envoyé par baali_hacene

Est ce que tu sai comment utiliser la fonction d'envoi des mail par john:
en cas de détection d'un mot de passe faible, il envoi auto un mail au responsable.

tu peux employer la crontab, non?

[baali_hacene]

j'ai trouver un article,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
de Laboratoire Informatique & Télécommunications
             Département Informatique
         École Nationale Supérieure des Télécommunications de Bretagne

ce logiciel possède un mode qui envoie
un courriel à une personne dont le mot de passe est trouvé afin de la prévenir de la faiblesse trouvée.

voila.

[laurentschneider]

Citation:

Envoyé par baali_hacene

j'ai trouver un article,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ce logiciel possède un mode qui envoie
un courriel à une personne dont le mot de passe est trouvé afin de la prévenir de la faiblesse trouvée.

voila.

je ne suis pas convaincu du bien-fondé de cette approche. signaler la faiblesse par email ? et si l'email est intercepté, alors le pirate est informé de l'utilisateur qui a la faiblesse.

Je pense qu'une approche plus saine est la définition de règles empêchant l'utilisateur de choisir des mots de passes trop faibles. Tu peux définir un module pam.

Lis le paragraphe sur Password strength checking modules sur http://www.kernel.org/pub/linux/libs/pam/modules.html

@+
Laurent

[baali_hacene]

Merci,
un trés bon résonement. j'ai pas fait attention à ça, une machine hacker= tout le SI hacker, selon un proverbe prévention 1000 fois mieux quele traitement.
je vai tenter ma chanse avec les PAM.
@+

[baali_hacene]

RE:
depuis tt heur j'essaye de voir avec les pam mais, c'est cho un peux.
j'ai regarder le module pam_cracklib.so
j'ai l'ajouter dans

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

/etc/pam.d/common-password

,
j'ai savgarder puis j'ai voulais ajouter un user pour le test, mais il me rend ça:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
root@nxd:/home/hbaali# adduser titi333
Ajout de l'utilisateur titi333...
Adding new group `titi333' (1005).
Adding new user `titi333' (1005) with group `titi333'.
Création du répertoire personnel /home/titi333.
Copie des fichiers depuis /etc/skel
passwd*: Module is unknown
adduser: `/usr/bin/passwd titi333' returned error code 10.  Aborting.
Cleaning up.
Suppression du répertoire /home/titi333
Suppression de l'utilisateur «*titi333*».
Suppression du groupe «*titi333 ».
groupdel*: le groupe titi333 n'existe pas

je sais pas c'est quoi l'erreur.
ta pas un idée