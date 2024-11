MattS32

stevensf: stevensf: Donc comment font t’ils pour connaitre les mdp les plus utilisés si normalement ils ne peuvent les connaitre…

Ils se basent sur des bases de données de mots de passe fuités. Ce qui crée un biais énorme : les mots de passe simples sont surreprésentés par rapport aux mots de passe complexe dans ces bases de données, car justement dans la plupart des cas ce qui est volé c’est une base de mots de passe hashés et salés, et donc il faut faire une attaque par dictionnaire ou brute force pour trouver les mots de passe correspondants… attaque qui du coup ne va trouver que les mots de passe simples et courant présents dans le dictionnaire utilisé (ou très courts en cas de brute force).

Lister les mots de passe les plus courants n’a en fait à peu près aucun intérêt, si ce n’est permettre à NordPass de faire parler de lui en publiant l’étude.

Ce qui serait bien plus intéressant, c’est d’étudier le ratio de hashes cassés par rapport au total des hashes qui ont fuité, et voir si ce ratio a tendance à baisser avec le temps.

jvachez: jvachez: Pour les mots de passe simples toutes les valeurs cryptées sont connues.

Non, pas si le site implémente correctement les bonnes pratiques de sécurité : on ne fait plus de hash sans sel, et on évite même de les faire avec un sel statique.