Portail captif: importer un liste d'utilisateurs



  • Bonjour,

    Est-il possible d'importer une liste d'utilisateurs dans la partie portail captif de pfs?

    Merci

    ZS

    edit: j'ai essayé en modifiant le fichier config, mais il semblerait que les password soient cryptés.



  • Le mot de passe n'est pas crypté ni stocké, il s'agit en fait du hash md5 du mot de passe.
    Pfsense utilise la fonction php suivante :  $passwd = md5($passwd);



  • On imaginait bien que les mots de passe n'étaient pas stockés en clair dans le fichier de conf xmf !
    Et fort logiquement, la fonction md5 est toute indiquée pour "transformer" un mot de passe puisque c'est un hash !
    (hash = fonction non inversible !)

    Pour les petits curieux, récemment, je suis tombé sur le lien http://www.authsecu.com/decrypter-dechiffrer-cracker-hash-md5/decrypter-dechiffrer-cracker-hash-md5.php . C'est assez étonnant à première vue, et même à deuxième vue …



  • En effet les fonctions de hashage MD5 sont aujourd'hui considérées comme faible.
    Les méthodes d'attaques par application du compromis temps/mémoire (cf Time-Memory tradeoff de P.Oechslin/Rainbow tables http://lasecwww.epfl.ch/~oechslin/publications/crypto03.pdf) sont aujourd'hui très performante, du moment qu'on possède les tables…
    Lors d'audit et test d'intrusion en environnement Microsoft, il est généralement rapide (en fonction des tables que vous possédez) de casser le mot de passe administrateur (apres dump du hash de celui-ci sur une machine ou il se serait loggé) même si celui-ci fait 20 caractères.



  • Ok merci pour toutes ses infos.


Log in to reply