La dernière étude du spécialiste de la cybersécurité, Kaspersky, révèle que près d’un mot de passe sur deux peut être deviné en un éclair ou presque. Les cybercriminels y parviennent grâce à de multiples techniques.
Ouais, j’ai testé les miens. Résultat :il faudrait plus de 16 milliards d’années pour les cracker avec les calculateurs les plus puissants au monde. A condition qu’ils ne se retrouvent pas sur le Darknet à la suite de piratage.
1er problème: les mots de passe sont basés sur l’informatique de papi. Les caractères ASCII, les caractères « spéciaux », mais le refus dans encore beaucoup de site (ou le blocage du compte) si on met des caractères unicodes, dans d’autres langues (et même en Français si vous avez un Azerty+: le caractère « … » ne passe pas toujours ainsi que les guillemets français) nous limite énormément.
2ème problème: Nos claviers eux-même sont limités. Très très limités. Spécialement en France où on ne peut pas de base faire les accents qu’on souhaite.
3ème problème: le manque de volonté de passer par un gestionnaire d’identité. Quand est-ce que FranceConnect sera un fournisseur OpenID reconnu?
voilà tout le pb… pas mal de personnes finissent par enregistrer leur mot de passe trop complexe dans des navigateurs ou l’utiliser sur plusieurs plateformes, au final leur mot de passe qui mettrait des années à être cracké en bruteforce se retrouve à la vue de tous dans les bdd de comptes de sites web qui se sont fait infiltrés…
Voir sur un post-it collé sur le clavier de leur pc…
A propos de ce « 2eme probleme », je t’invite a regarder un clavier anglo-saxon et a me dire si c’est plus facile d’inserer un caractere accentue.
Chaque pays a son adaptation en fonction de sa langue. On a au moins la chance d’avoir certains caractères accentués tres présents dans notre langue, donc on a accès relativement facilement à toute une gamme déjà.
Et si je mets des accents ici, sachant que je suis sur un clavier Mac anglo-saxon, ça me prend 1 seconde par caractère accentué ! Alors des gens qui n’y pensent pas par défaut, imagine !
Ça ne l’est pas. Mais il n’y a pas d’accent en anglais, donc c’est normal… Les claviers suisses, canadiens ou espagnols sont mieux foutus que le français pour les accents, avec des approches différents (les claviers suisses ont toutes les lettres accentuées, et en combinant avec shift on fait les majuscules, les claviers canadiens et espagnols ont tous les accents en dead keys).
Le clavier français est vraiment bancal, on a une partie des lettres accentuées en direct, mais aucune en majuscule, et pour les majuscules, y a des dead keys pour certains accents, mais il manque l’accent aigu et la cédille… Et il manque aussi les ligatures, pourtant présentes dans des mots courants en français, alors qu’on se tape des caractères peu courants, comme le symbole de la livre, le symbole monétaire générique ou le symbole paragraphe…
Je pense, au contraire, que ton analyse est basée uniquement sur une volonté de compléxification sans même penser à la sécurisation. Faire des mots de passes complexes qu’on ne peut pas retenir ne sert à rien. Trop long ou trop alambiqué et c’est fini, on note, on enregistre, on utilise les mêmes. Un mot de passe doit être dur à deviner mais simple à retenir. Si tu emploies deux mots de passes complexes mais simple à retenir comme, par exemple Aa1!LechatachiedanssalitiereAa1! et Aa1!ClubiccestcarreAa1! tu as deux mots de passes dur à deviner, dur à brut force, très sécurisés mais très simple à retenir. Là tu as fait de la sécurité intelligente.
Beaucoup d’entreprises abandonnent les mots de passes complexes au profit de clé de sécurité plug and play car quand on demande trop de complexité l’humain abandonne. Il est donc bien plus efficace de chercher la simplicité et l’efficacité. Du coup, caractères spéciaux, accents, tout ça c’est à bannir car ça décourage les gens de trouver de vrai mots de passe sécurisés.
Avec ma méthode, je connais par cœur mes 16 mots de passes principaux et aucun ne fait moins de 27 caractères. Pourquoi ? Parce qu’ils sont simple à retenir et dur à deviner.
et n’oublions pas le symbole le plus important mais que tout le monde oublie alors qu’il est sensé être présent dans quasiment une phrases sur deux, l’espace insécable fine (oui, celui qui se met juste avant une ponctuation, entre un nombre et son unité comme pour 5 h 35 min, oui, il y a un espace mais qui reste collé et cet espace est plus petit qu’un espace normal). C’est une particularité française mais cet espace insécable fine doit normalement se retrouver quasiment partout (surtout que le français ne tolère pas son remplacement ou sa suppression).
Spécialement en France où on ne peut pas de base faire les accents qu’on souhaite.
Je corrige pour toi, spécialement sur l’implémentation de Microsoft du clavier Français. Tu peux faire les accents que tu veux avec un Mac ou un Linux (par exemple ÀÇÉÊ) simplement en pressant Caps lock puis la touche minuscule de l’accent. Sur Microsoft, il faut changer sa disposition de clavier, car celle par défaut est bidon. Tu as des exemples ici ou ici. Le premier lien est celui qui est le plus compatible avec l’informatique en général (c’est à dire Caps Lock + touche accentuée minuscule), le second est très « Microsoftien », où il faut faire Alt Gr + Shift + touche accentuée minuscule.
Le problème M$, c’est qu’ils ont réussi à s’installer dans l’état civil, et comme la plupart des fonctionnaires n’ont pas appris à faire des majuscules accentuées, les accents ont disparu des prénoms sur les CI et passeport, après c’est quasiment impossible à faire récupérer. Ainsi, la majorité des Éric sont légalement des Eric, les Émilie des Emilie, etc… (sans parler des patronymes).
« La fameuse méthode de l’essai-erreur qui consiste à essayer toutes les combinaisons possibles de caractères, dans l’ordre, jusqu’à trouver une correspondance. »
Je suis désolé mais si cette méthode fonctionne sur un site web, c’est que le site web a un problème. Pour rappel, une carte bleu c’est seulement 4 chiffres et ce n’est pas piratable pour autant. Un site web ne doit pas accepter plusieurs soumissions dans la seconde pour le même compte, car cela veux dire que ce n’est pas un être humain à l’autre bout. Un site web doit bloquer le compte (pour une certaine période ou autre) en cas d’échecs répétés.
La force brute ne doit pouvoir fonctionner que pour décrypter un fichier, car ce dernier ne peut appliquer aucune rétorsion.
Pour tout le reste (web, machine Windows ou Linux, téléphone) il existe des système de blocage (machine, compte ou ip) en cas d’échecs trop répétés et qui interdise la force brute.
J’ai pas dis qu’il fallait utiliser 123456 pour autant.
Tout a fait. Et c’est souvent comme ça que sont obtenu les mots de passe qui fuitent sur le dark web. Au départ, il y a un service qui se fait voler sa base de données. Et à partir de là, on peut faire une attaque par brute force sur les hash pour tenter d’en casser (d’autant plus facile si le service utilise un sel constant).
D’ailleurs ça me fait penser à un truc finalement… Compte tenu de ça, le fait que 45% des mots de passe trouvés sur le darkweb soient faibles ne nous renseigne pas réellement sur la vraie proportion de mots de passe faible dans l’ensemble des mots de passe utilisés par les gens. Parce que face à une grosse base de hash de mots de passe, ce sont justement seulement les plus faibles qui vont être retrouvés par brute force, pas les plus fort, et donc forcément les mots de passe faibles se retrouvent sur-représentés parmi les mots de passe trouvés.
Après, il y a aussi un moyen de protection tout simple contre la force brute même sur une base de données : respecter les bonnes pratiques en matière de hachage des mots de passe… Ça fait plus de dix ans que tous les experts préconisent d’utiliser un algorithme de hachage « lent » et dont la complexité peut facilement être augmenté au fil du temps (ce qui se fait aujourd’hui avec des algorithmes dont on peut configurer le nombre d’itérations, et quand on veut augmenter le nombre d’itérations, soit on met directement à jour les hash en base si l’algo permet de calculer le hash à n + m itérations à partir du hash à n itérations, soit on le fait quand la personne se connecte si l’algo nécessite le mot de passe clair).
Si il faut 500ms de temps CPU pour calculer un hash au lieu de quelques µs, ça réduit très fortement les chances de succès d’un bruteforce. Même un simple PIN à 6 chiffres, ça tient déjà en moyenne 3 jours de temps CPU dans ce cas, et un mot de passe alphanumérique de 6 caractères tient en moyenne 450 ans de temps CPU…
Des tests contestables faits dans un environnement idéal pour vous faire peur et vous vendre de la sécurité.
Respectez les règles usuelles sur les mots de passe et validez la double authentification quand c’est possible et ça devrait aller. Ceux qui pillent des databases, ne récupèrent qu’un ensemble de hash dur à exploiter si la technologie est récente, SHA-3 par exemple qui va ne leur confirmer que des mots de passes déjà dans les dicos.