Les mots de passe restent le maillon faible de nos données. Et si aucun d’entre eux n’est infaillible, une étude montre combien il est important de les rendre le plus complexes et robustes possible. Il ne faut en effet que quelques secondes pour pirater le mot de passe le plus utilisé, « 123456 ».
Aucun pirate ne va perdre son temps à essayer de découvrir un mot de passe par recherche exhaustive, d’autant plus que le nombre de tentatives est limité sur la plupart des services en ligne… Un mot de passe, aussi robuste soit-il, devient vulnérable en cas de fuite de données par exemple et le mot de passe seul ne suffit plus aujourd’hui pour sécuriser certains comptes importants. L’authentification à deux facteurs est devenu un allié de taille.
10 « J'aime »
Bonne pioche, un quintillion fait bien 10^30 en français !
Mais le tableau dans le tweet est en anglais, et leurs « quintillions » à eux ne font que 10^18 parce qu’ils n’ont pas pigé le système quand ils nous ont piqué les mots. Pour nous, ça fait 19 trillions (10^18).
Je ne retrouve pas dans ce tableau le 26 du titre. Sur la ligne « 16 caractères », ça monte à « 3 quadrillions » anglophones, soit 3 de nos billiards (10^15) (ce qui fait tout de même plus que 26 billions)
2 « J'aime »
Comme le montre l’article, l’attaque par « brute force » ne va aboutir que sur des mots passe très simples et sur des services très peu sécurisés (normalement un compte et désactivé après un certain nombre de tentatives, généralement 5).
Il sera plus intéressant d’essayer de réutiliser des mots de passe provenant d’un site qui s’est fait voler ses données ou d’utiliser un dictionnaire de mot de passe et enfin si la cible est clairement identifiée et vaut la peine d’y passer du temp, le social engineering est une méthode qui a fait ses preuves soit pour déduire le mot de passe ou pour obtenir la réponse de la question permettant de réinitialiser le mot de passe (d’ailleurs je ne comprends pas qu’on autorise encore des services à utiliser cette technique de réinitialisation de mot de passe).
1 « J'aime »
Samir vient de palier ce manque on dirait.
2 « J'aime »
D’ici 26 billions d’années, les processeurs iront encore plus vite, donc on n’en a plus pour longtemps…
1 « J'aime »
(C’est donc bien la taille qui compte)
3 « J'aime »
Pour tester de nombreux mots de passe, on utilise l’IP spoofing et/ou une rotation de proxys. Mon serveur mail était constamment attaqué jusqu’à ce que je ne bloque des plages d’adresses et n’autorise que 2 tentatives avant un bannissement définitif de l’IP. Aujourd’hui, il subit quelques attaques par jour tout au plus. Mais le mot de passe est de 32 caractères alphanumériques et symboles, je ne me fais pas de soucis concernant les attaques par force brute.
1 « J'aime »
quand c’est possible , c’est encore assez limité , les sites qui proposent la double authentification .
et souvent , meme pas possible avec une cle de securite usb ( par exemple ) .
1 « J'aime »
De toute façon dès que ça passe par le réseau, la force brute c’est mort, sauf si vraiment c’est un mot de passe extrêmement faible.
Par rapport aux temps évoqués dans l’article, une force brute distante, c’est au bas mot 20 fois plus lent. Leur machine avec 12 GPU arrive à mouliner 1.7 millions de hash bcrypt par seconde, un serveur d’application classique en fera sans doute pas plus de 80 000 (faut déjà un très gros CPU à plusieurs dizaines de cœurs pour un tel débit, et encore, si il fait rien d’autre en même temps… or pour traiter une requête qui arrive par le réseau, y a pas que le hash du mot de passe à faire…)… Sans même parler de la latence réseau qui va aussi limiter le débit.
Donc le bruteforce, ce n’est de toute façon envisageable que si on est certain que le mot de passe est très faible (genre service limité à un PIN numérique de seulement quelques chiffres) ou si on a choppé le hash du mot de passe, et qu’on peut donc faire l’attaque en local, avec beaucoup de puissance et très peu d’overhead. Et faut bien sûr aussi que la cible justifie la débauche de puissance nécessaire… Monopoliser dix GPU pendant un mois, pour casser le mot de passe de la banque en ligne du français moyen, c’est pas rentable.
2 « J'aime »
L’article précise bien que l’attaque brute force se fait en comparant avec une base de données volée, en comparant les hash…
Mais je pense que l’attaque la plus « facile » c’est dénicher une base où les mots de passe ne sont pas ou très mal protégés (ça existe hélas) et tenter la même combinaison email/mot de passe sur d’autres sites, vu que la plupart des gens n’utilisent qu’un mot de passe. C’est redoutable.
1 « J'aime »
Un de mes MDP a fini sur le dark, non pas que quelqu’un ait généré mon MDP mais bien à une fuite d’un site web ! Style google / microsoft / SONY etc … Donc bon, 3 10 ou même 50 caractères, ça ne changera rien !
1 « J'aime »
C’est pour cette raison qu’un même mot de passe ne doit pas être utilisé pour s’authentifier sur plusieurs sites.
2 « J'aime »
oui, mais s’il n’y a pas de fuites de données mais que quelqu’un utilise « password » comme mot de passe…