Pentest

Password Cracking

Description

Les mots de passe sont toujours un composant important de la sécurité des systèmes d’informations. Lors des intrusions, différents types d’empreintes de mots de passe sont récupérés et pouvoir les casser dans un temps court peut être décisif. Cette formation à pour but de présenter les techniques et les outils permettant de casser le plus rapidement les empreintes de mots de passe. Aussi, un historique des évolutions du stockage des mots de passe est présenté, afin de montrer les mauvais exemples ainsi que les erreurs faites dans des projets bien connus.

Le cassage de mots de passe est une formation de niveau débutant à avancé conçue pour les équipes de sécurité, les administrateurs système et les développeurs.

 

1 jour / 2 heures de théorie / 4 heures de pratique

Contenu

  • Théorie sur le stockage et la génération de mots de passe

     

    Rappel des généralités sur le stockage des mots de passe et explication des différentes techniques de génération de candidats.

     

    • Les différents types

    • Les fonctions de hachage

    • Les attaques sur les fonctions de hachage

    • La génération de candidats

    • Les technologies de calcul

       

  • Historique d’algorithme de stockage

     

    Cette section est interactive et permet de faire un tour d’horizon d’algorithmes utilisés pour stocker les mots de passe dans différents projets bien connus.

     

  • Historique d’algorithme de stockage

     

    Une série d’exercices permettra de couvrir différents aspects pratiques du cassage de mots de passe.

     
    • Identification des algorithmes de hachage dans du code
    • Installation et prise en main de John the Ripper :

      • Revue des différents modes de génération de candidats proposés

      • Écriture de règles de dérivation

      • Écriture de filtres de candidats basés sur une politique de mots de passe

      • Écriture de formats dynamiques (non supporté nativement par l’outil)

      • Implémentation ou modification d’un format natif

    • Installation et prise en main de hashcat : revue des différents modes de génération de candidats proposés

    • Génération de candidats avancée

      • Combinaison avec prince

      • Mutation génétique avec siga

      • Génération de règles de dérivation et de dictionnaires