L’article de Securelist analyse la rapidité avec laquelle les mots de passe peuvent être devinés par des attaques par force brute.
- Il révèle qu’une grande partie des mots de passe peuvent être craqués en moins d’une heure, en particulier ceux contenant des mots du dictionnaire.
- L’étude utilise divers algorithmes pour démontrer l’efficacité des attaques.
- Elle met en lumière l’importance de créer des mots de passe complexes en évitant les mots courants et en utilisant une combinaison de lettres, chiffres et caractères spéciaux.
Points développés :
- Puissance des ordinateurs modernes :
- Les ordinateurs actuels, comme ceux équipés du GPU RTX 4090, peuvent deviner des mots de passe simples en quelques secondes.
- Stockage des mots de passe :
- Les mots de passe sont généralement stockés sous forme de hachages pour les sécuriser, avec l’ajout d’un sel pour renforcer cette sécurité.
- Méthodologie de l’étude :
- Analyse de 193 millions de mots de passe accessibles sur le dark web pour estimer le temps de craquage par diverses méthodes, incluant les attaques par dictionnaire et les combinaisons de caractères.
- Attaques par force brute :
- Le temps nécessaire pour craquer un mot de passe dépend de sa longueur et des types de caractères utilisés.
- Les mots de passe combinant majuscules, minuscules, chiffres et caractères spéciaux sont les plus résistants.
- Algorithmes optimisés :
- Des algorithmes comme « zxcvbn_corr » et « ngram_seq » sont utilisés pour améliorer l’efficacité des attaques en tenant compte des combinaisons de caractères fréquentes.
- Faiblesse des mots de passe de dictionnaire :
- Les mots de passe contenant des mots du dictionnaire sont significativement plus faciles à craquer.
- 57% des mots de passe analysés contenaient des mots du dictionnaire, et la majorité d’entre eux pouvaient être craqués en moins d’une minute.
Points à Retenir
- Les GPU modernes peuvent craquer les mots de passe à une vitesse impressionnante. Un simple algorithme de force brute peut craquer tout mot de passe de huit caractères en moins d’une journée. Les algorithmes de piratage intelligents peuvent deviner rapidement même des mots de passe longs en utilisant des dictionnaires et des substitutions de caractères (« e » en « 3 », « 1 » en « ! », etc.).
Conclusions sur la robustesse des mots de passe :
- De nombreux mots de passe sont trop faibles : 59 % peuvent être devinés en une heure.
- Utiliser des mots significatifs, des noms et des combinaisons standard réduit considérablement le temps de craquage.
- Les mots de passe les moins sécurisés sont ceux composés uniquement de chiffres ou de mots.
Pour protéger vos comptes :
- Utilisez des mots de passe aléatoires générés par ordinateur. Les gestionnaires de mots de passe peuvent les générer.
- Préférez des phrases mnémotechniques plutôt que des mots significatifs.
- Vérifiez la résistance de vos mots de passe à l’aide d’outils comme Password Checker, Kaspersky Password Manager ou zxcvbn.
- Assurez-vous que vos mots de passe ne figurent pas dans des bases de données compromises sur haveibeenpwned. Utilisez des solutions de sécurité qui alertent sur les fuites de mots de passe.
- Évitez d’utiliser le même mot de passe pour plusieurs sites. Si vos mots de passe sont uniques, le piratage de l’un d’eux causera moins de dommages.
Pour plus de détails, vous pouvez lire l’article complet ici.