Jens Steube, co-auteur du populaire Hashcat, a découvert une faiblesse dans la technique de hash cryptographique SHA1 qui lui permet d'accélérer le processus de déchiffrement de 20%.

SHA1 traite toujours des blocs de 512 bits (64 octets). Toutefois, ces données sont agrandies à 2048 bits lorsque la valeur de hash SHA1 est générée. Steube appelle cela le processus "d'expansion de mots" (word expansion). Les mots sont élargis par le biais d'opérations XOR, mais certaines de ces opérations sont redondantes et peuvent être éliminées. Un peu d'astuce pour optimiser tout ça et le chercheur a réussi à réduire le nombre d'opérations pour le calcul complet d'un hash SHA1 d'environ 20 pour cent, soit 694 opération au lieu de 880.

Par ailleurs, les faiblesses de la technique de hash SHA1 qui ont été identifiées au cours des dernières années n'ont rien à voir avec l'utilisation de SHA1 dans le stockage de mots de passe. Ces attaques visent à créer des collisions. D'autres part, le "crackage" du mot de passe consiste à trouver un ensemble spécifique de données qui correspondent à une valeur de hash. Toutefois, aucun type d'attaque n'est plus rapide que d'essayer tout simplement d'entrer des mots de passe connus à partir de dictionnaires (sauf si vous avez les moyens et que vous faites du Time Memory Trade Offs ou du Parallel Computing car cela nécessite d'énormes quantités d'espace disque pour les tables pré-calculées).

Que les simples hash SHA1 ne soient pas un bon choix pour le stockage de mot de passe est dû au fait que les pirates peuvent calculer un hash SHA1 et essayer un grand nombre de mots de passe trop vite, même sans les optimisations de Steube. Des algos bien optimisés peuvent calculer jusqu'à des centaines de millions de hash SHA1 par seconde. Par contre des méthodes telles que PBKDF2 ou Bcrypt sont conçues pour exiger beaucoup de ressources comme de nombreuses unités de cartes graphiques Tesla de NVidia.

En outre, cracker bcrypt est pratiquement impossible même avec des GPUs en raison d'une consommation mémoire assez importante de l'algorithme. Seuls quelques milliers de hash par seconde avec bcrypt sont généralement calculés.

Si vous êtes développeur web, vous avez probablement déjà créé un système de connexion. Et si c'est le cas, vous avez dû utiliser une certaine forme de hachage pour protéger les mots de passe des utilisateurs en cas d'une violation de sécurité de votre application/plateforme.

Il y a beaucoup d'idées contradictoires sur la façon de créer correctement le hash d'un mot de passe. Le hachage d'un mot de passe est l'une des choses les plus simples mais la plupart des développeurs le font mal. Et c'est tout le fait de ce tutoriel dédié aux développeurs où je vais vous expliquer comment stocker en toute sécurité les mots de passes dans une base de données et pourquoi il doit être fait d'une certaine façon.

Bon bien sûr sur votre application/site vous devez "forcer" l'utilisateur à saisir un mot de passe avec un minimum de caractères et des caractères spéciaux car aujourd'hui un mot de passe trop simple peut être cracké/sniffé en un rien de temps.

Voici les différentes parties de ce tutoriel :

• Qu'est-ce que le hash d'un mot de passe ?
• Comment le hash d'un mot de passe est-il cracké ?
• Méthodes de hachage efficaces
• Quel algorithme de hachage utiliser ?
• Comment renforcer encore plus sa méthode de hachage ?
• Code PHP : Méthode de base
• Code PHP : Méthode level up
• Code PHP : Méthode shield
• Conclusion

Lire la suite...

Encore un déchiffreur de hash que BreakTheSecurity vient de proposer en téléchargement en version 1.2

Ce cracker de hash, développé par PenTesters et Ethical est capable de déchiffrer du hash MD5, SHA1 et NTLM (mot de passe Windows). Développé en java, il est donc compatible multiplateforme, juste besoin de lancer le jar et hop c'est parti! (requiert tout de même la JRE 1.6)

Les fonctionnalités sont multiples comme le crack par dictionnaire (que vous devrez vous procurer), le générateur de hash mais aussi et surtout avec cette version 1.2 la possibilité de crack un hash en ligne sans dictionnaire!
J'ai testé avec ab4f63f9ac65152575886860dde480a1 et il m'a sorti azerty en quelques secondes. Pas très impressionnant certes. Avec un mot de passe plus compliqué par contre ça fait 30 minutes que ça mouline.

Bien sûr en renforçant votre hash à l'aide d'un salt il y aura très peu de chance qu'un hacker déchiffre votre hash même avec ce logiciel. A moins qu'il soit très très très patient ^_^

Enfin bref pour le télécharger c'est ici ou ici

Ah et j'ai failli oublier : Please Use this software for legal purposes (Testing the Password Strength).

thehackernews.com

La plupart des développeurs utilisent l'algorithme du MD5 ou SHA1 pour chiffrer les mots de passe en base de données.
Une fois celui-ci stocké en bdd, on compare le mot de passe chiffré avec le hash MD5 enregistré en base de données pour autoriser une authentification par exemple.
Ainsi l'administrateur du site ou un pirate ne peut connaître les mots de passes inscrits.

Avec ce genre de chiffrement, il y a peu de chance pour un hacker de récupérer les mots de passe utilisateurs car celui-ci n'est pas réversible. Cependant l'attaque par dictionnaire est toujours possible.
En utilisant par exemple cet outil de reverse MD5 hash vous pourrez retrouver un mot de passe si celui-ci est inscrit dans un des dictionnaires utilisés.
En rentrant par exemple le hash ab4f63f9ac65152575886860dde480a1, cet outil vous retournera azerty.

Pour éviter que votre mot de passe ou celui de vos clients ne soit percé à jour, on va utiliser une petite fonction en PHP permettant de renforcer le hash MD5 généré afin que celui-ci ne soit pas déchiffrable par les dictionnaires.
On ajoutera pour cela une chaîne statique devant le mot de passe avant de générer le hash MD5.

function improve_md5($string)
{
   // Exemple de chaîne statique qui sera concaténée avec la chaîne originale.
   $static_string = 'DSB4zT9';
   // On renvoi le hash MD5 de la chaîne statique concaténée à la chaîne originale.
   return md5($static_string . $string);
}

Vous devrez utiliser cette fonction pour l'enregistrement en base de donnée et la comparaison lors de la connexion.
Attention toutefois de ne pas modifier votre chaîne statique lorsque vous avez fait votre premier enregistrement en base de donnée!