Vidéo: Comment créer un bon mot de passe ? (Novembre 2024)
Il ne se passe pratiquement pas une semaine sans avoir connaissance d'une violation de données qui expose des millions ou des milliards de mots de passe. Dans la plupart des cas, ce qui est réellement exposé est une version du mot de passe qui a été exécutée via un algorithme de hachage, et non le mot de passe lui-même. Le dernier rapport de Trustwave montre que le hachage n’aide en rien les utilisateurs qui créent des mots de passe stupides, et que la longueur est plus importante que la complexité des mots de passe.
Les pirates craqueront @ u8vRj & R3 * 4h avant de craquer StatelyPlumpBuckMulligan ou ItWasTheBestOfTimes.
Hashing It Out
L'idée derrière le hachage est que le site Web sécurisé ne stocke jamais le mot de passe d'un utilisateur. Au contraire, il stocke le résultat de l'exécution du mot de passe via un algorithme de hachage. Le hachage est une sorte de cryptage à sens unique. La même entrée génère toujours le même résultat, mais il est impossible de revenir du résultat au mot de passe d'origine. Lorsque vous vous connectez, le logiciel côté serveur hache ce que vous avez entré. Si cela correspond au hachage enregistré, vous êtes po
Le problème avec cette approche est que les méchants ont également accès à des algorithmes de hachage. Ils peuvent exécuter chaque combinaison de caractères pour une longueur de mot de passe donnée via l'algorithme et faire correspondre les résultats à une liste de mots de passe hachés volés. Pour chaque hachage qui correspond, ils ont décodé un mot de passe.
Au cours de milliers de tests de pénétration du réseau effectués en 2013 et au début de 2014, les chercheurs de Trustwave ont collecté plus de 600 000 mots de passe hachés. En exécutant du code de hachage sur des GPU puissants, ils ont déchiffré la moitié des mots de passe en quelques minutes. L'essai s'est poursuivi pendant un mois, après quoi ils avaient craqué plus de 90% des échantillons.
Mots de passe - vous le faites mal
Il est communément admis qu’un mot de passe contenant des lettres majuscules, des lettres minuscules, des chiffres et des signes de ponctuation est difficile à déchiffrer. Il s'avère que ce n'est pas tout à fait vrai. Oui, il serait difficile pour un malfaiteur de deviner un mot de passe tel que N ^ a & $ 1nG, mais selon Trustwave, un attaquant pourrait le déchiffrer en moins de quatre jours. En revanche, pour déchiffrer un mot de passe long comme GoodLuckGuessingThisPassword, il faudrait presque 18 ans de traitement.
De nombreux services informatiques exigent des mots de passe d'au moins huit caractères, contenant des lettres majuscules, des lettres minuscules et des chiffres. Le rapport souligne que, malheureusement, "Password1" répond à ces exigences. Ce n'est pas un hasard si Mot de passe1 était le mot de passe simple le plus courant de la collection à l'étude.
Les chercheurs de TrustWave ont également constaté que les utilisateurs feraient exactement ce qu'ils devaient faire, pas plus. Découpant leur collection de mots de passe en fonction de leur longueur, ils ont constaté que près de la moitié comptaient exactement huit caractères.
Fais-les long
Nous l'avons déjà dit, mais cela mérite d'être répété. Plus votre mot de passe (ou phrase secrète) est long, plus il est difficile aux pirates informatiques de le déchiffrer. Tapez une citation ou une phrase de votre choix en omettant les espaces et vous obtiendrez une phrase secrète décente.
Oui, il existe d'autres types d'attaques de cracking. Plutôt que de hacher chaque combinaison de caractères, une attaque par dictionnaire hache des combinaisons de mots connus, ce qui réduit considérablement la portée de la recherche. Mais avec un mot de passe assez long, la fissuration par force brute prendrait encore des siècles.
Le rapport complet découpe et désactive les données de différentes manières. Par exemple, plus de 100 000 des mots de passe déchirés étaient composés de six lettres minuscules et de deux chiffres, comme monkey12. Si vous gérez les stratégies de mot de passe, ou si vous souhaitez simplement créer de meilleurs mots de passe pour vous-même, sa lecture vaut la peine.
