[gull] Tentative

[Pfenniger Daniel]

Bonsoir,

A propos de durcir ses mots de passe:

John the ripper est un outil remarquable pour décripter les encodages 
courants de
mots de passe.    Il utilise non seulement des dictionnaires, mais aussi
des règles empiriques que les gens emploient souvent pour composer
leurs mots de passe.  Ainsi il est capable de craquer en quelques minutes
des mots de passe de plus de 6 caractères.  Les mots du dictionnaire
plus quelques simples modifications sont trouvés tout de suite. 
Si les pirates peuvent l'employer, on peut aussi l'employer défensivement
pour "durcir" une base de mots de passe.   Par exemple sur une liste de
quelque 300 utilisateurs plutôt avertis, john a récemment craqué une
demi-douzaine de mots de passe  en quelques jours de  calculs avec
un pentium 1,7GHz.   Il paraît que dans des entreprises normales le
taux est bien plus élevé, 20-30% des mots de passe sont trop simples.

    Daniel


magnus anderssen a écrit :

> Hello,
>
> j'ai fait la même constation pour les essais sur ssh (il y en a même
> un qui a essayé pendant 2 heures)! Ca ne fait que prouver l'importance
> de mot de passe "fort" et de la gestion des comptes.
>
> Ne voulant plus que ceci remplisse mes logs, j'ai cherché (un peu)
> avec mon ami google pour voir si qqn n'avait pas déjà une solution
> toute faite. Bredouille, j'ai fait un petit scipt en shell que je
> lance toutes les 2 minutes. Ce dernier n'étant pas configurable ni pas
> modulaire pour un sou, je ne pense pas qu'il est très intéressant de
> l'attacher à ce mail.
>
> Je me suis toutefois demandé en faisant ce script les critères
> d'exclusion que je voulais utiliser. En effet, j'exécute purement et
> simplement "iptables -I INPUT -s $ip -j DROP" pour les candidats à
> l'exclusion. Non, ne sautez pas au plafond. Je pourrai n'interdire que
> le ssh, mais bon...
>
> J'ai pris en compte que je voulais:
> - faire vite un "concept" (shell car je n'ai pas de connaissances
> suffisantes avec d'autres langages)
> - utiliser "auth.log" (et aussi auth.log.0 avec logrotate
> hebdomadaire) -> 2 semaines de "mémoire".
> - le nombre de tentatives avant de sévir (au pif, 6)
> - ne pas être exclu moi-même de mon serveur pour avoir tapé les mots
> de passe d'autres machines :-)
> - pas de db autre qu'un simple fichier (cf. premier point).
>
> Le résultat est là, mais la satisfaction pas trop. J'oscille entre
> l'envie de faire mieux et celle d'en rester là. Il y a plusieurs
> parties qui pourrait être vraiment mieux conçues. Je vais peut-être le
> refaire en perl un jour.
>
> Il pourait être intéressant d'avoir une sorte de DNS "à la spamhaus"
> pour ce genre de kiddies. Mais cela implique bcp de considérations de
> sécurité (histoire de ne pas faire un déni de service général) et
> aussi de faire des "lookup" de chaque IP nouvelle qui tente une approche.
>
> Salutations,
>
> Magnus
>
>
>
> Daniel Cordey wrote:
>
>>  He, he... En regardant les logs (/var/log/messages) sur une de mes
>>  machines, je suis tombe sur des tentatives de login avec ssh.
>>
>>  Ces essais emanent tous a partir d'adresse IPv6 (Coree,
>>  semble-t-il) et il s'agit de 'force brute'. A savoir, un nombre de
>>  noms d'utilisateurs avec des mots de passes. Ces tentatives sont
>>  quasi quotidiennes et systematiques. Naturellement, elles sont
>>  ralenties par le 'delai' observe par le sshd en cas d'insucces.
>>
>>  J'ai bien quelques idees pour decourager/ralentir ces essais, mais
>>  j'aimerais savoir si l'un d'entre-vous a deja un peu d'experience
>>  pour ce genre de situation. Quelle est la meilleure strategie a
>>  adopter ? Faut-il ralentir le flux, ne plus repondre, le rejeter ?
>>
>>  Pour ceux que ca interesses, j'ai la liste des tentatives de noms
>>  ainsi que les adresses IP.
>>
>>  dc _______________________________________________ gull mailing
>>  list gull at lists.alphanet.ch
>>  http://lists.alphanet.ch/mailman/listinfo/gull
>
>
>
> _______________________________________________
> gull mailing list
> gull at lists.alphanet.ch
> http://lists.alphanet.ch/mailman/listinfo/gull
>
>