Retour à la liste des sujets

[Sécurité info] le crackage de mdp impossible en 2021 ?

Turbozboub93
2021-03-30 16:15:36

Le 30 mars 2021 à 16:10:39 Utilisateur7876 a écrit :

Le 30 mars 2021 à 16:08:47 Turbozboub93 a écrit :

Le 30 mars 2021 à 16:01:35 RatRice a écrit :

Le 30 mars 2021 à 15:57:52 Turbozboub93 a écrit :
En quoi c'est impossible?

Ca dépend des sites, du mot de passe en question,

Si t'es sur un site de merde, sans captcha, sans 2fa, c'est très très simple.
Il suffit de faire un brutforce dégueulasse, c'est à la portée du premier venu,
Le dernier point bloquant, c'est ton mdp,
Mais vu que l'internot moyen se balade avec des mdp de merde de niveau SEGPA, c'est rarement un problème.

Si par contre, tu commences à mettre du captcha, ça devient plus technique,
Avec 2FA, là oui, ça devient quasiment impossible.

Mais avec le phishing, les trojans, et tout le bordel, sans 2FA, oui, ton mdp est vulnérable.

d'ou avec captcha ça devient plus technique? c'est juste impossible en fait

C'est totalement possible, mais tu vas devoir utiliser des techniques différentes d'un simple brutforce.
Par exemple de l'injection SQL (je sais pas si c'est toujours d'actualité).

ayaaa de l'injection sql avec tout les frameworks actuelles qui empêchent tout erreur humaine ça me parait vraiment compliqué

Oui oui bah j'ai pas fait de la sécu depuis 10 ans :rire:
Je me doute bien que ça doit plus être d'actualité :rire:

Mais y a toujours des alternatives.

Après, le truc à la mode, c'est le cryptolocking en ce moment.

Pourquoi s'emmerder à hack quand tu peux tout lock et demander une rançon?

goarmee
2021-03-30 16:17:45

Le 30 mars 2021 à 16:15:36 Turbozboub93 a écrit :

Le 30 mars 2021 à 16:10:39 Utilisateur7876 a écrit :

Le 30 mars 2021 à 16:08:47 Turbozboub93 a écrit :

Le 30 mars 2021 à 16:01:35 RatRice a écrit :

Le 30 mars 2021 à 15:57:52 Turbozboub93 a écrit :
En quoi c'est impossible?

Ca dépend des sites, du mot de passe en question,

Si t'es sur un site de merde, sans captcha, sans 2fa, c'est très très simple.
Il suffit de faire un brutforce dégueulasse, c'est à la portée du premier venu,
Le dernier point bloquant, c'est ton mdp,
Mais vu que l'internot moyen se balade avec des mdp de merde de niveau SEGPA, c'est rarement un problème.

Si par contre, tu commences à mettre du captcha, ça devient plus technique,
Avec 2FA, là oui, ça devient quasiment impossible.

Mais avec le phishing, les trojans, et tout le bordel, sans 2FA, oui, ton mdp est vulnérable.

d'ou avec captcha ça devient plus technique? c'est juste impossible en fait

C'est totalement possible, mais tu vas devoir utiliser des techniques différentes d'un simple brutforce.
Par exemple de l'injection SQL (je sais pas si c'est toujours d'actualité).

ayaaa de l'injection sql avec tout les frameworks actuelles qui empêchent tout erreur humaine ça me parait vraiment compliqué

Oui oui bah j'ai pas fait de la sécu depuis 10 ans :rire:
Je me doute bien que ça doit plus être d'actualité :rire:

Mais y a toujours des alternatives.

Après, le truc à la mode, c'est le cryptolocking en ce moment.

Pourquoi s'emmerder à hack quand tu peux tout lock et demander une rançon?

ça existe toujours mais ça se complexifie, les champs sont plus bêtement vulnérables comme ils l'étaient.
mais t'as des tjr des blind sqli ce genre de trucs.

Utilisateur7876
2021-03-30 16:20:29

Le 30 mars 2021 à 16:15:03 Goarmee a écrit :
parce que tu te méprends sur la méthodologie employée je pense, quand on fait des attaques c'est tres rare de chercher une cible unique, tu mets plutôt des heuristiques en place pour trouver des cibles vulnérables (à partir de cve, d'exploits connus).

Pour le spreading de virus, c'est un monde un peu à part dans la sécu.

j'ai pas compris au final tu veux juste utiliser l'ingénierie sociale sur le plus con ?

goarmee
2021-03-30 16:22:01

Le 30 mars 2021 à 16:20:29 Utilisateur7876 a écrit :

Le 30 mars 2021 à 16:15:03 Goarmee a écrit :
parce que tu te méprends sur la méthodologie employée je pense, quand on fait des attaques c'est tres rare de chercher une cible unique, tu mets plutôt des heuristiques en place pour trouver des cibles vulnérables (à partir de cve, d'exploits connus).

Pour le spreading de virus, c'est un monde un peu à part dans la sécu.

j'ai pas compris au final tu veux juste utiliser l'ingénierie sociale sur le plus con ?

non du tout, t'as juste des mecs qui passent leurs temps à scout pour trouver des services (version scanning, ... ) qui seraient vulnérables à des cve connues.

Utilisateur7876
2021-03-30 16:24:41

Le 30 mars 2021 à 16:22:01 Goarmee a écrit :

Le 30 mars 2021 à 16:20:29 Utilisateur7876 a écrit :

Le 30 mars 2021 à 16:15:03 Goarmee a écrit :
parce que tu te méprends sur la méthodologie employée je pense, quand on fait des attaques c'est tres rare de chercher une cible unique, tu mets plutôt des heuristiques en place pour trouver des cibles vulnérables (à partir de cve, d'exploits connus).

Pour le spreading de virus, c'est un monde un peu à part dans la sécu.

j'ai pas compris au final tu veux juste utiliser l'ingénierie sociale sur le plus con ?

non du tout, t'as juste des mecs qui passent leurs temps à scout pour trouver des services (version scanning, ... ) qui seraient vulnérables à des cve connues.

ouai mais j'imagine que c'est un autre niveau et réservé à l'élite :rire:

Koncilleg
2021-03-30 16:25:53

Le 30 mars 2021 à 15:55:23 Utilisateur7876 a écrit :
Je trouve que c'est pratiquement impossible de cracker un mdp par exemple sur des machines récentes.
je vois pas comment on peut hacker en 2021 ça me parait presque impossible à moins d'avoir des connaissances très très poussé et tant mieux. c'est mieux pour la sécurité des utilisateurs qu'en pensez-vous ?

no ddb y'a rien d'hors chartes.

ça dépend de la technique utilisée. Si tu fais de la force brute, un mdp à 6 caractères avec 255 caractères possibles à chaque fois, alors tu as 255^6 = 2.74942x10^14 possibilités de combinaisons.
Un microprocesseur performant tournant à 4 GHz peut faire 4 milliards d'opérations par seconde, soit 4x10^9 calculs par seconde, donc 10^14/10^9 = 100 000. Il te faudra 100 000 secondes pour craquer un mdp à 10^14 combinaisons, soit 27 jours consécutifs.
Le mieux est de choisir un mdp à 10^20 ou + combinaisons pour être tranquille, soit au moins 9 caractères.

GoD-MoD
2021-03-30 16:26:56

C'est vrai mais ça fait un moment que les hackers utilisent des moyens détournés ( comme le phishing ) pour les récupérer directement.

goarmee
2021-03-30 16:27:22

Le 30 mars 2021 à 16:24:41 Utilisateur7876 a écrit :

Le 30 mars 2021 à 16:22:01 Goarmee a écrit :

Le 30 mars 2021 à 16:20:29 Utilisateur7876 a écrit :

Le 30 mars 2021 à 16:15:03 Goarmee a écrit :
parce que tu te méprends sur la méthodologie employée je pense, quand on fait des attaques c'est tres rare de chercher une cible unique, tu mets plutôt des heuristiques en place pour trouver des cibles vulnérables (à partir de cve, d'exploits connus).

Pour le spreading de virus, c'est un monde un peu à part dans la sécu.

j'ai pas compris au final tu veux juste utiliser l'ingénierie sociale sur le plus con ?

non du tout, t'as juste des mecs qui passent leurs temps à scout pour trouver des services (version scanning, ... ) qui seraient vulnérables à des cve connues.

ouai mais j'imagine que c'est un autre niveau et réservé à l'élite :rire:

bof en verite.

M4st3r0fS0ck3tz
2021-03-30 21:09:20

t'auras toujours des boomers mentaux pour utiliser des mdp bidons ou carrément te filer leur creds par ingénierie sociale donc donc c'est pas encore mort.

Et dans le cas ou tu as une politique de mdp complexe ça incite la réutilisation de mdp ce qui justifie de dédier plus de temps de calcul au crackage.

Ce qui change vraiment la donne c'est le 2FA, même avec un mdp rien n'est gagné aujourd'hui.

Le 30 mars 2021 à 16:24:41 Utilisateur7876 a écrit :

Le 30 mars 2021 à 16:22:01 Goarmee a écrit :

Le 30 mars 2021 à 16:20:29 Utilisateur7876 a écrit :

Le 30 mars 2021 à 16:15:03 Goarmee a écrit :
parce que tu te méprends sur la méthodologie employée je pense, quand on fait des attaques c'est tres rare de chercher une cible unique, tu mets plutôt des heuristiques en place pour trouver des cibles vulnérables (à partir de cve, d'exploits connus).

Pour le spreading de virus, c'est un monde un peu à part dans la sécu.

j'ai pas compris au final tu veux juste utiliser l'ingénierie sociale sur le plus con ?

non du tout, t'as juste des mecs qui passent leurs temps à scout pour trouver des services (version scanning, ... ) qui seraient vulnérables à des cve connues.

ouai mais j'imagine que c'est un autre niveau et réservé à l'élite :rire:

n'importe quel connard peut mass scan l'internet et utiliser un exploit rendu public

Infos
Gestion du forum
contact@geevey.com

API disponible. Utilisez le paramètre "api" en GET, peu importe le contenu, sur une page du site.
Notes
    Partenaire: JVFlux
    Ce site n'est pas associé à Jeuxvideo.com ou Webedia. Nous utilisons seulement des archives publiques.
    Il est inutile de me spammer par e-mail pour supprimer un topic. Au contraire, en conséquence, je mettrais votre topic dans le bloc ci-dessous.
Non-assumage
    Personne n'a pas assumé de topic pour le moment.