It’s Time to Kill Your Eight-Character Password | Tom’s Guide
▻https://www.tomsguide.com/us/8-character-password-dead,news-29429.html
dans le rôle du lanceur d’alerte sur ce problème : @b_b
It’s Time to Kill Your Eight-Character Password | Tom’s Guide
▻https://www.tomsguide.com/us/8-character-password-dead,news-29429.html
dans le rôle du lanceur d’alerte sur ce problème : @b_b
Et @rastapopoulos sur la complexité du mot de passe vs la longueur de la passphrase :
obliger à des mots de passe compliqué, ça fait que les gens ne les retiennent pas, les notent sur un papier à côté de l’ordi, et donc que n’importe qui les trouve. [...].
Alors qu’obliger à une longueur importante, sans forcer rien d’autre, ça rend le truc très compliquer à brute force (plus c’est long…), sans empêcher de mettre un truc qu’on va retenir, du genre : une phrase, ou une suite de mots. Bref, passPHRASE plutôt que passWORD.
À savoir, parce que je me suis déjà fait avoir : les mots de passe pour les comptes Microsoft sont tronqués à 16 caractères. Ridicule.
▻https://www.thewindowsclub.com/maximum-length-of-password-windows-10
Donc si vous utilisez une phrase de passe dans ce cas là, vous n’êtes pas aussi protégé que vous le pensez ; votre mot de passe fait en fait 2 ou 3 mots de long (5 est généralement conseillé).
...et pour accélérer (de beaucoup !) la récupération de mots de passe à partir des hashages il existe les « tables arc en ciel » (▻https://fr.wikipedia.org/wiki/Rainbow_table) qui sont des bases de données avec les hash déja calculés...)
cf ▻http://project-rainbowcrack.com/table.htm qui fourni des tables pour LM/NTLM =mdp Windows), MD5, SHA1 des mots de passe de 1 à 10 caractères...
Ophcrack
►http://ophcrack.sourceforge.net
Ophcrack is a free Windows password cracker based on rainbow tables. It is a very efficient implementation of rainbow tables done by the inventors of the method. It comes with a Graphical User Interface and runs on multiple platforms.
#windows #securité #mot_de_passe #crack #rainbow_crack #rainbow_table #hack #analyse #NTLM #logiciel #logiciel_libre #clevermarks
NTLM HTTP Authentication is insecure by design
►http://www.webappsec.org/lists/websecurity/archive/2005-07/msg00006.html
This write-up discusses a problem inherent to the situation of a connection-oriented authentication - authorization protocol (e.g. NTLM authentication) used with a proxy server that shares TCP connections among several clients
#NTLM #réseau #sécurité #faille #protocole #windows #microsoft #samba #sso #groupe:clever-age
SPNEGO - JA-SIG Wiki
►http://www.ja-sig.org/wiki/display/CASUM/SPNEGO
This is the implementation of an AuthenticationHandler for SPNEGO supports. This Handler support both NTLM and Kerberos. NTLM is disabled by default.
#CAS #SPNEGO #NTLM #Windows #authentification #sso #groupe:clever-age
cas-fr - Re : [cas-fr] SSO/CAS authentification sur plusieurs attributs
►http://listes.esup-portail.org/sympa/arc/cas-fr/2006-07/msg00010.html
L’authentification X509 est opérationnelle (mais pas forcément très bien packagée), elle sera normalement dans CAS 3.0.6. On y trouvera également Radius et SPNEGO (donc NTLM).
#CAS #SSO #NTLM #authentification #groupe:clever-age
NTLM GET LOGIN WINDOWS WITH PHP , Source N°25272
►http://www.phpcs.com/codes/NTLM-GET-LOGIN-WINDOWS-WITH-PHP_25272.aspx
Récuperation du login NTLM en php pour une identification de l’user automatique.
#NTLM #Windows #authentification #PHP #groupe:clever-age
NTLM - Central Authentication Service - JA-SIG Wiki
►http://www.ja-sig.org/wiki/display/CAS/NTLM
SAMBA has a Java JAR that performs the NTLM challenge dialog from a Servlet. It runs as a Servlet Filter in front of an application. If the remote user pass the challenge, the userid is stored in the Request block when the CAS Servlet begins processing