Comment casser hash LM/NTLM de vos mots de passe Windows ?

[Christelle12345]

Bonjour,
Je suis jeune administrateur réseau. Suite à un incident (piratage d'un compte, sans gravité heureusement) dans ma société où je suis arrivée il y a peu de temps, ma Direction m'a demandé un contrôle et rapport sur l'ensemble des mots de passe réseau de la société. L'objectif, faire changer tous les mots de passe réseau "trop simple".
Avant de lancer ça sur le serveur, j'ai voulu tester des méthodes sur mon PC :-)
J'ai donc lancé suite à la lecture de plusieurs tutos sur mon poste en Admin :

La commande « QuarksPwDump.exe -dhdc -o C:\hash.txt » (donc pour mot de passe réseau).
Mon fichier txt a bien récupéré les quelques comptes réseaux que j'ai sur mon poste en local, il est de la forme :
»
Cached Entry
Username: user1
Domain: company
Full Domain: company.FR
NT hash: 96A879D1ADBED8E108EC5A084A67DEAE
»

Mais ensuite, impossible de tester ce fichier avec Ophcrack. Il ne reconnait pas le format du fichier on dirait (?).
Faut-il convertir ce fichier avec un autre format ?
Je ne comprends pas, pouvez-vous m’aider s’il vous plait ?
Merci d’avance à tous.

Christelle.

[Malekal_morte]

J'ai scindé le message qui avait été posté là : http://forum.malekal.com/comment-casser ... 47349.html pour le mettre dans la partie Divers.

Là ce que tu essayes de faire, c'est de casser un mot de passe à partir de son hash.

L'objectif, faire changer tous les mots de passe réseau "trop simple".

Si le but est d'interdire les mots de passe faibles, tu mets en place une GPO :

Code : Tout sélectionner

https://msdn.microsoft.com/fr-fr/library/cc781633(v=ws.10).aspx

Après il doit falloir obliger tous les utilisateurs a changé leur mot de passe.

[Maievh]

Bonjour,

Je viens de lire vos messages respectifs et que diable vous prenez vous la tête pour casser un mot de passe Windows ^^.
Il existe des outils bien plus facile et véritablement puissants pour les professionnels, donc bien sur je ne parlerai pas en public car tout le monde n'a pas les même intentions qu'un Admin réseau qui souhaite faire un Audit.

Christelle concernant ton soucis je te suggérerai de suivre le conseil de M'sieur Malekal et en effet de passer par les GPO ou ton Active Directory si tu en as un, mais étant Admin réseau je suppose que tu dois en avoir un bien fournis avec une gestion des comptes.

-De mon côté si j'ai bien saisie, dans ton parc vos mot de passe sont relié à une machine et non aux utilisateurs ?

[Christelle12345]

Bonsoir,

Merci pour le lien, je ne connaissais pas...
Je suis partie sur ce terrain car j'aime bien aussi comprendre un peu mieux ce que je fais avec des outils gratuits (dans un 1er temps) plutôt que de prendre des logiciels tout fait "clic bouton" et payant.
Un des objectifs aussi est de montrer au personnel que leurs mots de passe actuels peuvent être trouvés (trop) facilement et qu'il y ait un électro-choc. Sinon, je les entends d'ici déjà chouiné quand je vais leur dire qu'il va falloir changer tous leurs mot de passes par ce qu'il y a eu UN problème, etc....:-) surtout venant d'une femme ! :-)
Plus sérieusement, en regardant différents sites, j'ai l'impression que je peux transformer le fichier de mon exemple en :
User:::NThash:::

Ophcrack le prend en sigle hash et cherche. Pour le moment, il n'a pas trouvé mon compte (j'ai mis un mdp long !).

Je suis sur le bon chemin pour mon test ? Merci.

[Maievh]

Je te rassure l'outil que j'utilise est gratuit, et fait sauter tout les mot de passe et ce n'est pas du "clic & wait" pour le faire...

Et oui tu es sur le bon chemin en effet.

[Christelle12345]

Merci :-)

[ѠOOT]

Bonjour,

@Maievh: Si vous avez des noms d'outils gratuits, partagez les.
Il ne s'agit pas de "faire sauter" mais de casser, sacrée différence.

@Christelle12345: C'est bien de s'interroger sur la manière dont les
identifiants sont stockés, utilisés,.. et attaqués. Sur le sujet, il y
a énormément d'informations, tout est question de recherches.
Rappel: si l'adversaire accède aux hash alors il y a défaillance.

L'application gère que le format pwdump / samdump par défaut.
QuarksPwDump possède une option pour le fichier de sortie.

else if((!strcmp(argv,"--output-type")) || (!strcmp(argv,"-t"))){
if((i+1) < argc) {
if(!lstrcmp(argv[i+1],"LC"))
OPT_NT_DUMP_TYPE = NTDUMP_LC;
else if(!lstrcmp(argv[i+1],"JOHN"))
OPT_NT_DUMP_TYPE = NTDUMP_JOHN;
i++;
}

D'après les sources, LC correspond à L0phtCrack & JOHN à John The Ripper.
L'avantage d'avoir les sources c'est de pouvoir ajouter son propre formatage.

Un brin d'éducation, chartes, politiques, stratégies,.. en résumé, la routine.
Après comme vous le savez probablement déjà, ça ne fait pas tout.
Je recommande par exemple la lecture de ce document.
À toute fin utiles, quelques recommandations.

Éternel sujet que celui de la complexité des mots de passe ; parfois vaut mieux en rire :]~



Liens connexes:
→ NTLM Authentication Protocol and Security Support Provider ( ref: Key Weakening )

[Maievh]

@ ѠOOT :

Navrée mais en aucun cas je ne me permettrais de donner le nom d'outils extrêmement efficaces en plein forum. Etant donné que la démarche d'utilisation serai plus ou moins "simple" cela pourrai créer bon nombres de problèmes dans des parcs informatiques, sécurisés ou non.

Ce sont des outils de professionnels, on ne donne pas une arme à un enfant, on la donne à quelqu'un de confiance et d'expérimenté qui saura rester honnête.

Je n'ai pas l'habitude d'être équivoque sur ce sujet sensible qu'est la sécurité informatique et je ne prend pas ceci à la légère. Et crois moi je ne souris pas en écrivant ce message, la sécurité, c'est du sérieux, c'est mon métier et je refuse de créer délibérément des failles dans les parcs de mes confrères Administrateurs.

Je ne reviendrai pas sur le sujet.

[xtrem47]

Le sujet du contournement du mot de passe Windows a été également été traité par ici : http://forum.malekal.com/comment-initia ... 50089.html si ça peut t'intéresser.

[gwenbe]

Hello,

Pour déchiffre des hash, il suffit d'utiliser Cudahash, un dico et en fonction de la complexité du mot de passe c'est plus ou moins long...
Comme indiqué ci-dessus, ces petits labo sous ce progamme m'ont surtout permis de comprendre que les mots de passe comme "Tr0ubaOur!5" étaient très facilement craquable... Justement car sur le petit utilitaire de dechiffrage , il y a des algos exploitant les habitudes humaines.

J'utilise moi même une technique "maison" , suggéré par un pote pour trouver un mot de passe unique à chaque site et facilement à retenir.
Je ne sais pas si je peux mettre le lien ? mais en gros je part de l'idée de retenir un "schéma" visuel sur le clavier qui ne veut rien dire et en plus en utilisant des lettres qui ne sont pas à la même place en Qwerty.
Forcément, si quelques malins sortent un algo de dechiffrage adapté, ca pourrait être cassé, mais en attendant je pense que c'est encore la meilleure technique?

La phrase avec plusieurs mots c'est chouette mais difficile à adapter pour avoir des mots de passe uniques sur chaque site.

[ѠOOT]

Bonjour,

@Maievh: S'il était question d'exploits 0 day visant un chiffreur IP ou je ne sais quoi, d'accord.
Or ce sujet concerne des faiblesses connues et détaillées depuis plus d'une dizaine d'années.
Je comprends le fond de la remarque mais de grâce laissez donc les armes et les enfants à part.
D'après les échos des RSSI côtoyés, les failles scénarisées & médiatisées (FUD) comme "HeartBleed", "Poodle", "ShellShock", "Ghost",.. accompagnées de détails techniques et outils d'exploitation sont plus à même de nuire aux nerfs de vos confrères. Enfin qu'importe, j'espère que vous avez retrouvé le sourire.

@gwenbe: J'avais mentionné GPGPU/CUDA & HPC .. sur l'article en relation avec John. Peut-être rédigerais-je quelques chose sur les possibles usages d'hashcat (CPU) / oclhashcat (GPU). Vous bifurquez un peu du sujet LM/NTLM pour aborder les identifiants via sites internet, je vais cependant y répondre. Le schéma est une fausse bonne idée, c'est une méthode mnémotechnique visuelle comme une autre, elle n'augmente pas de manière significative la résistance aux attaques précitées. Les mots de passe générés aléatoirement résistent bien aux stress-tests mais sont parfois tellement complexes que l'utilisateur n'arrive pas à les retenir. Dans le cas des sites internet, pour l'utilisateur ça devient encore plus compliqué car il y a une myriade de contraintes et d'inconnues. Nous ignorons quasiment tout des mécanismes déployés sur les sites que nous fréquentons : nous ignorons par exemple comment sont stockés nos identifiants sur ces sites et c'est comme ça que nous pouvons avoir un mot de passe bien costaud, penser être tranquille, alors qu'il est bêtement stocké en clair par le webmestre. La plupart du temps, lorsque le serveur ( si ce n'est pas en plus avec ses certificats ) ou simplement le compte du webmestre qui est compromis alors généralement tous les comptes deviennent potentiellement exposés.

Je me répète car je souhaite insister sur ce point : pourquoi un attaquant s'entêterait à vouloir dézinguer des portes blindées et surveillées alors qu'il y a, malheureusement bien trop souvent, d'autres accès ?

Point à garder en tête : la majeure partie des victimes découvrent qu'elles sont piratées que plusieurs mois après les faits. Plus de la moitié d'entre elles sont incapables de fournir une explication rationnelle quant aux points d'entrées des visiteurs. Autre élément à garder en tête, même pour des États & des GE, l'attribution d'une attaque informatique à un ou plusieurs individu(s) reste une étape extrêmement délicate alors imaginez ce qu'il en est pour des ETI/PME/TPE.

Comment être sûr et certains que l'identifiant résistera avant son prochain changement ?
Que faire face aux dispositifs "espions" (ex: enregistreurs de frappes logiciels / matériels) ?
Comment s'assurer que celui qui va utiliser les identifiants est la bonne personne ?

Dès lors que le facteur mémoriel est découvert par l'adversaire : c'est terminé.
Suivant les cas, l'authentification simple ne garantit pas un niveau suffisant.
Pour assurer un bon niveau de sécurité, concaténer plusieurs facteurs.

À ce propos, je suis à peu près convaincu que vous en connaissez et/ou en utilisez.
Avez-vous déjà utilisé des dispositifs à jetons de sécurité pour accéder à votre banque ?
Combien d'entre vous ont reçu un code OTP via SMS pour une établir une connexion ?

Page 22/29 ( voir lien "recommandations" de ma réponse précédente )
L'un des moyens simples de respecter cette règle est de faire intervenir un
secret (mot de passe, code PIN, etc.) sans que ceci soit le seul moyen possible.
- un badge personnel peut être un mécanisme de déverrouillage conforme.
- une caractéristique biométrique peut être un mécanisme de déverrouillage conforme.

Donc... la banale identification par mot de passe + la carte à puce aux petits oignons qui comprends un certificat numérique personnel + les 12 points singuliers locaux que présentent le dactylogramme du porteur = authentification forte à triple facteurs. Même si l'identifiant est connu ça ne suffit plus et si l'attaquant à l'idée de dérober la carte, celle-ci restera muette et déclenchera une alerte de sécurité faute d'avoir les bonnes empreintes. J'ai pris l'exemple des empreintes car c'est plutôt d'actualité.

Il existe bon nombre de mécanismes ; tous ont des avantages & des inconvénients ; à bien prendre en compte en fonction des usages / besoins / budgets. Là encore diverses difficultés, notamment sur les implémentations, audits, limites,... Renseignez-vous, ça ne mange pas de pain comme on dit.

Liens connexes:
→ Protocole Kerberos
→ PKI + PKIX de l'IETF
→ PKCS

[gwenbe]

Oui tu as raison.
Moi actuellement j'ai des passes différents pour chaque site et pour mes trucs "serieux" comme ma boite Gmail je fonctionne avec une double facteur d'auth ( 2FA ). Toi tu parles de triple, pourquoi ? ça ne devient pas trop contraignant au quotidien ?

[ѠOOT]

Bonjour,

Le choix des mécanismes dépends des niveaux de sécurité exigés. Pour simplifier, une station de travail n'a peut être pas besoins d'un niveau aussi élevé qu'un serveur de fichiers. Il me semble déceler un bout de réponse dans votre question : SI + de sécurités ALORS ↗ des contraintes ; c'est quasi indissociable. A mon sens, il n'y a pas une solution mais des solutions et ce qui m'importe ce n'est pas d'avoir tord ou raison c'est avant tout de partager, d'apporter des références, des recommandations, des termes et des mots-clefs afin que Christelle12345 et d'autres puissent continuer à élargir leurs champs de recherches. Ce type de parcours a ses limites et convient davantage aux curieux motivés qu'aux simples badauds alors bon courage :þ

edit:

03 Fév 2015 - pour mes trucs "sérieux" comme ma boite Gmail je fonctionne avec une double facteur d'auth ( 2FA ). Toi tu parles de triple, pourquoi ? ça ne devient pas trop contraignant au quotidien ?

Due to the risk that SMS messages or voice calls may be intercepted
or redirected, implementers of new systems SHOULD carefully consider
alternative authenticators. If the out-of-band verification is to be
made using the public switched telephone network (PSTN), the verifier
SHALL verify that the pre-registered telephone number being used is not
associated with a VoIP (or other software-based) service. It then sends
the SMS or voice message to the pre-registered telephone number. Changing
the pre-registered telephone number SHALL NOT be possible without
two-factor authentication at the time of the change.

Note: Out-of-band authentication using the PSTN (SMS or voice) is
deprecated.

► SMS 2FA (based 2-factor authentication) is proven weak - deprecated.

[ѠOOT]

Bonjour,

Windows 10 gèrera l'authentification forte biométrique par reconnaissance des empreintes digitales et/ou l'iris de votre œil.



Une clé de voûte fait son entrée. La révolution numérique enclenche la seconde.
Les moyens biométriques vont débarquer en masse et leurs usages vont se banaliser.
Toute forme de réticences, barrières, freins, seront de facto balayés d'un revers de main.
Les paiements via terminaux mobiles se feront simplement en touchant l'écran ou en parlant.
Toute résistance est inutile, nous sommes déjà dépendant et sous contrôle, suivez et obéissez.

Liens connexes:
→ Microsoft Windows Hello