[DÉMO] Comment cracker un mot de passe en 2023 (en moins de 20 secondes)
Вставка
- Опубліковано 26 сер 2022
- Il existe des outils gratuits et facilement trouvables sur Internet pour cracker des mots de passe.
Un mot de passe de 7 caractères, c'est très très rapide !
Ton mot de passe doit être unique, complexe et d'au moins 9 caractères !
Cette vidéo a pour objectif de te sensibiliser à définir des mots de passe complexe. Les outils utilisés le sont dans le cadre de ethical hacking. Pirater un mot de passe qui n'est pas le tien est punissable. - Наука та технологія
"je vais craquer ton mot de passe de 7 caractère en 20 seconde" la tête que tu fais est incroyable 🤣
Sinon super bien expliquer !
si toi t as compris moi g pas copris cmt avoir cette ecran bizard tt noir
t as peut etre une idée ??
@@samieboughambouz2019 ?
@@samieboughambouz2019 bah c'est un terminal de commande
Suffit d'allez dans t'on menue démarrer accessoires gêneralement et ta marqué terminal de commande
Il utilise kali linux franchement c'est nul à faire
@@Pessi_agressif non il dit qu'il arrive pas à lance un terminal de commande...
@@bordelledemiaou4079 ahhhh merci
brute de force ne peut pas être utilisé partout il y a des sécurité qui empêche de spam les tentatives heureusement et la majorité des sites empêchent les mots de passe à moins de 8 caractères.
Cest la que vient les proxy….
@@jamesdoakes2995 Et quand t'es pas trop con quand tu fais ton site ou application tu bloques la connexion pour l'user qui se fait brute force et pas pour l'ip qui fait l'attaque 🤦♂️
Ouais mais tkt il a craqué son code de fichier zip 😭😭😭 Pro Hackerz de fou mdr ! C’est trop ce genre de vidéos 😭 Sur la prochaine il craque son code de cadenas a chiffre !
C'est sur le handshake que tu fais le spam, pas directement en essayant
@@MrAngelus2b La vidéo reste très bien dans la mesure où tout les sites n'ont pas forcement de garde fou et qu'elle sensibilise
C'est bien de cracker du ZIP, mais dès que le nombre de tentatives entre en jeu la brute force n'existe plus :(
C'est juste ! Heureusement que les ingé systèmes mettent en place des verrous de sécurité.... Car on vient encore de faire un test récemment et les gens ont vraiment un problème avec leurs mots de passe 😅
Ça se bypass via des proxies
@@amineflex1337mais ralentit drastiquement le processus
@@raphiii__ pas si t’as le bon pc
@@instantpresent1760 bah non, le concept d’un proxy c’est justement que c’est indépendant de ton pc mdr
Quand tu taff dans l'informatique, lire les commentaires sous ce genre de vidéo est tellement satisfaisant !
J'aime la mythomanie des gens, ça me passionne.
😂😂😂
En fait moi je ne regarde même pas les vidéos. Je Scroll direct sur les commentaires.
Idem c’est un régal de voir les gens qui ne pense savoir…
Valable dans plein de domaines ! Le pire je pense c'est la mécanique quantique
Personne n'a mytho dans les commentaires
Wow ce genre de vidéo (malgré qu'elles fassent un peu flippé 😅) est vachement bien pour la prévention, merci!
Si ça te fait flipper il va vraiment falloir commencer à se poser des questions sur son usage du numérique 😬
Oui et bon la démonstration qu'il vient de faire et inutile dans 99% des site qui ce protège des attaques de brut force au bout de × essais le site bloque
@@elpollo4083 dans 99,99% tu veux dire
@@pasunpigeon3001 Les comptes bancaires et les comptes de jeu.
Malgré le fait*
C'est pour contrer les brutes forces qu'on a implémenté un "nombre de tentative maximale" avec une impossibilité de s'authentifier pendant "X min", voir un verrouillage du compte au bout de N tentatives échouées. Mais bien sur, pour déverrouiller un zip, pas de problème
je vous assure que ça ne sert à rien
Je sais pas comment, mais les hackeurs peuvent copier le code qui regarde si t’as le bon mot de passe et après le brute force comme il veut
@@googloocraft1217 Je suis pas à jour sur les attaques modernes mais il y a 5-10 ans, ils les récupéraient par injection SQL ou buffer overflow sur les formulaires de sites internet.
Mais les mots de passes sont stockés sous une forme "hashed and salted" c'est à dire qu'on leur fait subir une opération mathématique (théoriquement) irréversible. C'est sur ces "codes de vérification de mot de passe" que l'attaque brute force est faîte
@@googloocraft1217 &$#^^$^??
@@Cailloumax oui quand on charge une distribution Linux (pls giga) est fourni un code de vérification qui permet de savoir si il est le même que l original ...(md5) je crois que c est ça que l on appel le hash.
ce code ne permet pas de reconstitué le linux ..
- mais peutre que si la source est petite (- 15 caractères ?)c est fesable !?
On a bien rigolé, merci pour ce petit moment d'humour.
😂, surtout quand le dico fait une ligne avec le mot dedans 😂🎉. Bravo.
Mes mdp + de 28 caractère, et c’est une passphrase, avec identification à double facteur 👍🏻
C'est quoi un passphrase ?
@@busteriv8552 c’est une phrase dans un mot de passe par exemple: « MonchiensAlexedem’attendchaquejourpourluidonner500grammedeviande »
l’identification à double facteur est la manière la plus simple de se faire hack 👌🏼
@@SiAreSevenx comment ça ?
Une telle authentification nécessite d'avoir accès à chacun des tiers.
Double authentication = strong authentication = 2 factors among (what you know, own, are).
@@SiAreSevenx ce que tu dis n'a qu'un sens. L'a2f contre le bruteforce Ms pas le phishing
Oui oui, brute force sur un fichier en local, c'est bien beau, mais brute force via des requêtes HTTP pour trouver le mot de passe de quelqu'un, bonne chance pour ça :)
Exact, le brut force n'est plus possible à l'heure actuel. Les sites sont fortement protéger, comme Google qui t'envoi des faux positifs quand il détecte un brut force
@@xxsoffxx "faux positifs" ? C'est à dire ?
@@abadakor4235 Il va "trouver" le mot de passe mais ce ne sera pas le bon.
Intéressant !
En gros c'est comme les IP fantôme.. ou plutôt c'est un mot de passe mobile ( il change toutes les secondes voir moins).. ça existait a l'époque pour contourner certains truc via les iP
Alors alors alors...
Déjà, très bonne vidéo, tout est bien expliqué clairement.
Petit bemol cela dit, "je vais retrouver ton mot de passe de 7 caractères" mmmoui c'est vrai, si je chiffre mon zip mais c'est à peu près tout, aujourd'hui les OS ne permettent pas de bruteforce (delay entre les tentatives) ou sinon, le fail2ban est très souvent activé.
Ensuite, on a pas tellement d'info sur "un ordinateur standard" 😅
Enfin, il faut aussi préciser que les mdp les plus courants sont dans les dictionnaires type rockyou, et que les mdp qui auraient pu fuiter sont très facilement exploitables.
Cela dit, encore une fois, bonne vidéo !
Tuto complet pour utiliser le truc qui va trouver le mot de passe urgent svp !!! Mrc d’avance
Sauf qu'on ne peut pas comparer un fichier zip sur lequel tu as un accès illimité avec une authentification (genre 99.99% des usages). Pour pouvoir faire du bruteforcing là-dessus, il faudrait d'abord que tu aies eu accès à la table de hash, au sel, que tu connaisses la méthode de salage et l'algo de hashage.
Et le fait qu'un mot de passe ne contenant que des chiffres soit moins sécurisé qu'un mot de passe contenant des chiffres, des lettres maj et min et des symboles n'est vrai que si tu sais que le mot de passe ne contient que des chiffres.
Bdd tombe avec la code base n'est si rare
Bdd tombe avec la code base n'est si rare
@@rayanarnel8244 C'est vrai, mais avant de critiquer l'utilisateur pour son mot de passe "faible", on peut critiquer l'entreprise qui n'est pas foutue de protéger correctement sa base de données (si un hacker a pu y accéder)...
parle fr frro@@rayanarnel8244
Le sel et l’algo doit être conciderer comme public donc ce n’est pas une sécurité. Et au cas où, le but du sel c’est d’éviter le brute force offline de l’ensemble des combinaisons possible ou l’utilisation de rambow table. Pas d’empêcher le brute force d’un mot de passe précis…
Oui mais le brutforce ne fonctionne pas dans de conditions réelles, tu as un nombre limité d'erreur de mot de passe sur pratiquement tout les sites internet.
Oui mais sur un fichier protégé ou le mot de passe Windows il n'y a pas de limite d'essai.
Il faut dans ce cas sortir des conditions réel en commençant par faire une copie des données
Généralement tu fais pas du brute force sur un site en live, ce genre de chose arrive si une base de données à été leak, mais faut pas oublier que d'une les mdp stocké dans des DB sont hashé, donc il faut réussir à recréer le hash du mot de passe, ce qui est très compliqué sur des algorithmes récents, et les attaques par dictionnaire sont souvent impossible car tu ajoute un sel au hash de ton mot de passe pour éviter que ce soit un mot du dictionnaire justement. En gros ce qu'il fait marche que dans des situations où toutes les étoiles sont aligné, et que la base de données en question est mal protégé. Spoiler c'est rarement le cas.
@@jeanduturfu5596 exactement
@@attentioncestpaslegal7847 simple, je suis graphiste je crée un logo je l'envoie au client en protégeant le fichier contre modif et exploitation, un exemple comme un autre
Vous avez échoué 243 fois en tappant le mot de pas.
Réessayez dans 19 jours, 23h59m59s
Les gens qui disent "oui mais il y a un nombre de tentatives avant verrouillage du compte", vous avez raison quand il s'agit du brute force sur un site en live. Mais c'est très rarement comme ça que ça se passe, en général c'est plutôt quand il y a une fuite de données provenant d'un site et que les hash des mots de passes sont divulgués. A ce moment la cracker un hash ça se fait localement et il y a pas de nombre de tentatives minimum.. donc il vaut mieux de toute façon avoir un bon mot de passe pour pas avoir a se soucier de ça
je devais juste féliciter avec enthousiasme la façon dont techdomercado sur lg m'a également aidé avec ce même problème... tha
Mon prof d’informatique nous a toujours dit que la seule chose qui comptait dans un mot de passe c’est sa longueur, et non l’utilisation de majuscule/caractères spéciaux
Un algorithme Brut force ne fait aucune différence entre une lettre minuscule et majuscule, ni même entre une majuscule et un caractère spécial
Une bonne technique pour créer un mot de passe en béton serait d’écrire une phrase du genre : “jevaisacheterdupainalaboulangerieavecmonchien”
voilà !
tout fait. Il faut arreter avec le terme "mot de passe" il: faut apprendre au gens a utiliser "une phrase de passe"
Tout à fait vrai
C'est un peu plus compliqué : en gros un mot de passe long, c'est bien, mais de la variété, c'est cool aussi. Le principe c'est que pour un mot de passe a n caractères sur un alphabet de m symboles, il y a m^n (m puissance n) combinaisons possible. Par exemple mot de passe avec des chiffres de 0 a 9 sur 4 caractères = 10000 combinaisons (10^4). Donc c'est en général bien plus efficace d'allonger le mot de passe que de rajouter des caractères. (100 ^ 10 = 10^20).
Par contre, le brute force est pas la seule manière, on peut aussi avoir par exemple des attaques par dico etc...
Donc supposons que tu mettes une phrase de 10 mots environ, pris dans le langage courant francais, qui compte aux alentours de 5000 mots. Ca fait 5000 ^ 10, ce qui est a peu pres équivalent à 100^19, donc un mot de passe a 100 symboles sur 19 caractères (ce qui est très "solide").
Sauf que si c'est effectivement une phrase qui a du sens, ca veut dire qu'on peut drastiquement réduire les combinaisons : deux verbes ne peuvent pas se suivre etc.
Le pb c'est que si tu proposes un MDP "libre", les gens ont tendance à mettre des trucs banals.
Le nombre de combinaisons ne suffit donc pas toujours, il faut aussi qu'il y ait le moins de propriétés possibles au mot de passe. Ca evite qu'on puisse faire des hypothèses d'attaque.
Par exemple, si tu fais une attaque bruteforce sur un mot de passe d'un francais sur 12 caractères ou moins, tu peux tenter tous les mots du dico francais en priorité, au cas ou.
A partir du moment où tu as un mot de passe qui est pas aléatoire, il est peu probable que ce soit impossible de formuler de telles hypothèses. Par exemple, si je sais que tu as un chien, je peux tester les trucs en rapport au chien en priorité. Pas sur que ca marche, mais ya des chances que meme inconsciemment tu y ais pensé.
Et donc on arrive sur un dilemme : d'un côté avoir un mot de passe très long et possible à mémoriser, mais d'un autre côté sans "règle de fabrication" autre que le hasard pur et simple.
@@felixbertoni trop long lol
Tu peux arrêter de me fixer comme ça stp 😅😂
Balancetonporc
Le meilleur pour de passe c'est la phrase... quand un mot de passe peut contenir des caractères alphanumériques majuscules et minuscules, une phrase est inhackable et facile à retenir genre : "ce samedi 21 avril, c'était mes 25 ans"
Tu commences ton mdp par un d, c'est bien, ça aide pour aller plus vite
tu peux te servir de probas pour tester les lettres les plus souvent utilisées au début d'un mot de passe, ou encore de dictionnaires de mots de passes (qui proviennent de fuites et qui sont redoutables), tu peux aussi tester sans suivre l'ordre alphabétique.
Bref énormément de possibilités qui font que certes la démo est simple, mais pas irréaliste. Il ne faudra pas beaucoup plus de temps si tu commences par un w et que tu changes un chiffre
Très bien expliqué avec exemple concret ! Un de mes mots de passe fait 30 caractères avec combinaisons de chiffres et lettres minuscules, j'espère que je suis tranquille ?😅
On est jamais tranquille le seul allié qu'on a c'est le temp.. Quelqu'un qui a du temp pour hacker trouvera inéluctablement ton mot de passe
@@spartiat_spirit3081 ouais mais je te rappelle qu'un mot de passe de 10 caractères avec chiffre, minuscules, majuscule et caractères spéciaux c'est 5 mois de brute force a peu de chose près, pour un particulier c'est très largement suffisant
@@dscordgamestechs6499Tout ce que on peut espérer c'est de ne pas avoir affaire a un pirateur
Sur un fichier zip, j'ai un mot de passe de 200 caractères aléatoires. Bon courage à celui qui voudra le craquer :')
@@SoupiroUlgrude ta quoi a caché wesh
C'est très bien expliqué ! Merci 😉
Avec plaisir 😊
Avec une phrase c’est super solide
j'me souviens quand je fasais du BF pour avoir des serveurs teamspeak gratos, mais au final c'etait souvent long (à l'epoque on faisait ca sur des barthon lol) et avec une version modifié du soft, on se faisait donné les droits admins par un admin lui meme.
de cette experience j'ai retenu que la faille la plus exploitable d'un ordinateur ou tout ce qui s'en rapproche n'est autre que son utilisateur ;)
La complexité d'un mot de passe est donnée par la formule c^n, où 'c' est la taille de l'alphabet disponible, et 'n'' est le nombre de caractères du mot de passe.
En plus clair, un mot de passe de 20 caractères composé uniquement de lettres minuscules est bien plus efficace qu'un mot de passe de 10 caractères avec majuscules, minuscules, chiffres et caractères spéciaux.
Les caractères spéciaux ne donne qu'une apparence de complexité qui ne complique pas vraiment le craquage, mais créent des mots de passes immondes et difficiles à retenir, là où une simple phrase, type "LesMatelasSontMoinsChersChezBut" est bien plus simple à retenir et demande à tester jusqu'à, dans cet exemple, 52^31 (environ 10^53) combinaisons différentes.
Ah oui c'est vraiment compliqué de terminé son mot de passe par l'année de naissance de sa mère, c'est vraiment difficile d'ajouter un tirer entre chaque mot de ton mot de passe. C'est compliqué a retenir pour un petit cerveau
@@MyPlaylist97 Ça n'est pas mon propos. Je dis juste que ce genre de mots de passe sont plus compliqués à retenir et pas tellement plus compliqués à craquer, et qu'il y a des options bien plus faciles à retenir pour les humains et bien plus compliqués à deviner pour les algorithmes de craquage.
Mais visiblement tu as l'air d'avoir quelque chose à prouver alors libre à toi d'utiliser des mots de passe à la con qui vont te donner l'impression d'avoir une intelligence supérieure, mais qui feront saliver les hackers tellement tu leurs compliques pas la vie.
Ce genre de truk ne marche qu'en local mais impossible en ligne pour plusieurs raisons :
-Déjà la plupart des sites ont un blocage direct au bout de plusieurs tentatives en quelques secondes sur un même user
-Le délai de réponse entre un site internet et en local n'est pas le même il suffit qu'il y es une demi seconde de delair entre chaque tentative et tu passe de 1 seconde en local vs des mois voir années en ligne
il parlais d'un mot de passe des fichiers compresses en zip
Bien jouer la boucle finale ("parce que sinon" et hop ça recommence.
C'était cool l'époque ou y'avait pas d'ordi. Imagine dans 20 ans, le cerveau des gens §-§
Avec plusieurs dizaines de caractères aléatoire y compris spéciaux,majuscule,minuscules et chiffres et caractères se ressemblent également (dont certains ne figurent pas sur le clavier standard) ça devrait tenir unpeu plus longtemps j'imagine.
Il s'agit d'un mdp de fichier ZIP, en général il y a d'avantage de sécurité, ce qui rend le brute force une technique peu utilisée aujourd'hui.
"Technique peu utilisé aujourd'hui"
Tu t'y connais toi dis donc 😄
@@TheMickadoo Affirmatif, beaucoup de mesure anti brut force existe, une au hasard, 3 essaies infructueux 5 minutes d'attente, puis 15, puis compte bloquer. ou simplement un délai entre chaque essaie rend la manip très longue et chiante
@@morateurable il ne faut pas tout confondre.
Ce que tu indique est une attaque par brute force sur un formulaire en ligne et non une attaque hors ligne comme décrit dans la vidéo.
Dans le cas de ces attaques, il n'y a pas de protection antibruteforce quand il s'agit d'un hash ou d'un fichier zip.
Les attaques par force brute hors ligne sont donc très couramment utilisés.
@@TheMickadoo ouais donc on parle d'une infime minorité de gens qui poserai un mdp sur une archive zip... ptdr y a même pas besoin de brutforce pour ça y a encore plus simple 🤣
@@TheMickadoo de plus, monsieur ne précise pas qu'il va "cracker mon mdp mis sur une archive" mais bien "Cracker mon mdp. Le démonstration, elle, est sur un fichier ZIP.
bahaha la transition fin/début est folle c’est une menace carrément
Dingue !!!
bon courage pour brute force sur un site internet
Au bout de trois erreurs t'es ban.
... ;-)
+ bcp de sites on un débit permettant les tests super faibles
Tu brute force pas un site internet
@@boby4465 pareil pout une simple connexion FTP.
@@boby4465 bah si t'as jamais entendu parler des proxy ?
Le loop est épic 🔥👍
Merci 😉
La puissance du hack informatique, la loi du silence pas comprehensible pour toujours parce que..
Mon mot de passe fait 24 charactères avec des lettres minuscules et majuscules, des chiffres et des charactères spéciaux. Je PENSE que je suis safe.
Trop ta tête mec
J’ai pensé c’est toi qui a craqué 😂😂😂😂😵💫
En tout cas démonstration rapide efficace
Merci tu m’as convaincu 👍🏻👏🤷♀️
Except online there's rate limiters to avoid brute forcing and if you get the hash, the algorithm are too slow for brute forcing to be effective
J'avoue, à sa façon de regarder l'objectif, j'avais l'impression qu'il essayait de craquer mes mots de passe haha
le mec a fumé la moquette sur les mots de passe en 2023 on vous oblige à faire des mots de passe compliqué alphanumérique avec les minuscules et majuscule et les caractères spéciaux et les chiffres donc le mec est a l ouest .
hello, en fait, oui et non, bcp d'endroits, aucune obligation de faire des mots de passe forts.
Brute force sérieux on est on 2022 😂😂 brute de force est fini avec backtrack maintenant tout les sites avec 3 test ca bloque
C'est bien pour ca qu'il parle de craquer un mdp de fichier zip
Lol t'a rien compris. Il n'a jamais dit de site web
Jusqu'au jour où la base de donné entière du site se fait voler....
Et les fichiers zip?
Et les routeurs wifi?
Et les sessions de connection sur un Windows/Mac?
C'est pas sur le site web que le plus juteux se trouve, hein.
Salut j'aimerais savoir les scripts pour la programmation d'un termux pour brute forcé s'il vous plaît
J’ai un mot de passe de 256 caractères généré par un algorithme, je crois que je devrais être ok 🤣
Suffit de trouver ton mdp maître car je doute fortement que tu te rappelles de ton mdp de 256 caractère 😅
et l'algorithme en question, mais du coup j'imagine que c'est un sha256 :)
@@Adgeef Un sha 256 ça fait pas 256 caractères mais 256 bits... :)
On a retrouvé Sylvain de Caméra Café !
🤣🤣 elle est bonne celle-ci !
Merci beaucoup
Très drôle aussi 😂
Sympa comme démonstration, on voit comment ça se passe. C'est SNT irl
Oe nn tu verras la snt c claqué
Pouah l'ancienne, c'est des truc du collège ça non?
@@pazzazzo Moi c'était au lycée, uniquement en seconde
@@jorismarra6308 Moi je trouvais ça cool, c'est juste les gens qui faisaient n'importe quoi, ils sont irrespectueux
@@aurelien9595 ha oui voilà au lycée
les vraies contrôleurs des mots de passe , après 3ème tentative ajoute une ou plusieurs secondes d'attentes après chaque tentative supplémentaire Donc votre 20 seconde deviendra quelques années ou siècles.
Sur un fichier zip comme celui qu'il a utiliser il n'y a pas de temps d'attente
Pour ça il faut que le système permettent le brut force mais avec des sécurité ne permettent que 100 essai tout les jours par exemple c'est impossible...
Personnellement, j'ai écrit du Japonais en français mélanger avec de l'anglais espacé par des caractères spéciaux suivi d'un suite de chiffres.
Si je vous perd juste en le décrivant je pense que pr me faire hacker, Io va en mettre du temps le mec
Oh tiens, compte bloqué après 3 essais, pas de chance 😬
En utilisant des proxy HTTP SOCKS 4,5 on fait des requêtes sous différents proxy et donc on peut remédier à ça
@@jogukujo1604 C’est par compte indépendamment de ce que tu utilises non?
@@jogukujo1604 faudrait avoir des millions de proxy et ça prendrait 10000 fois plus de temps
@@lucastoutcourt7991 tu peut mettre 100 proxy et les répéter et le brut force prend du temps selon le mdp c’est random mais en tout cas c’est possible c’est ce qu’il montre dans la video
@@jogukujo1604 si le service enregistre l'adresse ip à chaque fois et bloque la connection avec l'adresse ip pendant un temps x, il faudrait je pense au moins 1000 servers, après ça depend de comment le site est sécurisé
Sauf que malheureusement il existe des sécurité anti brut force sur les systèmes d'authentification, donc une api t'enverrai petre très rapidement 🙂
Pour un mdp vraiment safe plutôt privilégier la longueur que les caractères spéciaux
Avec moi, il faut etre patient. J'ai 1 NAS qui ne permet que d'entrer 6 fois/essai ton mot de passe en 960min. Si tu n'entre pas le bon mot de passe avant 960min alors a la 6eme fois ton IP est bloquer... Sinon il faut arreter a 5 tentative et attendre plus de 960min (mini) pour ressayer les 5 prochaine pass... fo vraiment aimer.
Incroyable ! Merci pour la piqûre de rappel
merci voilà qqn de bien qui nous montre comment vraiment faire un bon mdp
merci
Comment craquer un mot de passe très facilement sur internet*
@@halanawax8885 tu peux pas c'est du putaclic
On parle vraiment pas assez de CSEC moi ça me passionne c’est tellement vaste comme sujet et on le voit très peu en détails
Propre 🎉
Ouais, à 3 essais max, bonne chance pour mon 21 caractères
Même pour autant de caractères je prend le plus grand dictionnaire et même si cela doit prendre 1 semaine je le casserai quand même 🤷
@@daviddosne2031 haha ouais bon courage
"3 essais max" c'est quand tu essaie dans les conditions réels.
Sache qu'il est possible de volé une base de donné et dans ce cas c'est au mois 3 000 000 / second
@@jmminko8680 ah ok. Je sais pas comment ça fonctionne alors 🤷♂️
@@daviddosne2031 tu me montreras que tu as trouvé
C'est une attack à partir d'une liste, et pas brute force. Brute force essaye toute les possibilités. Et là en l'occurrence il compare avec un liste de mot dans le fichier password.list
Donc autant dans le fichier il n'y a qu'un seul mot. Où tu a mis construction en premier et ensuite pour le deuxième test le mot est beaucoup plus loin dans la liste.
C’est exactement ça. Il est totalement impossible qu’en 30sec il trouve un MDP de 5 caractère surtout composé de chiffre+lettre. C’est simplement une liste qu’il a créé. Il me rappel les mec qui utilise le aircrack-ng en montrant qu’ils soit capable de hack un code en WPA2 🤣😂
@@halrak8131 je suis content qui a des gars comme vous qui cherche un peu plus loin que leurs nez, et ou on voit bien qui va chercher dans un fichier texte dans usr/John/passwordlist.txt le mot.
Bien jouer les gars. Et effectivement, le brutforce met + que quelque secondes même avec un super bon pc a retrouvé ce genre de mot de passe.
@@halrak8131 Justement si c'est non seulement possible mais aussi tout simplement vrai.
de plus il fait les deux. D'abord l'attaque par dictionnaire et ensuite la brute-force. Vous avez mal suivi les gars. :)
On va arrêter de pinailler pour un rien car une attaque brute force c’est le fait d’essayer tout les combinaisons d’un ensemble donner. Un dictionnaire est un ensemble valide, et on peut rajouter des transformations sur un dictionnaire pour augmenter les possibilités de manière maîtrisée. Mais ça reste du brute force car l’opération n’apprends rien d’un essai à l’autre.
Je pense que son fichier texte contient le dictionnaire et est utilisé pour sa première demo. Pour la deuxième, il cherche d'abord dans le dictionnaire et comme le mot n'y est pas, il passe en mode brute force. On voit si on fait pause: Processing with incremental ASCII, c'est a dire qu'il essaie de manière incrementale toutes les combinaisons de caractères ASCII.
A la fois sa fait peur et à la fois c’est vachement constructif
Un tutoriel pour avoir le logiciel du crack brut stp (pas de mauvaise attention)
C’est top pour la prévention merci. Perso je recommande des caractères spéciaux et sinon tous mes comptes sociaux sont sécurisés en MFA avec une Yubikey NFC. Imparable 🎉
Le retour des nfc
Hum tu peut expliquer pour un non expert merci
Le logiciel c'est john the ripper, ça s'utilise dans un terminal donc faut savoir utiliser un shell pour l'utiliser.
Les lettres masjucules et minuscules représentent 2x26=52 possibilités par caractère, si tu ajoutes les 10 chiffres tu es à 62, en ajoutant un symbole à ton mot de passe tu passes ces possibilités à 94 (caractères imprimables de la table ascii). Maintenant tu pars de 1 et tu multiplies par 94 pour chaque caractère de ton mot de passe et t'obtiens le nombre de possibilités pour brute force ton mot de passe (94 exposant nombre de caractères). Voilà pourquoi il faut utiliser des mots de passe relativement long et toujours y insérer quelques symboles.
Aussi l'attaque par disctionnaire ne signifie pas forcemment un dictionnaire de langue, une attaque par dictionnaire signifie juste une liste de mots à tester. Lors d'attaques sur des grandes quantités d'utilisateurs elles sont souvent utilisées pour trouver facilement les mots de passe fréquemment utilisés comme 1234 ou password (ces dictionnaires sont en général extrêmement longs à lire pour un humain, relativement rapides à tester pour un ordinateur). Il faut donc aussi se fouler la tête pour utiliser des mots de passe originaux.
Le mieux restant d'utiliser des générateurs de mots de passe à caractères aléatoires.
Ce logiciel ne marche seulement sur linux si je ne m'abuse Il voudrait mieux utilisez WinSCP pour Windows non?
Ce qui compte surtout c'est la taille. C'est le plus gros facteur. Dans l'absolu vous n'êtes même pas obligé de vous embêter avec des majuscules, des caractères spéciaux. Vous pouvez faire simple et long. Ce sera le mieux. Et pour vous le retenir et... Pour vous protéger (une phrase c'est très bien)
"je vais cracker ton mot de passe de 7 characteres en 20 secondes"
moi qui utilise des mots de passes de 20 ou plus : 🤣 bas vas-y je t'attends
De nos jours la méthode la plus utilisé c'est le phishing
Oui mais généralement sa fonctionne sur les personne âgée / enfants
c'est vrai et c'est pour ça qu'il faut avoir des mots de passe différents (et complexes) pour chaque accès
Seamless Loop !
Tu pourras faire une vidéo en entier pour tout expliquer en détail et bien précisé tout celà stp?
Les dernières norment recommandent bien 12 caractères mais aussi totalement random, pas forcer les majuscules et autres. Ca augmente l'entropie. Et le brute force est rarement applicable aux applications car il esr coutume de limiter à 1 essai pas second et d'invalider le mdp après 3 erreurs.
c'est quoi le logiciel ?
John the ripper
tu as utilisé quel logiciel ?
john the reaper
Après c'est un POC sur un zip
Il fait s'équiper d'un gestionnaire de mot de passe et faire une phrase de passe en tant seule mdp maître pourquoi pas en l33t pour éviter les attaques en dictionnaire hybride
Les personnes avec un mot de passe de 20 caractère :
You can't defeat me
J'aimerais comprendre un truc. Tester le mot de passe sur un fichier zip je comprends bien que le fichier est sur le pc et peut être bidouiller mais les mots de passe en ligne type mails on peut pas les tester comme ça, sinon c'est l'hébergeur qui va interdire qu'on fasse trop d'essais non ?
Comme dit dans pleins d'autres commentaires, si le hacker a hack un site pas trop sécure et récupéré la BDD il peut bruteforce la BDD (les mdp sont pas stocké en clair), c'est pas comme ca que je ferai mais en pratique c'est possible. Une fois qu'il a ton mdp, si tu as la fâcheuse habitude d'utiliser toujours le même il peut tenter ton login/mdp sur des sites plus intéressant.
La majorité des systèmes bloquent au bout de 3 mauvaises combinaison, donc brutforce c'est bien mais dans quels contexte ça marcherait du coup ?
@Windaube ouais bofbof
Heureusement que les formulaires sur les sites sont protégés, sinon ce serait une boucherie. Il reste encore beaucoup de cas possibles, les fichiers en sont un exemple. Mais globalement sur tout type de hash (wifi par exemple).
@@patrons_resilients toujours utile d'avoir le wifi du voisin 😂
@@patrons_resilients
De toute façon les serveurs vont lacher
Quand il y a des vols de données des sites ils peuvent avoir ton mot de passe chiffrée. Ensuite ils passent dans l'algorithme pour trouver ton mot de passe non crypté (ils font le truc à l'envers ils testent des mots de passe dans l'algorithme jusqu'à obtenir la même chose que ton mot de passe chiffrée). Ensuite ils essaient ce mot de passe déchiffrée sur pleins de sites différents.
Bonjour, et merci pour les explications ! Une question : si il y a une '' coupure'' après 5 échecs et une temporisation, cela est ''surmonté '' ?
UN GRAND MERCI....
haha sur un fichier zip effectivement c'est très rapide quand il faut une connection c'est plus long mais un mdp de 7 caractères sera dans tout les cas crackable avec du brut force
Comment te contacter en privé
@@edouardolesalopadro2468 moi ?
@@elvoleur4525 Ouii j’aurais besoin de vous parler moi aussi
vasi fait le, j'ai un mot de passe de 7 caractère... sur gmail 😉 (le brut force c'est génial mais pas pour tout)
parce que gmail détecte le brut force ?
@@justinruel8868 non mais tu as un nombres de tentatives limites
@@justinruel8868 hum ben comme dire... quand ta 60 000 essais de mdps par seconde pour la même adresse email et qui vient sans doute de la même ip c'est peu cramé et facile pour les devs de programmer un truc contre
@@badwolf4469 Si le type utilise le même mdp sur tous les sites, si j'ai hacker un site de merde, récupéré la bdd et la façon dont est encrypté le mdp je peux le trouver par bruteforce sans limitation cette fois et si le gars est asses con pour utiliser le mdp de sa messagerie j'ai accès à son gmail en 1 essai et sinon il a peut être utilisé le même login/mdp ailleurs.
@@davion9027 oui bien sûr d'où l'intérêt de changer de mdp, mais ça fait beaucoup de "si" dans ton com
Jean-Kevin de l’école de commerce découvre la base.
Inutile, maintenant quasiment partout une confirmation es demandée par téléphone.donc impossible.
De quels sites gratuit tu parles ? Tu pourrais le préciser dans la description ou répondre à ce commentaire;)
Sinon bonne vidéo !
" erreur : 5 essais restants "
🤭
Jamais ton fichier zip ne se verouillera. Pour une session windows c est autre chose... mais le revert de la medaille c est que dans ce cas un gredin pourra verouiller tous les compte de l' ad en boucle.
@@akway01 Oui mais après, craquer un fichier zip c'est pas non plus ouf comme truc.. disons que y a pas vraiment d'intérêt.
@@bretoncarton Mdr. T'imagine pas le nombre de livre de compte complet de PME qui se balade dans le cloud avec un vieux mdp Zip.
@@watewmark Et donc ? C'est utile au point de les craquer ? Pas vraiment.
@@bretoncarton 🤣 Mais c'est quoi cette question con ? Évidemment que cest des données sensibles.
Si c'est pas public cest que ca intéresse des gens malintentionnés, genre tes concurrants.. pour savoir avec qui tu fait des affaires, si tu arrive a negocier des prix que eux n'ont pas pour te la mettre a l'envers ensuite... enfin je sais pas un peu d'imagination cest quoi cette candeur de maternelle là ?
Des fichiers Excel zippé avec des truc qui pourrait couler une boîte, yen a des tartines.
La transition de la fin sur le début de la vidéo 😂😂😂
Salut, merci pour les tutos de qualité que tu nous propose.
Mais il y a une chose que j'aimerais savoir : comment recuprer le hash d'un mot de pass sur un site ou d'un ordunateur ou par exemple de mon compte gmail dont j' ai perdu l'acces ou du moins qu' est ce qu'il faut apptendre precisement pour pouvoir recuperer des hash (langage de programation, commandes...). Il y a plein de tuto qui parlent de comment craquer un hash à l'aide de john the ripper et otre craquers du genre, mais auqu'un ne parle de ce sujet, parceque pour pouvoir craquer un hash, il faut au prealable le recuperer, ou bien c moi qui ne comprends pas quelque chose. Merci d'avance pour la reponse
Salut merci pour la demo 👌 qu’elle logiciel tu utilise ?
👀 moi aussi ça m'énerve jveux savoir j'ai besoin de cracker le mot de passe d'un de mes anciens comptes je men rappelle plus 😭
C'est une distribution Linux ça doit être kali Linux voili voilou
@@tradukara John
@@Emmanuel-ms8pd Enfin quelqu'un qui s'y connait un peu vous dites tous "John the reapper" mais ils sont sur windows la plupart il faut utiliser WinSCP
Pour toute les personnes intéressés je pose sa la:
Distribution: Kali Linux
Logiciel: John the riper
Pour windows uttiliser WinSCP c'est mieux comme ca on est quitte de choper une image iso de linux si on est sur windows
La recommandation, c'est entre 12 et 15 caractères, avec chiffres, majuscules, minuscules et caractère spécial.
Plus important encore, ne pas utiliser le même mot de pass pour plusieurs services.
Bienvenue en 2002, à utiliser des outils présent sur le CD-ROM de pirate mag.
Quel est ce logiciel ? Il m’intéresse :)
Moi aussi
Bah cela depend tu veux faire sur que système d'exploitation. Renseigne toi un peu avant de poser des question inutile comme celle ci.
Mon dieu mon dieu j'ai 65 ans je suis complètement dépassée.
Je comprends rien et j'ai peur de ces cyber bandit sauf que j'ai pas d'argent alors j'ai toujours juste peur qu'ils usurpent mes données pour blouser le système. 🤬
That's a dictionary attack.
On reconnaît le petit Kali Linux :) Merci de faire de la prévention c'est important !!
C'est de montrer et ça et expliquer comment l'avoir comme ça tu l'apprend au gens gg
T'a oublié de nous donner les noms de logiciels 🤣
John the ripper
@@KevinCHIAVARO ah bah merci j'vais tester du coup 🤣
@@Paradox-VIP t’as tout compris toi
Un mot de passe avec des lettres majuscule minuscule qui ne forment pas un mot du dictionnaire, des chiffres et un caractère spécial, c'est crackable ?
Super video cela montre bien la puissance du bruteforce mais quand les capcha et tous ça arrive 😬
l’outil stp, pour un projet scolaire
ca m'etonne qu'onte donne des truc a faire a la rentrée
@@casters._. 😂
@@casters._. si, pour ma moyenne
Demerde toi à chercher par toi même si tu veut t'y intéresser, petite piste commence a utiliser Linux
@@lucky_6646 nan mais je troll, c’est facile a programmer un truc comme ça
essaye de cracker le mien ya 30 caractères minimum!!! Merci Kali 😂
Parfait 👍
Un fichier zip, c’est pas un Facebook ou autre application ou compte sur un forum …