Détection de mot de passe

Gohu

Membre Actif
Inscrit
16 Novembre 2013
Messages
222
Reactions
2
#1
Salut a tous,
Une petite question me trotte dans la tête depuis ce matin.
En effet, en admettant que je connaisse le nom de compte d'une personne,
Serait il possible de flooder les serveurs dof en testant toutes les possibilités jusqu'à
Ce que on reçoive le paquet 22 (tout en passant par un proxy a IP dynamique)
Serait il alors possible de trouver le mot de passe de cette manière en effectuant une sorte de
"Brute force socket"?
Merci d'avance pour vos réponses.
 

BlueDream

Administrateur
Membre du personnel
Inscrit
8 Decembre 2012
Messages
2 010
Reactions
149
#2
Oui c'est possible mais c'est ULTRA long. Apres faut aussi voir comment ankama Gere un nombre de tentative de connexion trop important. Je pense un temporaire banne ip.
 

Kyu

Staff
Membre du personnel
Inscrit
4 Octobre 2009
Messages
327
Reactions
8
#3
Avec de la chance, tu peux le trouver en quelques mois, mais avec énormément de chance.

Premièrement, si un brute force n'est effectué qu'avec l'aide du cpu, cela pourrait être bouclé plus rapidement, malheureusement, il faut une connexion au serveur, ce qui prend du temps (On va se baser sur un ping de 10 ms), si tu utilise une file d’attente, c'est à dire que tu n'utilise qu'une seule connexion et que tu test les combinaisons une par une, en 1 seconde, tu testeras 100 combinaisons.
Prenons l'exemple d'un simple mot de passe de 6 caractères n'utilisant que des minuscules :
26^6 = 308 915 776 combinaisons possibles
308 915 776 / 100 = 3 089 157.76 secondes (on arrondi à l'entier supérieur)
3 089 158 / 60 = 51 485.96667 minutes (on arrondi à l'entier supérieur)
51 486 / 60 = 858.1 heures (on arrondi à l'entier inférieur)
858 / 24 = 35.75 jours soit 35 jours et 18 heures
Pour le mot de passe le plus basique.

Maintenant, pour un mot de passe de 6 caractères utilisant minuscules, majuscules et chiffres :
62^6 = 56 800 235 584 combinaisons
56 800 235 584 / 100 = 568 002 355.84 secondes (on arrondi à l'entier supérieur)
568 002 356 / 60 = 9 446 705.9333 minutes (on arrondi à l'entier supérieur)
9 446 706 / 60 = 157 445.1 heures (on arrondi à l'entier inférieur)
157 445 / 24 = 6 560.2083 jours soit 18 ans 2 mois 20 jours 4 heures 59 minutes 57 secondes 16 millisecondes et 320 microsecondes (sur une base de 30 jours par mois)

Il me semble qu'ankama n'accepte pas les caractères spéciaux dans les mots de passes, si quelqu'un peut confirmer.

Deuxièmement, si tu utilise plusieurs connexions pour accélérer le test des combinaisons, tu va te faire bloquer par le serveur.

Pour gagner du temps, tu peux utiliser un dictionnaire pour réduire le nombre de combinaisons, mais si il s'agit d'un mot de passe aléatoire, c'est une perte de temps. De plus, si tu génère les mots de passes à tester aléatoirement, tu va avoir des combinaisons que tu auras déjà tester, ce qui augmente le nombre de combinaisons et par conséquent le temps total de traitement.
 

ToOnS

Membre Actif
Inscrit
8 Avril 2009
Messages
974
Reactions
0
#4
Salut,
non c'est impossible apres plusieurs essais (je sais plus le nombre exacte) ca te repondra que le pass est mauvais meme si il est bon , c'est pas comme si t'es le 1er a vouloir faire du brut force (ils sont idiots mais pas a ce point la , des fois ils apprennent) et en plus c'est vilain
 

Gohu

Membre Actif
Inscrit
16 Novembre 2013
Messages
222
Reactions
2
#5
Oui c'est pour cela que je parlais d'utiliser un proxy avec une IP dynamique.

@jones:
Il doit forcément y avoir un moyen beaucoup plus optimisé de faire ce genre de brute force car par exemple quand tu vas sur
ce site: http://howsecureismypassword.net/ en mettant un mdp aléatoire contenant chiffres/minuscules/majuscule il te dit qu'il faut 14 secondes et la, je veux bien croire qu'ils aient des ordis ULTRA puissants mais je pense qu'il doit y avoir une marge d’optimisation compte tenu de l'écart entre 18 ans et 14 secondes.... Je vais me renseigner

EDIT: ce lien à l'aire intéressant en ce qui concerne l'optimisation: http://www.statistics4u.com/fundstat_eng/cc_optim_meth_brutefrc.html (c'est en anglais)
 

Kyu

Staff
Membre du personnel
Inscrit
4 Octobre 2009
Messages
327
Reactions
8
#6
L'écart entre 18 ans et 14 secondes se trouve au niveau de la connexion.
100 combinaisons testés par secondes en tenant compte des 10 ms pour le temps de connexion (j'ai même pas tenu compte du temps de réponse) contre plusieurs millions si tu les génères et les test en local (100% cpu).
 
Haut Bas