<a href="https://colab.research.google.com/github/Tisire/Tisire/blob/main/Hash.ipynb" target="_parent"><img src="https://colab.research.google.com/assets/colab-badge.svg" alt="Open In Colab"/></a>

Vos mots de passe pour vous connecter à votre compte Facebook, Gmail ou tout autre service necessitant une authentification, ils ne sont normalement pas stockés directement dans un fichier. Le risque de fuite serait trop important...

Normalement, seul un hash de votre mot de passe est enregistré sur un ordinateur : un hash est une suite de caractères de taille fixe associée à une chaîne quelconque.

### *1* - Fonctions de hash

Les fonctions de hash utilisées en cryptographie sont toujours faciles (rapide) à calculer, mais elles doivent vérifier les propriétés suivantes :

- il est très difficile de trouver une chaîne ayant un hash donné,
- il est très difficile de modifier une chaîne sans modifier son hash,
- il est très difficile de trouver deux chaînes avec le même hash.

Les algorithmes de hashage les plus connus sont :

- md5 (mais cet algorithme n'est plus sûr),
- sha1,
- sha256 / sha512

Pour vous authentifier sur un site, vous tapez votre mot de passe, et le programme vérifie que son hash est bien identique au hash stocké sur le serveur...

In [None]:
import hashlib
mot1 = 'Bonne et heureuse année'
print(hashlib.sha256(mot1.encode('utf-8')).hexdigest())
mot2 = 'bonne et heureuse année'
print(hashlib.sha256(mot2.encode('utf-8')).hexdigest())
mot3 = 'Bonne'
print(hashlib.sha256(mot3.encode('utf-8')).hexdigest())

###2 - Attaque par dictionnaire

Si on possède le hash d'un mot de passe, on peut essayer de retrouver le mot de passe en essayant toutes les possibilités.

En général, il est intéressant de commencer par les mots du dictionnaire. Le fichier dico.txt contient les mots du dictionnaire "le Littré" qui ne contiennent pas d'accent. Il contient 47666 mots...

Le code Python suivant permet de tester tous les mots de ce fichier et de comparer leur hash avec un hash passé en argument :

In [2]:
import hashlib
from datetime import datetime

def attaque_dico_hash(h, dic):
    dico = open("dico.txt", mode="r")
    n = 0                 # pour compter le nombre de mots
    t0 = datetime.now()	  # l'heure à l'instant présent

    for mot in dico:
      mot = mot.strip()
      n = n + 1

      if hashlib.sha256(mot.encode()).hexdigest() == h:
          print()
          print("TROUVÉ ! Le mot '{}' a le hash {},".format(mot,h))
          print("{} mot(s) ont étés testés en {} seconde(s).".format(n, (datetime.now()-t0).total_seconds()))
          dico.close()
          return

      if n % 1000 == 0:
          print(".", end="")

    print()
    print("{} mot(s) ont étés testés en {} seconde(s),".format(n, (datetime.now()-t0).total_seconds()))
    print("Aucun des mots testés n'avait le hash {}.".format(h))

In [None]:
mot3 = 'zoo'
h = hashlib.sha256(mot3.encode('utf-8')).hexdigest()
#h = '11f48731001d3a8e81b2305036b5cb2a19309d7fe86983e05fe16a2cb900e522'
dic ='dico.txt'
attaque_dico_hash(h, dic)

###3 - Attaque par force brute

Nous allons maintenant tester tous les mots de passe d'une taille donnée. Pour les mots de passe sur 3 lettres, cela pourrait donner :

In [1]:
import hashlib
from datetime import datetime

def attaque_brute_force_hash(h):
    n = 0                   # pour compter le nombre de mots
    t0 = datetime.now()	    # l'heure à l'instant présent
    alphabet = "abcdefghijklmnopqrstuvwxyz"

    for lettre1 in alphabet:
        for lettre2 in alphabet:
            for lettre3 in alphabet:
                mot = lettre1 + lettre2 + lettre3
                n += 1

                if hashlib.sha256(mot.encode()).hexdigest() == h:
                    print()
                    print("TROUVÉ ! '{}' a le hash {},".format(mot,h))
                    print("{} mot(s) ont étés testés en {} seconde(s).".format(n, (datetime.now()-t0).total_seconds()))
                    return

                if n % 1000 == 0:
                    print(".", end="")

    print()
    print("{} mot(s) ont étés testés en {} seconde(s),".format(n, (datetime.now()-t0).total_seconds()))
    print("Aucun des mots testés n'avait le hash {}.".format(h))


In [3]:
h = hashlib.sha256("hey".encode()).hexdigest()
attaque_brute_force_hash(h)

....
TROUVÉ ! 'hey' a le hash fa690b82061edfd2852629aeba8a8977b57e40fcb77d1a7a28b26cba62591204,
4861 mot(s) ont étés testés en 0.016165 seconde(s).


TP : En adaptant votre programme et votre alphabet au type de mot de passe, mesurer le temps nécessaire au déchiffrement par la force brute des mots de passe suivants :

*   aaa (3 caractères, minuscules uniquement)
*   zzz
*   Aa1 (3 caractères, majuscules / minuscules / chiffres)
*   Zz9
*   aaaa (4 caractères, minuscules uniquement)
*   zzzz
*   Aaa1 (4 caractères, majuscules / minuscules / chiffres)
*   Zzz9
*   Aaaa1 (5 caractères, majuscules / minuscules / chiffres)
*   Zzzz9
*   @Dm1n (5 caractères, majuscules / minuscules / chiffres / caractères spéciaux)
*   #$!/*



import hashlib
from datetime import datetime

def attaque_brute_force_hash(h):
    n = 0                   # pour compter le nombre de mots
    t0 = datetime.now()	    # l'heure à l'instant présent
    alphabet = "abcdefghijklmnopqrstuvwxyz"

    for lettre1 in alphabet:
        for lettre2 in alphabet:
            for lettre3 in alphabet:
                mot = lettre1 + lettre2 + lettre3
                n += 1


Comparer vos mesures au tableau disponible ici :
https://goopensource.fr/robustesse-des-mots-de-passe/