Une organisation pakistanaise spécialisée dans la cybersécurité a dressé un tableau permettant de savoir combien de temps il faut pour déchiffrer son mot de passe.
2 « J'aime »
J’ai de la marge…Plus de 50tn années (je vais rester imprécis volontairement… 
). Ce temps ne dépend pas de la puissance de calcul?
J’suis à 423m d’années, à part sur les sites qui imposent juste 6 chiffres comme les banques. Enfin, faut déjà que le hacker ait accès au mot de passe crypté (donc hacker les serveurs etc…on est pas loin de la chauve souris enragée) Il va pas essayer en brut force, ça se bloque au bout de quelques essais.
2 « J'aime »
Mot de passe 33 caractères alphanumérique, up et lowercase et symboles. Je pense être tranquille.
On passe à 54 caractères pour ma sauvegarde time machine. Oui oui je suis parano. Je suis aussi un collègue Quesada donc je protège mes videos comme je peux 
.
PS: pour les modérateurs la dernières phrase c’est de l’humour 
Le problème c’est surtout la qualité de la protection du mot de passe sur les serveurs récipients aussi. Si le mot de passe n’est pas proprement stocké avec un avec une partie aléatoire unique à chaque utilisateur. Même le meilleur mot de passe stocké avec un simple hashage de base sera contourné à toute vitesse.
1 « J'aime »
Trouvé le mot de passe en le minimum de temps ?
Je ne comprends déjà pas le scénario …
S’agit-il de venir sur le PC et de dire : vas-y essaye d’ouvrir une session ?
De se connecter sur son compte bancaire à distance ? donc il faut déjà avoir des infos et on rejoint le scénario de la chauvesouris …
Avec des « si » on peut effectivement aller loin … et faire vite.
En gros il s’agit d’une estimation basée sur une attaque de type force brute (qui suppose que le système attaqué ne soit pas protégé pour) en fonction de la puissance de calcul actuelle disponible.
Là où c’est effectivement biaisé, c’est que quasiment tous les espaces sécurisés intègrent une protection contre ce type d’attaque (désactivation du compte, temps minimum entre 2 tentatives…)
6 « J'aime »
Les banques c’est 6 ou 8 chiffres, donc si j’en crois l’article il n’y a aucune sécurité
Ça ne m’étonne guère venant des banques, car sur une CB il y a toutes les infos écrites en clair (nom, prénom, n° de compte, date et même le CVV au dos de la carte !)
Il faudra également que l’on m’explique en quoi le fait de saisir des Maj, min, symboles apporte plus de sécurité, car c’est le site qui défini ou pas cette possibilité
Si les Maj, min, symboles sont autorisés quelle importance que j’en mette ou pas puisque le hacker va les tester, à condition évidemment de ne pas avoir de mot de passe 1234, azerty ou mot du dictionnaire
Hheeeu j’ai mis azerty123456 c’est bon chef ?
1 « J'aime »
Oui si les chiffres sont en majuscules 
3 « J'aime »
Je suis à 23 caractères pour mes mails importants que je change tous les mois.
Je n’enregistre jamais ma CB sur les sites marchands au cas où.
Mais on peut toujours être vulnérable par un cheval de troie ou autre.
Naviguez avec prudence et ne pas télécharger et ouvrir n’importe quoi.
L’intérêt est facile. La complexité d’un mot de passe dépends du nombre de possibilités.
Si vous utilisez des chiffres, pour chaque chiffre il y a 10 possibilités. Si vous utilisez des lettres, 26. Si vous ajoutez les majuscules 52. Plus les chiffres 62.
Le nombre de possibilités étant le nombre de possibilités par caractères élevés a la puissance du nombre de caractères.
Donc par force brute, un mot de passe d’un seul caractère, composé uniquement de chiffres c’est 10 possibilités. Pour deux caractères, 100.
Pour un alphanumérique avec majuscules et minuscules, un seul caractère c’est 62 possibilités mais 2 caractères c’est déjà 3844 possibilités.
Donc l’intérêt est très simple, complexifier le mot de passe, et donc augmenter le temps avant qu’il puisse être découvert (ne soyons pas candide, a chaque taille de cadenas existe une taille de pince adaptée)
Concernant les banques, toutes ont des protections contre la force brute (ING demandait par exemple 3 des 6 chiffres du mot de passe plus 1 jeu de 3 chiffres se trouvant sur une carte renouvellée chaque année parmi 50 jeux de 3 chiffres)
Concernant la carte bleue, renseignez vous. Le ccv est une mesure de sécurité datant de 1997, date a laquelle Mr toutlemonde n’avait pas un portable. Quand aux informations dessus elles ne contiennent pas votre numéro de compte et sont strictement personnelles. C’est pour cela que lors d’un payement a aucun moment votre carte ne doit quitter vos yeux.
Pas si tu as le hash du mot de passe et son algo
Ce n’est pas comme ça que ça marche. Les hackers récupèrent des listes de hashs, puis génèrent des mdp aléatoire (brute force) et les hashent pour les comparer à la liste. Lorsque les hashs correspondent, ils connaissent alors ton mdp et n’ont ensuite plus qu’à l’utiliser sur le site en question. La protection du site contre labrute froce ne sert alors plus à rien.
1 « J'aime »
Quelqu’un aurait des liens, docs pour en savoir plus sur les hash, mdp…? Histoire de me cultivationner 
!
Si vous avez le hash, c’est plus de la force brute, ni une attaque généraliste. C’est ciblé car l’utilisateur doit être le même. On est plus du tout dans le cadre de cet article.
Recuperer un Hash n’est dangereux qu’a partir du moment ou celui ci est issue d’une fonction de hashage basique non altérée.
Comme la fonction PHP:password_hash.
https://www.php.net/manual/en/function.password-hash.php
Utiliser une telle fonction est bien.
Mais ajouter un level de securite supplementaire en l’utilisant avec un SALT supplementaire generera un HASH invulnerable.
1 « J'aime »
Le risque c’est surtout sur le stockage des ces mots de passe. Utiliser un super mot de passe de la mort mais avec toujours le même sur tous les sites, c’est la certitude de se le faire braquer un de ces 4 parce qu’il y a des sites qui font vraiment n’importe quoi.
Entièrement d’accord.
Personnellement, je pars du principe que les sites stockent les mots de passe en clair.
Partant de cette hypothèse, je créé toujours des mots de passe différents pour les sites sur lesquels j’ai un compte.
Alors, je sais ce que l’on va me dire : Ouais, mais un mot de passe « sûr » par site, c’est trop compliqué / impossible.
Il y a des méthode permettant de générer à la main des mots de passes sinon pseudo aléatoires, au moins différents selon le service utilisé, ou alors des gestionnaires de mots de passe, tels que Keepass (j’ai une tendance un peu parano pour tout ce qui concerne les mots de passe, je préfère éviter les services en ligne et les solutions propriétaires).
Après, OUI, c’est moins simple que d’utiliser « toto1234 » partout, mais au moins ça permet d’être un peu plus tranquille en cas de piratage de la base de données des mots de passe d’un site.
Et maintenant les temps pour un ordinateur quantique pour ne même pas avoir besoin de votre mot de passe et hacker vos échanges chiffrés basés sur les nombres premiers : trop court 