Aujourd’hui je vais vous parler d’un petit bench effectué sur le logiciel de passcracking via rainbow tables, OphCrack, de la société Objectif Sécurité. Son principe est simple, il commence par brute forcer vos hashes NTLM pour éliminer les mots de passe faibles, le brute force s’effectue sur la plage de 1 à 4 caractères, ensuite il charge ses rainbow tables et cherche une concordance. OphCrack est d’ailleurs très connu, des rainbow tables gratuites sont disponibles ici : http://ophcrack.sourceforge.net/tables.php . Vous noterez qu’elles ne sont pas toutes gratuites, chaque table payante est vendu pour 99€, la collection complète coûte donc son prix.
L’inconvénient majeur des rainbow tables est le temps de précomputation pour les créer. Le deuxième inconvénient c’est l’espace de stockage. C’est horriblement gourmand en espace disque. Ces deux problèmes ne sont pas uniquement relatifs à OphCrack, toutes les rainbow tables ont ces deux problèmes. A titre d’exemple, la collection complète des rainbow tables pour OphCrack occupera 250,4 Go ! La collection complète des rainbow tables du projet Free Rainbow Tables occupera 1,7 To. L’avantage des rainbow tables, c’est que ca permet, pour un passcracker amateur ou une personne qui ne dispose que de peu de temps, d’obtenir des résultats rapidement.
L’utilisation des rainbow tables demande quelques ressources et sont directement tributaires des performances de vos HDD, c’est donc pour cela que le bench d’aujourd’hui porte sur l’utilisation conjointe des rainbow tables et de la technologie SSD. Les performances sont donc au rendez-vous !
Benchmark :
Hash: 17817c9fbf9d272af44dfa1cb95cae33:6bcec2ba2597f089189735afeaa300d4
Password: 72@Fee4S@mura!
Length: 15 char
Durée: 5 SecondesHash: ac93c8016d14e75a2e9b76bb9e8c2bb6:8516cd0838d1a4dfd1ac3e8eb9811350
Password: (689!!!<>”QTHp
Length: 16 char
Durée: 8 SecondesHash: d4b3b6605abec1a16a794128df6bc4da:14981697efb5db5267236c5fdbd74af6
Password: *mZ?9%^jS743:!
Length: 14 char
Durée: 5 SecondesHash: 747747dc6e245f78d18aebeb7cabe1d6:43c6cc2170b7a4ef851a622ff15c6055
Password: T&p/E$v-O6,1@}
Length: 14 car
Durée: 8 Secondes
Quand on voit les mots de passe et le temps requis pour les cracker via un HDD SSD, autant utiliser des mots de passe comme « toto ». L’autre solution serai de dépasser les 14 caractères mais du coup on perdrai en praticabilité. Dans tous les cas, il vous faut adapter votre niveau de confidentialité en fonction de ceux dont vous voulez vous protéger. Un mot de passe complètement aléatoire de 32 caractères pour protéger la session administrateur du PC de la famille est totalement exagéré.
Ces benchmarks sont issu de cet article : http://cyberarms.wordpress.com/ . En revanche, je ne suis pas du tout d’accord sur les conclusions tirées. L’authentification par mot de passe est loin d’être morte, les solutions dites de remplacement comme la biometrie et la reconnaissance faciale sont des fausses solutions car il suffit de neutraliser la caméra ou le palpeur digitale et on retrouve notre bonne vieille authentification par mot de passe. Ah oui n’oublions pas, ici il est question de hashes NTLM, hashes de sessions Windows, sur une Ubuntu 9.10 les mots de passe de sessions sont au format SHA512(unix), qui est un format salté. Zut les rainbow tables ne fonctionnent plus quand il y a un salt ! Je rajouterai aussi un dernier mot, les prix actuels des SSD sont encore très élevés et ont une durée de vie nettement inférieur aux HDD classiques, c’est donc pas la solution rêvée pour stocker des choses de ce style.
)
