Page d'accueil » comment » Les mots de passe courts sont-ils vraiment peu sûrs?

    Les mots de passe courts sont-ils vraiment peu sûrs?


    Vous connaissez l’exercice: utilisez un mot de passe long et varié, n’utilisez pas le même mot de passe deux fois, utilisez un mot de passe différent pour chaque site. Est-ce vraiment dangereux d'utiliser un mot de passe court??
    La séance de questions et réponses d'aujourd'hui nous est offerte par SuperUser, une sous-division de Stack Exchange, un groupe de sites Web de questions-réponses dirigé par la communauté..

    La question

    Le lecteur superutilisateur User31073 est curieux de savoir s'il devrait vraiment tenir compte de ces avertissements de mot de passe court:

    Avec des systèmes tels que TrueCrypt, lorsque je dois définir un nouveau mot de passe, on me dit souvent qu’utiliser un mot de passe court n’est pas sûr et qu’il est «très facile» de le casser brutalement..

    J'utilise toujours des mots de passe de 8 caractères, qui ne sont pas basés sur des mots du dictionnaire mais qui consistent en des caractères de l'ensemble A-Z, a-z, 0-9

    C'est à dire. J'utilise un mot de passe comme sDvE98f1

    Est-il facile de casser un tel mot de passe par force brute? C'est à dire. à quelle vitesse.

    Je sais que cela dépend énormément du matériel, mais peut-être que quelqu'un pourrait me donner une estimation du temps qu'il faudrait pour effectuer cette opération sur un système double cœur avec 2GHZ ou peu importe pour disposer d'un cadre de référence pour le matériel..

    Pour attaquer brutalement par force un tel mot de passe, il faut non seulement parcourir toutes les combinaisons, mais aussi essayer de déchiffrer chaque mot de passe deviné, ce qui nécessite également du temps..

    En outre, existe-t-il un logiciel pour forcer brutalement TrueCrypt à pirater parce que je veux essayer de forcer mon propre mot de passe pour voir combien de temps cela prend-il si cela est vraiment "très facile"?.

    Les mots de passe courts à caractères aléatoires sont-ils vraiment à risque??

    La réponse

    Josh K., contributeur à SuperUser, explique ce dont l’attaquant aurait besoin:

    Si l'attaquant peut accéder au hachage du mot de passe, il est souvent très facile de recourir à la force brutale, car il implique simplement du hachage des mots de passe jusqu'à ce que les hachages correspondent..

    La «force» de hachage dépend de la façon dont le mot de passe est stocké. Un hachage MD5 peut prendre moins de temps à générer qu'un hachage SHA-512.

    Windows avait l'habitude (et peut-être encore, je ne sais pas) de stocker les mots de passe dans un format de hachage LM, ce qui a mis le mot de passe en majuscule et l'a divisé en deux morceaux de 7 caractères qui ont ensuite été hachés. Si vous aviez un mot de passe de 15 caractères, cela n'aurait aucune importance car il ne stockait que les 14 premiers caractères, et il était facile de recourir à la force brutale, car vous n'étiez pas forcé brutalement de vous imposer un mot de passe de 14 caractères, vous étiez brutalement forcé de deux mots de passe..

    Si vous en ressentez le besoin, téléchargez un programme tel que John The Ripper ou Cain & Abel (liens non publiés) et testez-le..

    Je me souviens d’être capable de générer 200 000 hachages par seconde pour un hachage LM. En fonction de la manière dont Truecrypt stocke le hachage, et s’il peut être récupéré à partir d’un volume verrouillé, cela peut prendre plus ou moins de temps..

    Les attaques par force brute sont souvent utilisées lorsque l'attaquant a un grand nombre de hachages à traverser. Après avoir parcouru un dictionnaire commun, ils commencent souvent à éliminer les mots de passe par des attaques communes par force brute. Mots de passe numérotés jusqu'à dix, symboles étendus alphanumériques, numériques, alphanumériques et communs, symboles alphanumériques et étendus. Selon le but de l'attaque, le taux de réussite peut varier. Essayer de compromettre la sécurité d'un compte en particulier n'est souvent pas l'objectif.

    Un autre contributeur, Phoshi, développe l'idée:

    Brute-Force n'est pas une attaque viable, à peu près jamais. Si l'attaquant ne sait rien de votre mot de passe, il ne l'obtiendra pas de force brute d'ici 2020. Cela pourrait changer à l'avenir, à mesure que le matériel avance (par exemple, on pourrait utiliser tous maintenant les noyaux sur un i7, accélérant massivement le processus (années parlantes, cependant))

    Si vous voulez être -super-sécurisé, insérez-y un symbole ASCII étendu (maintenez la touche Alt enfoncée, utilisez le pavé numérique pour entrer un nombre supérieur à 255). Faire cela assure quasiment qu'une force brute est inutile.

    Vous devriez vous inquiéter des failles potentielles de l'algorithme de chiffrement de TrueCrypt, qui pourraient faciliter la recherche d'un mot de passe, et bien sûr, le mot de passe le plus complexe au monde est inutile si la machine sur laquelle vous l'utilisez est compromise..

    Nous annotons la réponse de Phoshi en ces termes: «La force brute n'est pas une attaque viable lorsque vous utilisez un cryptage sophistiqué de la génération actuelle, à peu près jamais»..

    Comme nous l'avons souligné dans notre récent article, Brute-Force Attacks Explained: Tout le cryptage est vulnérable, les systèmes de cryptage vieillissant et la puissance matérielle augmentant, il ne reste plus qu'une question de temps avant ce qui était une cible difficile (comme l'algorithme de cryptage de mot de passe NTLM de Microsoft) est vaincu en quelques heures.


    Avez-vous quelque chose à ajouter à l'explication? Sound off dans les commentaires. Voulez-vous lire plus de réponses d'autres utilisateurs de Stack Exchange doués en technologie? Découvrez le fil de discussion complet ici.