• [^] # Re: L'alternative

    Posté par . En réponse au journal My name is John, John the ripper !. Évalué à 3.

    C'est l'algorithme de chiffrement qui est en cause ici. Sur les anciennes versions d'à peu près tous les UNIX traditionnels (et même Linux), l'algorithme utilisé est le crypt UNIX, basé sur l'algorithme DES. Le mot de passe est utilisé pour générer une clé DES et le "hash" que l'on voit dans /etc/passwd est le résultat du chiffrement d'une chaine constante par cette clé DES. Seulement, cet algorithme ne prend que les 8 premiers caracteres. Non seulement c'est trompeur pour l'utilisateur qui croit avoir un mot de passe plus sur car plus long, mais pire, c'est cassable assez facilement avec la puissance des machines actuelles...
    Si les comptes utilisateurs sont sur un NIS actuellement, le problème est le même...

    La version GNU a apporté une amélioration à cet algorithme, sous le nom de md5crypt. Basiquement, ca remplace DES par un hachage MD5 (et au niveau solidité, il n'y a pas photo).
    J'ai pu constater aussi sur une SuSE que le mot de passe root pouvait être chiffré en blowfish.