SSTIC 2011 - Rainbow tables probabilistes
Ha! casser des mots de passe… je vous passe le rappel du pourquoi casser des mots de passe 🙂
Après un récapitulatif du mot de passe faible, mot de passe fort et mot de passe statistiquement faible (c’est là que c’est intéressant). par exemple, les mots de passe en 1337$p34k! sont statistiquement faibles (d’après l’auteur, si vous en utilisez, vous êtes mal…). L’approche de Markov appliqué au cassage de mots de passe (rappellez vous les chaines de markov) permet de dégager des propriétés statistiques sur des suites d’événements (ici la probabilité que 1 soit suivit de 3 dans notre exemple).
Ya un patch JohnTheRipper pour ça 😉
S’en suit le rappel incontournable sur les rainbow tables, et le comparatif entre les rainbow tables classiques et les versions probabilistes… et effectivement ça marche!
Coté contre-mesures, salez vos mots de passes, ou utilisez des mots de passe très longs (plus de 8 caractères voir la quinzaine pour être sur) ou biens des caractères exotiques (pas forcément ceux de votre langue maternelle par exemple, les asiatiques et les pays arabes sont avantagés dans cette histoire).