Hashes to hashes, le rock des mots de passe

• Imprimer

Avec, en fond musical, la musique de David Bowie, Bipin Gautam pose une innocente question : si, s'interroge l'Eclairé du Hack, l'on trouve un peu de partout des fichiers contenant le hachage de milliers de mots de passe -ainsi le relatait dernièrement le Blog de F-Secure, ne peut-on utiliser cette information dans le cadre d'une crédence, sans avoir à « casser » ce hash pour récupérer le mot de passe originel ? Partisan du moindre effort, Thierry Zoller confirme qu'une " Replay attacks " est généralement possible dans la majorité des cas. Une attaque en « enregistrement-restitution » qui peut être exploitée soit en intrusion directe, soit dans le cadre d'un plan plus élaboré de type « homme du milieu ». En d'autres termes, et dans certains cas, un code de hachage est aussi efficace que le mot de passe original. Cela va sans dire, cela va bien mieux en le précisant.