D’après un nouveau rapport, le mot de passe habituel à huit caractères serait devenu trop simple à cracker pour les pirates. Ce qui doit pousser les utilisateurs à changer leurs habitudes.
Deux articles à une heure d’intervalle pour nous dire la meme chose en moins bien ???
Au moins, Melina partait de la source direct (Hive Systems) et la citait. Là, c’est den la seconde main via France Info. Soit il y a un truc qui m’échappe, soit ça manque de sérieux.
Cet article ne veut rien dire. Tout dépend de ce qui se passe derrière le mot de passe. Si un sel de 1000 caractères y est ajouté et suivi de plusieurs millions d’ itérations de hachage, le temps pour tester tous les mots de passe sera prohibitif, même avec ce genre de carte.
Cela milite surtout pour que les algorithmes de vérification soient adaptés la technologie du jour.
Bientôt il faudra quadrupler le code ANSI et se faire pousser des doigts pour effectuer les combinaisons de touches .
Je ne comprends pas comment ils le crackent en 1 heure ? Ils ont le hash à leur disposition ?
Parce que s’il y a une tempo entre tentatives, et un nombre de tentatives maxi, je vois mal ça fait en une heure.
Ça ne concerne que les sites qui n’ont pas limité le nombre de tentatives.
Dans un précédent article que vous avez publié il y a un an, c’était plutôt quelques secondes pour 8 caractères.
Moi je suis mentaliste, pas besoin d’un Hash ou d’une 4090
Je pense qu’il y a un léger abus de langage ici. 1 heure doit permettre de « générer » toutes les combinaisons possibles de chaines a 8 caractères. Pas de les « tester » effectivement.
Et au delà de la limitation du nombre de tentatives dans un certain délai, l’implémentation de décryptage lent des mots de passe est un must. SI une machine met 1 seconde a vérifier le mot de passe propose, c’est autant de temps de perdu quand tu veux en tester des milliers.
On part du principe totalement faux que le site/l’application sur lequel on va faire de la force brute, va répondre instantanément et surtout à des millions de tentatives pour un même login sans broncher …
Très bien utilisons une passkey très complexe et unique… comme ça quand on se fait piquer la clef privée on se fait pirater tous les accès d’un coup.
Il faudrait surtout que les sites bloquent le nombre de tentatives ou mettent un tempo entre 2 énièmes tentatives.
Logiquement, cette information manque sa source: si tu as récupéré une base de données de mots de passe hashés, alors trouver le mot de passe source avec un RTX 4090 ne prendrait plus qu’une heure. Il manque l’algorithme de hashage et de dérivation de mots de passe (PBKDF2, et autres). Ensuite, le fait d’ajouter un caractère (techniquement, soit 127 fois plus de temps, puisque les caractères autorisés sont rarement en Unicode, il y a donc 127 possibilités pour le nouveau caractère), ne devrait prendre que 127 heures de plus (et dans la pratique beaucoup moins). Ce qui prouve que même à 9 caractères, ce n’est plus suffisant, ni à 10 (2 ans de plus), mais à 11 minimum.