@@HafniumSecuriteInformatique salut super sujet que tu fait donc bravos à toi . mais tu oublie une chose que beaucoup de débutants qui pense pouvoir pirater avec des outils autonatisés ne savent pas . certaines mesure de sécurité . pouvent rendre les attaques brut force totalement inefficace . surtout pour ceux qui font cela de façon automatique . petite exemple très simple que je donne ici . cependant . le brute force ce n'est pas que ça contrairement aux idées reçues. en effet les attaques brute force ne servent pas qu'a deviner des identifiants ou des mots de passe. elles servent souvent de vecteurs pour lancer d'autres attaques et exploiter les vulnérabilités de certains systèmes. problèmes de droits ( idor ) via devinette d'identifiants en cas de défaut de contrôle d'accès permettant d'accéder à des données ou des fichiers. etc . fuzzing ( recherche de contenus via utilisation d'un dictionnaire pour trouver des fichiers non répertoriés sur l'interface d'une application par exemple . énumération d'utilisateurs en cas de mauvaise configuration. permettant d'autres options à un attaquant comme cibler des utilisateurs via du phishing par exemple. il existe plusieurs types d'attaques brute force. les attaques par dictionnaire. le password spraying et le credential stuffing. le password spraying est une autre variante d'attaque brute force. dans ce cas de figure il s'agit pour un attaquant de tester des mots de passe couramment utilisés pour obtenir un accès à un ou plusieurs comptes utilisateurs. en effet . les attaques brute force traditionnelles tentent d'obtenir un accès non autorisé à un seul compte en devinant le mot de passe. ce qui peut rapidement entraîner le verrouillage du compte ciblé. car les politiques de verrouillage de compte couramment utilisées . autorisent généralement un nombre limité de tentatives infructueuses. cependant le verrouillage de comptes reste une mauvaise idée. ainsi les attaques par password spraying sont non seulement des tentatives d'évitement de ce type de mécanismes de sécurité mais se révélent très efficaces. les attaquants partent en effet du principe qu'au sein d'un grand groupe de personnes . il est probable qu'il y en ait au moins une qui utilise un mot de passe commun. et c'est malheureusement trop souvent le cas. ne pas désactiver les comptes après des échecs de connexion. une autre stratégie de défense courante contre une attaque brute force . consiste à désactiver automatiquement un compte après un certain nombre de tentatives de connexion infructueuses. dans la plupart des cas le compte peut être réactivé automatiquement après un certain délai ou l'utilisateur peut devoir contacter l'administrateur afin que le compte soit réactivé. dans un cas comme dans l'autre la désactivation automatique des comptes utilisateurs est un mauvais mécanisme de sécurité pour lutter contre une attaque brute force. en premier lieu en désactivant les comptes . le système a échangé une vulnérabilité de contournement d'authentification contre une possibilité d'attaque dos ( déni de service ) en effet si un attaquant peut désactiver un compte après 3 tentatives infructueuses toutes les 30 minutes par exemple . il peut effectivement empêcher cet utilisateur d'accéder au système imaginez les dégâts que pourrait causer une attaque brute force . si elle était utilisée contre un compte administrateur avec un tel mécanisme en place. en second lieu . le verrouillage des comptes est inefficace contre les attaques par password spraying ou certaines attaques par dictionnaire . en effet elles sont focalisées sur les mots de passe alors que ce mécanisme de verrouillage suppose que l'attaquant garde le nom d'utilisateur et essaie de deviner le mot de passe . dans ces cas de figure un attaquant pourrait effectuer des milliers de tentatives de connexion. et même si chacune d'entre elles échoue . le système n'enregistrera qu'une seule connexion incorrecte par compte . mettre un délai après chaque échec de connexion . une meilleure technique pour contrer les attaques brute force consiste à retarder progressivement la réponse de la page après l'échec des tentatives de connexion . après la première tantative de connexion échouée . par exemple la réponse sera retardée d'une second . après le deuxiéme échec la réponse est retardée de deux secondes . et ainsi de suite. l'implémentation de ce type de technique dit de délai incrémentiel . peut rendre totalement inefficace les outils automatisés de brute force car le temps nécessaire pour effectuer des essais sera fortement rallongé . voilà pour cette petite info . sur ceux très bonne journée à toi .
Salut, je tiens à dire que l'ambiance de la vidéo, la musique, le montage, et l'arrière plan étaient très satisfaisant. Excellente vidéo, tu régales. Ps : Même si t'es vidéos font peut de vues, ne te décourages pas, t'es vidéos sont une mine d'or et sont vraiment bien. Bonne continuation !
Salut, merci pour tes vidéos elles sont plutôt riches en infos ^^ Par contre fais attention à ton articulation etc... je trouve que c'est mieux que sur des vidéos qui datent de genre 6 mois, mais souvent j'ai du mal à te comprendre, et c'est un frein qui m'empêche d'apprécier pleinement tes vidéos. Vois le comme un conseil d'ami, en tout cas cool on voit quand même que tu nous parles de choses que tu connais :)
merci pour ton retour :) travailler sa diction prends des mois vous des années, ce n'est pas une chose simple. En tout cas content de savoir que je me suis amélioré :)
@@HafniumSecuriteInformatique salut très bon sujet bravos à toi . mais moi ici je parle d'un truc pas connu des débutants . attaque avec les protocoles LLMNR et Nbt -Ns LLMNR ( résolution de noms de multidiffusion de lien locale ) et Nbt - Ns ( service de noms Net bios ) sont deux services de résolution de noms intégrés à windows pour aider les systèmes à trouver les noms d'adresses à partir d'autres appareils sur le réseau . le pirate usurpe une source faisant autorité pour la résolution de noms sur le réseau cible en répondant au trafic LLMNR ( upd 5355 ) / Nbt - Ns ( udp 157 ) comme s'il connaissait l'identité de l'hôte demandé . ainsi il peut facilement récupérer les informations d'identification / nom d'utilisateur et hachage NTLMv2 en répondant simplement de manière passive à chaque requête LLMNR / Nbt - Ns . responder est un outil multithread permettant de réponde à des requêtes ipv4 LLMNR et Nbt- Ns pour mener des opérations de poisoning de manière automatique . en plus de ces fonctions de poisonning on y retrouve également des serveurs rogue disposant d'une fonction de collecte des valeurs de hachage NTLMv1/v2 ou dans certain cas le mot de passe en clair . voilà pour l'info . sur ceux très bonne soirée à toi .
D'après toi, générer un mdp avec un générateur en ligne est plus (safe), mais si on part du principe qu'un site web stock tout ce qu'il crée sur un serveur, il y a de fortes chances que le mdp qu'on ait généré se retrouve sur le serveur en question, et donc que nous ne sommes pas les seuls à le connaitre... Donc d'après toi qu'elle ait la meilleure technique, créer un mdp de nos mains, ou le générer aléatoirement ? Sinon ta vidéo est très bien expliquée on apprend pas mal de choses ^^
avec une atk hors ligne on pourrait tout simplement utiliser plusieurs hashs d'un coup ou potentiellement des hashs qui prendraient beaucoup trop de temps, genre 1 seconde pour le calculer et on pourrait aussi ajouter une chaîne de caractères aléatoire devant le mot de passe, tout simplement pour ne pas permettre d'atk avec les tables arc-en-ciel et des trucs du genre
C'est fou, plus je revois t'est email envoyer, et plus tu parais pour moi comme étant la meilleur chaine de tout RUclips, vraiment cool tes partages sur le hack
Salut. YT m'a proposé ta vidéo, je ne sais pas pourquoi, mais je l'ai regardé en entier et c'est vrai que c'est très intéressant. Question: pourquoi se mettre à la place du hacker pour tes vidéos ?
@@projectile Sauf erreur de ma part il me semble qu'en école d'ingénieur en cybersécurité on passe plusieurs années à hacker 🙂puisque certains des apprenants s'orientent vers le métier d'hacker éthique. Faut pas avoir peur de hacker ;) sans ça nous serions tous certainement vulnérables à des individus malveillants. En tout cas c'est comme ça que je vois les choses ....
Super video mais attention il ne me semble pas que les hash dans shadow soit des hmac ce serai étrange je pense qu’il y a une coquille a cette endroit. Sinon video tres propre !
Je pense que si le mot de passe fait 2 caracteres ,le nombre de combinaisons sera egal a 4830 et non 4900. C'est des arrangements il me semble. Et pour le reste de tes calculs concernant 3,4,5 etc...caracteres ,ils sont egalement errones... Cordialement
Tiens, je me pose une petite question. Je parle du temps où j'ai commencé le Basic, c'est à dire pendant les années 80. A l'époque, on parlait de PSEUDO-aléatoire en informatique, est-ce toujours le cas ? Merci
T’étais sur ma page d’accueil je m’abonne direct ça me passionne depuis toujours là sécuriser informatique ta un cours à me recommander pour en apprendre plus là dessu ?
Merci pour votre soutien :) Vous avez mon cours pour apprendre les bases de l'informatique et du hacking ici : cours.pentest-underground.fr/programme-debutant
Salut. Excellente video. 1ere fois de regarder une telle video et je crois que je suis accroc. Jai une question sur l'attaque en ligne. Supposons le recouvrement d'un mot de passe d'email personel qu'on aurait perdu sans pouvoir recouvrir normalement. L'opération brute force ne bloquera t'elle pas l'access a l'email?
Alors dans l'absolue un petit peu mais rien n'est infaisable. Je te conseille de faire une grosse formation individuelle (tuto, cours openclassroom ect...) et tester sur un petit lab virtualisé (Hyper_V ou proxmox) la mise en réseau et l'administration réseau. Voir tout ce qui est protocole --> ARP DNS DHCP (VPN surtout ! :) ) comprendre comment ils fonctionnent. Mais le réseau c'est vraiment une sphère passionnante tu va vite adorer ce côté de l'informatique et apprendre toute cette partie technique. Pour ce qui est de quoi connaitre; j'ai entendu par beaucoup de monde qu'il faut avoir des bonnes bases en systèmes et réseau programmation Python ect... et des bases sur les bases de données. Dernière chose il faut être passionné si l'informatique c'est ta passion tu arriveras à tout avec l'ambition ne crois pas qu'une chose est insurmontable tu va y arriver like a boss après si t'oriente sur du dark c'est plus de mon perimètre perso je me forme en tant qu'hacker Ethique 😉
Pour revenir un peu à ta question je pense qu'il faut dans l'absolue bon en programmation pas besoin non-plus d'être un expert en tout cas tu le deviendra peut-être avec l'exp
@@way9night832 moi je suis un ex développeur et j'ai voulu être hacker j'ai vu que ce qui me manquait c'était le réseau la programmation ça a pas de souci donc sans le réseau tu seras jamais hacker
Quand tu as donné l'exemple Test10* comme mdp, j'ai pas pu m'empêcher de sourire de culpabilité... mdr. J'ai quasiment ce mot de passe sur mon windows.
Merci beaucoup pour cette vidéo est tout le travail qui l'accompagne. Pour cette vidéo, j'ai une petite réflexion à te soumettre. Ca fais un bail que des sites qui ont pignon sur rue, ont été hacké avec les bases de données contenant les identifiants et les mots de passe. Finalement, n'est-il pas préférable d'utiliser des bouts de phrases en fr?
Que penses tu de Keypass pour rendre plus secure mon ordi? J'utilise desormais ca, plus aucun mdp mémorisé sur mon pc. Sur chaque site j'ai un mdp aléatoire (chaine de 20 à 35 caractères selon le degré de sécurité que j'ai voulu y mettre) que keypass m'avait généré. Le seul mdp que j'ai à savoir, c'est celui que je rentre pour acceder à la BdD keypass (dissimulé sur pc au beau milieu d'un fichier, je copie colle, il est extremement long). Ensuite j'ai accès à tous les autres mdp. A chaque fois J'ai juste à clic droit copier/coller. Du coup je ne tape absolument jamais aucun mdp sur mon clavier (car j'ai entendu parler de keylogger qui pourrait retracer ce que je pourrais taper sur clavier ) Penses tu que c'est fiable? Car je suis novice. Ta vidéo est très interessante, merci pour ce que tu fais
salut ami, avez-vous un code python qui génère des clés non "absurdes" (par exemple lors de l'exécution d'un générateur, il commence par aaaaaa jusqu'à aaaaaz ou clavvvee) qui ne prend pas en compte ces mots.
pour trouver de mdp windows/linux/mac, des mdp de fichiers zip, de gestionnaire de mot de passes, de conteneurs/partitions chiffrés plus généralement TOUT ce qui se trouve en local.
Je suis en Afrique, depuis que je regarde votre vidéo concernant la la sécurité informatique je apprendre beaucoup avec vous mais je n'ai pas d'ordinateur pour le moment donc j'aimerais savoir si je peux apprendre un téléphone Android
Si je comprends bien on peut trouver les code et mot de passe oublié aide de MDP ?? Maintenant comment sa marche faire une vidéo complète sur sa s'il vous plaît
Intéressant.... et si on hash les mots de passes à l'aide d'un algorithme qu'on code sois même...? c'est impossible de le retrouver non? à moins de mettre la main sur l'algo qui hash....
Cela sera pire, car à part si tu est très bon en cryptographie m. L'algorithme de hachage que tu aura codé présentera des failles et pourra être facilement renversé.
@@HafniumSecuriteInformatique C'est assez dingue, imaginons que tu codes un truc "simple" qui par exemple split ton mot de passe en 4, ajoute x caractères randoms entre chaque split et bouge ensuite chaque caractère de 2 ou 3 (ou un nombre random) positions de l'alphabet... ça serait possible et facile de craquer un truc pareil ?
Techniquement, il suffit juste d'avoir des caractères spéciaux dans son mot de passe et c'est parfait 🤔 (y implanter 1 lettre et 1 chiffres pour éviter le brute force ciblé sur les caractères spéciaux)
Est ce qu'on peut paramètres le bruteforce de manière à ne pas avoir 3 fois le même caractère par exemple? Et tout bêtement plutôt que de recalculer le mdp on pourrait pas entré le hash directement ?
Quel MDP ? Celui de votre session Windows ? Vous cerchez au mauvais endroit. La solution est dans la SAM !!! Quelques secondes suffisent pour faire sauter le MDP. Pas par attaque, mais par analyse du fichier SAM
salut je voulais juste préciser que si vous pensiez que rajouter des caractères spéciaux à la place des lettres du style : P4$$W0RD ça ne fonctionne pas, on parle de bien de caractère spéciaux au hasard
Je conprend pas tu vois il y a une personne a hacker mon compte je change le mdp je mes des lettres Majuscule des chiffres et ded caractères 💁♂️ bizarre
Oui grâce à des algorithmes de deep learning, mais pas sans erreurs et en étant assez lent. Les dernières captcha de Google ont l'air de tenir plutôt bien. Apres, avec l'amélioration des IA je ne sais pas si ça va continuer ainsi. A suivre...
@@HafniumSecuriteInformatique mdr même moi des fois j'y arrive pas leur captacha de merde Après je penses que si le robot arrive à lire les réponses (parce que faut bien que le serveur vérifié que ça correspond ) bah ...
![BLACK BAG - Official Trailer [HD] - Only in Theaters March 14](http://i.ytimg.com/vi/Du0Xp8WX_7I/mqdefault.jpg)
5:08 Attention, ce n'est pas config32 mais system32 !
6:50 c'est SHA 512 et non SHA256-HMAC
On dumper le SAM et cracker le mot de passe
C'est jouer au CHA et à la souris 🐭🐁
@@michellebout1235 pas mal
Très simple pour apprendre les bases de la cyber-sécurité, on comprend très vite même si on a pas d'expérience ! Merci pour ce tuto !
Merci pour votre soutien :)
@@HafniumSecuriteInformatique salut super sujet que tu fait
donc bravos à toi . mais tu oublie une chose que beaucoup de débutants
qui pense pouvoir pirater avec des outils autonatisés
ne savent pas . certaines mesure de sécurité . pouvent rendre
les attaques brut force totalement inefficace . surtout pour ceux
qui font cela de façon automatique .
petite exemple très simple que je donne ici .
cependant . le brute force ce n'est pas que ça contrairement aux idées
reçues. en effet les attaques brute force ne servent pas qu'a deviner
des identifiants ou des mots de passe.
elles servent souvent de vecteurs pour lancer d'autres attaques
et exploiter les vulnérabilités de certains systèmes.
problèmes de droits ( idor ) via devinette d'identifiants en cas de défaut
de contrôle d'accès permettant d'accéder à des données ou des fichiers.
etc . fuzzing ( recherche de contenus via utilisation d'un dictionnaire
pour trouver des fichiers non répertoriés sur l'interface d'une application
par exemple .
énumération d'utilisateurs en cas de mauvaise configuration.
permettant d'autres options à un attaquant comme cibler des utilisateurs
via du phishing par exemple.
il existe plusieurs types d'attaques brute force.
les attaques par dictionnaire. le password spraying et le credential stuffing.
le password spraying est une autre variante d'attaque brute force.
dans ce cas de figure il s'agit pour un attaquant de tester des mots de passe couramment utilisés pour obtenir un accès à un ou plusieurs
comptes utilisateurs.
en effet . les attaques brute force traditionnelles tentent d'obtenir
un accès non autorisé à un seul compte en devinant le mot de passe.
ce qui peut rapidement entraîner le verrouillage du compte ciblé.
car les politiques de verrouillage de compte couramment utilisées .
autorisent généralement un nombre limité de tentatives infructueuses.
cependant le verrouillage de comptes reste une mauvaise idée.
ainsi les attaques par password spraying sont non seulement des
tentatives d'évitement de ce type de mécanismes de sécurité
mais se révélent très efficaces.
les attaquants partent en effet du principe qu'au sein d'un grand
groupe de personnes . il est probable qu'il y en ait au moins une qui utilise
un mot de passe commun. et c'est malheureusement trop souvent le cas.
ne pas désactiver les comptes après des échecs de connexion.
une autre stratégie de défense courante contre une attaque brute force .
consiste à désactiver automatiquement un compte après un certain
nombre de tentatives de connexion infructueuses.
dans la plupart des cas le compte peut être réactivé automatiquement
après un certain délai ou l'utilisateur peut devoir contacter
l'administrateur afin que le compte soit réactivé.
dans un cas comme dans l'autre la désactivation automatique des
comptes utilisateurs est un mauvais mécanisme de sécurité
pour lutter contre une attaque brute force.
en premier lieu en désactivant les comptes . le système a échangé
une vulnérabilité de contournement d'authentification contre une
possibilité d'attaque dos ( déni de service )
en effet si un attaquant peut désactiver un compte après 3 tentatives
infructueuses toutes les 30 minutes par exemple .
il peut effectivement empêcher cet utilisateur d'accéder au système
imaginez les dégâts que pourrait causer une attaque brute force .
si elle était utilisée contre un compte administrateur avec un tel
mécanisme en place.
en second lieu . le verrouillage des comptes est inefficace contre les
attaques par password spraying ou certaines attaques par dictionnaire .
en effet elles sont focalisées sur les mots de passe alors que ce mécanisme de verrouillage suppose que l'attaquant garde le nom
d'utilisateur et essaie de deviner le mot de passe .
dans ces cas de figure un attaquant pourrait effectuer des milliers de
tentatives de connexion. et même si chacune d'entre elles échoue .
le système n'enregistrera qu'une seule connexion incorrecte par compte .
mettre un délai après chaque échec de connexion .
une meilleure technique pour contrer les attaques brute force
consiste à retarder progressivement la réponse de la page après
l'échec des tentatives de connexion . après la première tantative de
connexion échouée . par exemple la réponse sera retardée d'une second .
après le deuxiéme échec la réponse est retardée de deux secondes .
et ainsi de suite. l'implémentation de ce type de technique dit de délai
incrémentiel . peut rendre totalement inefficace les outils automatisés
de brute force car le temps nécessaire pour effectuer des essais
sera fortement rallongé .
voilà pour cette petite info . sur ceux très bonne journée à toi .
@@francoismorin5094Purée ça à du te prendre du temps d'écrire tout ça, merci à toi !
Balle perdue pour sfr
ça va en décourager pas mal de personnes à utiliser une attaque brute force......merci Hafnium....
Ptdr vtff
Y a tjr le credential stuffing
Sinon, très basique mais c est deja mieux que la brute force, dictionnary attack
Ce n’est pas très interressant…
@@hacks_os2754 tu peux développer c'est quoi le credential stuffing ?
Merci pour le tuto ☺️
Grâce à toi, j’ai pus pirater la NASA pour savoir si les aliens mangent des cupcakes aux chocolat 😉
Et alors ?? Ils en mangent ??
@@akitain oui
Je le savais 😂
Sérieux ??
c'était grave intéressant et facile à écouté. je suis content d'être tombé sur toi ^^
Pareil 👌
Moi qui disait que Google me faisait suer avec leurs majuscules points minimum 8 chiffres...J’ai changé d’avis merci!
Très bonne vidéo comme d'habitude, continue ainsi, j'apprends beaucoup de chose grâce à toi !
Salut, je tiens à dire que l'ambiance de la vidéo, la musique, le montage, et l'arrière plan étaient très satisfaisant. Excellente vidéo, tu régales.
Ps : Même si t'es vidéos font peut de vues, ne te décourages pas, t'es vidéos sont une mine d'or et sont vraiment bien. Bonne continuation !
Merci !
Vraiiiiiiiiiiiiiiiiiiiiiii
« Oh non je ne connais pas le code go dormir dans la rue »
Fin de la vidéo
Ptdrrrr
au pire t attend que quelqu un sorte ou rentre dans le batiment
ou alors t'escalade
Ou tu sonnes
enfin des bonne vidéo dans mais recommandation
Salut, merci pour tes vidéos elles sont plutôt riches en infos ^^
Par contre fais attention à ton articulation etc... je trouve que c'est mieux que sur des vidéos qui datent de genre 6 mois, mais souvent j'ai du mal à te comprendre, et c'est un frein qui m'empêche d'apprécier pleinement tes vidéos.
Vois le comme un conseil d'ami, en tout cas cool on voit quand même que tu nous parles de choses que tu connais :)
merci pour ton retour :)
travailler sa diction prends des mois vous des années, ce n'est pas une chose simple. En tout cas content de savoir que je me suis amélioré :)
@@HafniumSecuriteInformatique salut très bon sujet bravos à toi .
mais moi ici je parle d'un truc pas connu des débutants .
attaque avec les protocoles LLMNR et Nbt -Ns
LLMNR ( résolution de noms de multidiffusion de lien locale )
et Nbt - Ns ( service de noms Net bios ) sont deux services de résolution
de noms intégrés à windows pour aider les systèmes à trouver les noms
d'adresses à partir d'autres appareils sur le réseau . le pirate usurpe
une source faisant autorité pour la résolution de noms sur le réseau cible
en répondant au trafic LLMNR ( upd 5355 ) / Nbt - Ns ( udp 157 )
comme s'il connaissait l'identité de l'hôte demandé .
ainsi il peut facilement récupérer les informations d'identification / nom
d'utilisateur et hachage NTLMv2 en répondant simplement de manière
passive à chaque requête LLMNR / Nbt - Ns .
responder est un outil multithread permettant de réponde à des requêtes
ipv4 LLMNR et Nbt- Ns pour mener des opérations de poisoning de manière automatique . en plus de ces fonctions de poisonning on
y retrouve également des serveurs rogue disposant d'une fonction
de collecte des valeurs de hachage NTLMv1/v2 ou dans certain cas
le mot de passe en clair .
voilà pour l'info .
sur ceux très bonne soirée à toi .
rès bonne vidéo comme d'habitude, continue ainsi, j'apprends beaucoup de chose grâce à toi
Merci beaucoup ,car je suis en formation actuellement pour faire de la cyberbersecurite
Tu fait où ?
Salut je vois 971 sur ton pseudo ta fais ta formation en Guadeloupe ?
C’était tellement bien expliquer bravo et merci !!😊
Cool. Une explication aussi claire que simple. Un grand merci !!!
merci pour cet enseignement
Intéressant, je suis sur que ça peut aider bon nombre de débutants.
Je ne te souhaite que de continuer.
Merci :)
Bien expliqué et bien réalisé! Merci et bonne continuation
merci ! très clair et interressant
franchement t'es le boss, tu fais de super vidéo :)
Bonsoir et beau travail de calcul . Il est vrai que beaucoup de personnes utilisent des mots de passe trop simples
Le montage et les musiques sont super !Très bonne vidéo
Ça fait du bien de trouver une vidéo très intéressante et enrichissante
Merci bien, concrètement je regarde tes vidéos plus pour me protéger des attaques que m'en servir ahah
Vidéo passionnante, félicitations !
Merci :)
Très intéressant. Merci.
merci tu m'apprend beaucoup de chose, très bien expliqué
Clair, Simple et efficace merci !
D'après toi, générer un mdp avec un générateur en ligne est plus (safe), mais si on part du principe qu'un site web stock tout ce qu'il crée sur un serveur, il y a de fortes chances que le mdp qu'on ait généré se retrouve sur le serveur en question, et donc que nous ne sommes pas les seuls à le connaitre... Donc d'après toi qu'elle ait la meilleure technique, créer un mdp de nos mains, ou le générer aléatoirement ?
Sinon ta vidéo est très bien expliquée on apprend pas mal de choses ^^
Moi je crée mes mdp à la main pour les retenir plus facilement, après tu peux générer en local sur ton ordinateur :)
Le site ou tu te connectes aussi à le fichier contenants ton mot de passe
Tu code un générateur de mot de passe tout seul, en python par exemple, c est ultra simple ;)
avec une atk hors ligne on pourrait tout simplement utiliser plusieurs hashs d'un coup
ou potentiellement des hashs qui prendraient beaucoup trop de temps, genre 1 seconde pour le calculer
et on pourrait aussi ajouter une chaîne de caractères aléatoire devant le mot de passe, tout simplement pour ne pas permettre d'atk avec les tables arc-en-ciel et des trucs du genre
Excellente vidéo 👍
C'est fou, plus je revois t'est email envoyer, et plus tu parais pour moi comme étant la meilleur chaine de tout RUclips, vraiment cool tes partages sur le hack
Merci :)
T’es un pro frère continue 🤘🏽
Sympa comme vidéo pour les débutants 🙃
❤, De très belle explications. + un abonné
Super , continue comme ça 🔥🔥🔥
Vous faites une cours en ligne dans le domaine de cyber criminalité,je suis prêt à le prendre
Je fais des cours d'informatique/cybersécurité sur mon site internet.
Le nom du site
Salut. YT m'a proposé ta vidéo, je ne sais pas pourquoi, mais je l'ai regardé en entier et c'est vrai que c'est très intéressant.
Question: pourquoi se mettre à la place du hacker pour tes vidéos ?
disons que cela immerge un peu plus l'audience :)
@@HafniumSecuriteInformatique ok, parce que ça ressemble parfois plus à une leçon de hacking qu'à un cours d'informatique 😉
@@projectile Sauf erreur de ma part il me semble qu'en école d'ingénieur en cybersécurité on passe plusieurs années à hacker 🙂puisque certains des apprenants s'orientent vers le métier d'hacker éthique. Faut pas avoir peur de hacker ;) sans ça nous serions tous certainement vulnérables à des individus malveillants. En tout cas c'est comme ça que je vois les choses ....
Super continue comme ça j’adore !!!
Super video mais attention il ne me semble pas que les hash dans shadow soit des hmac ce serai étrange je pense qu’il y a une coquille a cette endroit. Sinon video tres propre !
Je vais vérifier :)
EDIT : c'est SHA 512.
Je pense que si le mot de passe fait 2 caracteres ,le nombre de combinaisons sera egal a 4830 et non 4900. C'est des arrangements il me semble. Et pour le reste de tes calculs concernant 3,4,5 etc...caracteres ,ils sont egalement errones... Cordialement
Super vidéo
T'explique trop bien 😀x)
Après avoir regardé ta vidéo j'ai pu apprendre a craquer mon mot de passe oublié, merci beaucoup.
C’est un bon début 😂
Tiens, je me pose une petite question. Je parle du temps où j'ai commencé le Basic, c'est à dire pendant les années 80. A l'époque, on parlait de PSEUDO-aléatoire en informatique, est-ce toujours le cas ? Merci
Salut ! Super cool ta vidéo mais je crois que t as déjà fait une vidéo sur le brute force en pratique (crunch) mais elle a était supprimer
Yes :(
T’étais sur ma page d’accueil je m’abonne direct ça me passionne depuis toujours là sécuriser informatique ta un cours à me recommander pour en apprendre plus là dessu ?
Merci pour votre soutien :)
Vous avez mon cours pour apprendre les bases de l'informatique et du hacking ici : cours.pentest-underground.fr/programme-debutant
Salut. Excellente video. 1ere fois de regarder une telle video et je crois que je suis accroc.
Jai une question sur l'attaque en ligne.
Supposons le recouvrement d'un mot de passe d'email personel qu'on aurait perdu sans pouvoir recouvrir normalement.
L'opération brute force ne bloquera t'elle pas l'access a l'email?
A priori , sur Win11 , le répertoire de PWD /Hash n'est plus le même , en tout cas , merci ta vidéo . Je chercherai plus tard .
Merci 👍
Merci ! 👍
Ce bon vieux "Toto" !! 🙃😉
Tu conseilles quoi pour commencer dans le domaine cyber sécurité sans aucune connaissance ou en connaissant aucune langue de codage ?
Forme toi sur les bases de l'informatique d'abord. (Linux, réseau,programmation etc..)
J'ai un cours complet sur cela si ça t'intéresse :)
@@HafniumSecuriteInformatique Oe je veut bien ton cours c’est un payant ou bien ?
si t'as pas fait du reseau c'est mort, le code ca sert quasiment à rien, c'est du réseau.
@@user-bt1gp5fy9m Le court est payant : hafnium.systeme.io/le-decollage.
@@MOTIVATIONEXTREME "le code ça sert quasiment à rien" ahahaha mais oui biensur !!!!
je peux me tromper mais si on a pas des bases solides en reseaux c'est mort pour etre hacker, tres bonne video en tous cas
Alors dans l'absolue un petit peu mais rien n'est infaisable. Je te conseille de faire une grosse formation individuelle (tuto, cours openclassroom ect...) et tester sur un petit lab virtualisé (Hyper_V ou proxmox) la mise en réseau et l'administration réseau. Voir tout ce qui est protocole --> ARP DNS DHCP (VPN surtout ! :) ) comprendre comment ils fonctionnent. Mais le réseau c'est vraiment une sphère passionnante tu va vite adorer ce côté de l'informatique et apprendre toute cette partie technique.
Pour ce qui est de quoi connaitre; j'ai entendu par beaucoup de monde qu'il faut avoir des bonnes bases en systèmes et réseau programmation Python ect... et des bases sur les bases de données. Dernière chose il faut être passionné si l'informatique c'est ta passion tu arriveras à tout avec l'ambition ne crois pas qu'une chose est insurmontable tu va y arriver like a boss après si t'oriente sur du dark c'est plus de mon perimètre perso je me forme en tant qu'hacker Ethique 😉
Pour revenir un peu à ta question je pense qu'il faut dans l'absolue bon en programmation pas besoin non-plus d'être un expert en tout cas tu le deviendra peut-être avec l'exp
@@way9night832 moi je suis un ex développeur et j'ai voulu être hacker j'ai vu que ce qui me manquait c'était le réseau la programmation ça a pas de souci donc sans le réseau tu seras jamais hacker
si on devait comparer Hydra vs bruteforce. Lequel est le meilleur ?
Quand tu as donné l'exemple Test10* comme mdp, j'ai pas pu m'empêcher de sourire de culpabilité... mdr. J'ai quasiment ce mot de passe sur mon windows.
magie magie :)
Cool
L'informatique est ma passion mais en Afrique il est difficile de l'apprendre
Merci beaucoup pour cette vidéo est tout le travail qui l'accompagne. Pour cette vidéo, j'ai une petite réflexion à te soumettre. Ca fais un bail que des sites qui ont pignon sur rue, ont été hacké avec les bases de données contenant les identifiants et les mots de passe. Finalement, n'est-il pas préférable d'utiliser des bouts de phrases en fr?
Des phrases se passes ? Pourquoi pas mais du coup ça sera plus long à taper :)
Que penses tu de Keypass pour rendre plus secure mon ordi? J'utilise desormais ca, plus aucun mdp mémorisé sur mon pc. Sur chaque site j'ai un mdp aléatoire (chaine de 20 à 35 caractères selon le degré de sécurité que j'ai voulu y mettre) que keypass m'avait généré. Le seul mdp que j'ai à savoir, c'est celui que je rentre pour acceder à la BdD keypass (dissimulé sur pc au beau milieu d'un fichier, je copie colle, il est extremement long). Ensuite j'ai accès à tous les autres mdp. A chaque fois J'ai juste à clic droit copier/coller. Du coup je ne tape absolument jamais aucun mdp sur mon clavier (car j'ai entendu parler de keylogger qui pourrait retracer ce que je pourrais taper sur clavier ) Penses tu que c'est fiable? Car je suis novice. Ta vidéo est très interessante, merci pour ce que tu fais
J'ai une question sur les hashs : est-ce que tu peux trouver un hash genre dans un site ou non ?
interessant merci
La vidéo est super intéressante mais il manque des caractères spéciaux non ? Genre le .
mais est ce que il existe des logiciels pour cela ?
salut ami, avez-vous un code python qui génère des clés non "absurdes" (par exemple lors de l'exécution d'un générateur, il commence par aaaaaa jusqu'à aaaaaz ou clavvvee) qui ne prend pas en compte ces mots.
sur quel type de hors ligne peut on utiliser le brut force? très bon contenu merci
pour trouver de mdp windows/linux/mac, des mdp de fichiers zip, de gestionnaire de mot de passes, de conteneurs/partitions chiffrés plus généralement TOUT ce qui se trouve en local.
@@HafniumSecuriteInformatique d'accord merci
En gros si on emprunte la puissance d'une ferme de minage on peut crarequer tout les mot de passe stocker en local
Je suis en Afrique, depuis que je regarde votre vidéo concernant la la sécurité informatique je apprendre beaucoup avec vous mais je n'ai pas d'ordinateur pour le moment donc j'aimerais savoir si je peux apprendre un téléphone Android
Avec un téléphone Android ça sera un peu difficile. Vous pouvez programmer en python sur Android il me semble :)
Si je comprends bien on peut trouver les code et mot de passe oublié aide de MDP ?? Maintenant comment sa marche faire une vidéo complète sur sa s'il vous plaît
Intéressant.... et si on hash les mots de passes à l'aide d'un algorithme qu'on code sois même...? c'est impossible de le retrouver non? à moins de mettre la main sur l'algo qui hash....
Cela sera pire, car à part si tu est très bon en cryptographie m. L'algorithme de hachage que tu aura codé présentera des failles et pourra être facilement renversé.
@@HafniumSecuriteInformatique C'est assez dingue, imaginons que tu codes un truc "simple" qui par exemple split ton mot de passe en 4, ajoute x caractères randoms entre chaque split et bouge ensuite chaque caractère de 2 ou 3 (ou un nombre random) positions de l'alphabet... ça serait possible et facile de craquer un truc pareil ?
l algo qui fait le hash est connu et public.
Merci pour cette vidéo !
Salut es ce que je peux apprendre la sécurité informatique avec mon smartphone Android
Techniquement, il suffit juste d'avoir des caractères spéciaux dans son mot de passe et c'est parfait 🤔
(y implanter 1 lettre et 1 chiffres pour éviter le brute force ciblé sur les caractères spéciaux)
Cela dépends mais oui en général ça compliqué beaucoup la tâche à l'attaquant :)
Dictionnaire de mot de passe et tu es niquer, a moins que se soit un mot de passe générer alaetoirement.
Ouf mes mot de passe sont as comme les 50 de la vidéo sa sert à un truc d'avoir des connaissance en Informatique mais très bonne vidéo
Super vidéo
Que sont les logiciels qui permet de trouver un code et mot de passe oublié
Très génial
Peut on hacker depuis un telephone ? Cordialement
Super video au passage
c'est très peu pratique.
@@HafniumSecuriteInformatique merci c’est noté 👊
Salut c’est quoi le site que tu utilise pour trouver les mots de passe stp ? Merci
Excellent
allez hop je m'abonne
Est ce qu'on peut paramètres le bruteforce de manière à ne pas avoir 3 fois le même caractère par exemple?
Et tout bêtement plutôt que de recalculer le mdp on pourrait pas entré le hash directement ?
Quel MDP ? Celui de votre session Windows ? Vous cerchez au mauvais endroit. La solution est dans la SAM !!! Quelques secondes suffisent pour faire sauter le MDP. Pas par attaque, mais par analyse du fichier SAM
@@philmrs8731 non pas le mdp Windows mdr c'est ultra simple de l'avoir suffit d'avoir un cd boot win
Je parle des mdp général
@@jeremie9670 Ultra simple quand on connait.... Hiren... par exemple.
superbe video mais tu na pas beaucoup parlé que la plupart des sites limitea au moin 6-8 caracteres donc beaucoup moins de mdp a calculé
Bonjour, juste une question : quels mot de passe concrètement ?
Bonsoir
j'ai plus le mot de passe de ma tablette quelle solution dois-je utiliser
Merci
Ça veut dire quoi combiné des carte graphique
Se type de vidéo est cool et éducative sauf pour se qu'il utilise mal comme moi je me suis fait hacker et je cherche comment régler le blem
J’aurais aimé voir des exemples concret en fait
salut je voulais juste préciser que si vous pensiez que rajouter des caractères spéciaux à la place des lettres du style :
P4$$W0RD
ça ne fonctionne pas, on parle de bien de caractère spéciaux au hasard
Bonjour j'ai un problème de compte google on me l'a voler j'aimerais l reprendre j'ai des messages important sur
et quand c'est en ligne, comment trouver le hash ?
et c ou si on veut decouvrir le domaine du hacking et du cybersecurite stp
Je conprend pas tu vois il y a une personne a hacker mon compte je change le mdp je mes des lettres Majuscule des chiffres et ded caractères 💁♂️ bizarre
12:47 Mmh non. Un robot à déjà résolu bon nombre de captcha (pas les plus complexes)
Oui grâce à des algorithmes de deep learning, mais pas sans erreurs et en étant assez lent.
Les dernières captcha de Google ont l'air de tenir plutôt bien.
Apres, avec l'amélioration des IA je ne sais pas si ça va continuer ainsi.
A suivre...
@@HafniumSecuriteInformatique mdr même moi des fois j'y arrive pas leur captacha de merde
Après je penses que si le robot arrive à lire les réponses (parce que faut bien que le serveur vérifié que ça correspond ) bah ...
@@jeremie9670 c'est mon cas aussi...
@@HafniumSecuriteInformatique on est peut être des robots🤷♂️
@@HafniumSecuriteInformatique J'ai une question est ce que la taille des hash varie selon la taille du mdp?
Et donc comment faire avec le digicode ?
Je suis un gogole et j'ai tout compris merci à toi
Et ça prendrait cb de temps pour un trouver un mots de passe a 36 caractères ? Histoire de savoir si mon mot de passe est sécurisé
70 puissance 36 :)
@@HafniumSecuriteInformatique Ça dépends si c'est des mots avec hash sachant que l'on peut combiner des listes ça peut aller vite aussi
As-tu un site pour lire l'intégralité de tes vidéos (autre RUclips)
Tu peux aller checker odysee
La brute force marche aussi avec la 2fa???
beaucoup moins bien.
Et comment trouver le mot de passe d’un ordinateur pour rentrer dessus
Slt peux-tu m expliqer pourquoi il faut une carte graphique pour une attaque ?
Les cartes graphiques sont plus optimisés pour les calculs de hash
OK merci
On utilisons un proxy on peut changer l'adresse ip à chaque tentative