Re: identification et qualité d'un mot de passe

On Tue, Jul 13, 2004 at 04:59:33PM +0200, Jerome PANSANEL wrote:
> Bonjour,
>
> Je suis à la recherche d'un outil performant pour la vérification de la
> qualité d'un mot de passe, c'est à dire :
> - vérifie qu'il y ait un nombre minimum de caractères et que ces caractères
> soient : [a-z]+[A-Z]+[0-9]+[#!...]

Tu peux utiliser le module pam-passwdqc qui te permet de vérifier qu'un mot de
passe a un degré de complexité suffisant.
Sur une Debian unstable, j'ai les packages suivants :

$ apt-cache search pam crack
libpam-cracklib - PAM module to enable cracklib support.
libpam-passwdqc - replacement for the pam_cracklib module


> - vérfie que la similarité des mots de passe avec un dictionnaire ne soient
> pas au dessus d'un certain seuil.

le module pam passwdqc ne fait pas de vérification par rapport à un
dictionnaire d'après ce que j'en sais. Si tu veux effectuer cette
vérification, installe john the ripper, trouve sur le net des "dictionnaires",
et lance john -wordlist:ton_dictionnaire fichier_de_passwd

> est-ce que ce type de logiciel existe ?

Dans le cas présent, plusieurs solutions existent. Il est à noter que le mot
de passe est une chose, l'algorithme utilisé pour crypter en est une autre.
Choisir MD5 à la place de 3DES, c'est augmenter la difficulté pour quiconque
cherchera à cracker un mot de passe, et je ne parle meme pas de blowfish,
utiliser sur OpenBSD.
Aujourd'hui, je ne pense pas qu'il existe encore des distributions Linux qui
n'utilisent pas MD5, c'est une bonne chose.

--
We are the knights who say
echo '16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D4D465452snlbxq'|dc