Ven 27/12/2013 - Mots de passe

[Xavier]

Ven 27/12/2013 - Mots de passe


Si vos données de The X-Tools sont protégées par un mot de passe court (4 à 7 caractères), il est recommandé de songer à choisir un nouveau mot de passe d'au moins 8 caractères. The X-Tools 4 va être modifié en conséquence pour ne plus autoriser de mots de passe de moins de 8 caractères.

Un mot de passe composé de quatre lettres minuscules est crackable en moins d'une minute pour qui a le code source et peut donc déjouer les algorithmes d'extension de mot de passe :

Attack_test_XT4.png

Un mot de passe composé de 8 caractères divers est moins facilement attaquable :

Param_8_full.png

Progress_8_full.png

Cet outil est basé sur le module de cryptage de The X-Tools. Il contourne donc les sécurités qui y sont implémentées. En l'absence du code source, la durée des attaques reste cependant considérée comme infinie, le mot de passe final fourni au module de cryptage étant de 256 caractères en XT3 et de 128 en XT4 :

Attack_4_256.png

[Denis]

Intéressants comme tests ! et impressionnants !

[Xavier]

Intéressants comme tests ! et impressionnants !

D'autres points étaient à vérifier :

1) Une première version tentait de trouver de multiples mots de passe pour un même résultat crypté, histoire de voir si l'extension des mots de passe ne créait pas de faille. Testé uniquement sur une taille de quatre caractères, mais cela ne trouvait qu'un seul mot de passe, donc on peut raisonnablement supposer que le hachage est correct.

2) L'extension du mot de passe XT4 à 64 caractères (et non 128 comme écrit hier) est supposée activer l'AES-256, qui fait alors 14 itérations contre 10 pour l'AES-128 (Wiki). AES-128 est supposé plus rapide que RC6, mais les comparatifs de vitesse trouvés sur Internet sont anciens et basé sur des CPUs non optimisés AES. Bref, l'attaque est plus rapide sur de l'XT4 en AES que sur de l'XT3 en RC6 et cela ne me permet pas d'être sûr à 100% si l'AES-256 est bien activé.