Et vous ? Combien de temps faut-il pour hacker vos mots de passe ?

28 janvier 2020 à 12h18
21
mot-de-passe-securite.jpg
© Pixabay

Une organisation pakistanaise spécialisée dans la cybersécurité a dressé un tableau permettant de savoir combien de temps il faut pour déchiffrer son mot de passe.

Pour le nouvel an, la SCSP Community (Seasoned Cyber Security Professionnals), une organisation d'entraide sur la cybersécurité, a offert un cadeau à ses quelques milliers d'abonnés en postant, sur les réseaux sociaux, un tableau permettant de connaître la durée approximative de résistance de votre mot de passe face à un hacker. En fonction des caractères qui composent votre mot de passe, vous allez vite être fixé.e. On vous invite à faire le test. Attention, il risque de vous surprendre.

Plus c'est long, mieux c'est...

L'organisation a décidé de calculer la résistance de mots de passe contenant 1 à 18 caractères. Ensuite, sur le type de caractères, le mot de passe peut contenir uniquement des chiffres ; il peut ne contenir que des lettres (minuscules et/ou majuscules) de l'alphabet ; comprendre des chiffres et des lettres de l'alphabet ; ou bien, le plus sécurisé, contenir un mélange de symboles, de lettres et de chiffres.


Nous allons vous donner quelques exemples qui risquent de vous pousser à changer de mot de passe assez rapidement. Les applications bancaires, par exemple, ont coutume de ne proposer que des mots de passe à base de chiffres. Or, la SCSP nous indique que jusqu'à huit chiffres, le mot de passe peut sauter instantanément. Même avec 12 chiffres, un hacker ne mettra qu'une heure à pirater votre protection. Selon le tableau, ce n'est qu'à partir de 15 voire 16 chiffres que le hacker passera son chemin, la combinaison mettant trop de temps à être déchiffrée.

Si vous optez - et c'est une bonne chose - pour le combo lettres/chiffres/symboles, la protection est efficace à partir de huit (57 jours) et, mieux, neuf caractères (12 ans pour le hacker).


La SCSP, une communauté bienveillante qui guide les jeunes vers les métiers de la cybersécurité

La SCSP, qui a établi ce tableau complet, est une communauté organisée et gérée par des professionnels de la cybersécurité issus de différents domaines industriels qui aident les jeunes, indécis quant à leur avenir professionnel (élèves et étudiants), à se décider à pénétrer dans le monde de la cybersécurité.


L'organisation fournit aux étudiants des conseils, des ressources, les met en relation avec des professionnels pour qu'ils puissent construire leur réseau professionnel ou avec des personnes qui ont aussi hésité avant de se lancer, de façon à écarter certains stéréotypes et idées reçues.
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
21
18
GRITI
J’ai de la marge…Plus de 50tn années (je vais rester imprécis volontairement… ). Ce temps ne dépend pas de la puissance de calcul?
nirgal76
J’suis à 423m d’années, à part sur les sites qui imposent juste 6 chiffres comme les banques. Enfin, faut déjà que le hacker ait accès au mot de passe crypté (donc hacker les serveurs etc…on est pas loin de la chauve souris enragée) Il va pas essayer en brut force, ça se bloque au bout de quelques essais.
wannted
Mot de passe 33 caractères alphanumérique, up et lowercase et symboles. Je pense être tranquille.<br /> On passe à 54 caractères pour ma sauvegarde time machine. Oui oui je suis parano. Je suis aussi un collègue Quesada donc je protège mes videos comme je peux .<br /> PS: pour les modérateurs la dernières phrase c’est de l’humour
wedgantilles
Le problème c’est surtout la qualité de la protection du mot de passe sur les serveurs récipients aussi. Si le mot de passe n’est pas proprement stocké avec un avec une partie aléatoire unique à chaque utilisateur. Même le meilleur mot de passe stocké avec un simple hashage de base sera contourné à toute vitesse.
phmxos
Trouvé le mot de passe en le minimum de temps ?<br /> Je ne comprends déjà pas le scénario …<br /> S’agit-il de venir sur le PC et de dire : vas-y essaye d’ouvrir une session ?<br /> De se connecter sur son compte bancaire à distance ? donc il faut déjà avoir des infos et on rejoint le scénario de la chauvesouris …<br /> Avec des « si » on peut effectivement aller loin … et faire vite.
dFxed
En gros il s’agit d’une estimation basée sur une attaque de type force brute (qui suppose que le système attaqué ne soit pas protégé pour) en fonction de la puissance de calcul actuelle disponible.<br /> Là où c’est effectivement biaisé, c’est que quasiment tous les espaces sécurisés intègrent une protection contre ce type d’attaque (désactivation du compte, temps minimum entre 2 tentatives…)
Jehlem
Les banques c’est 6 ou 8 chiffres, donc si j’en crois l’article il n’y a aucune sécurité<br /> Ça ne m’étonne guère venant des banques, car sur une CB il y a toutes les infos écrites en clair (nom, prénom, n° de compte, date et même le CVV au dos de la carte !)<br /> Il faudra également que l’on m’explique en quoi le fait de saisir des Maj, min, symboles apporte plus de sécurité, car c’est le site qui défini ou pas cette possibilité<br /> Si les Maj, min, symboles sont autorisés quelle importance que j’en mette ou pas puisque le hacker va les tester, à condition évidemment de ne pas avoir de mot de passe 1234, azerty ou mot du dictionnaire
Azarcal
Hheeeu j’ai mis azerty123456 c’est bon chef ?
GRITI
Oui si les chiffres sont en majuscules
max_971
Je suis à 23 caractères pour mes mails importants que je change tous les mois.<br /> Je n’enregistre jamais ma CB sur les sites marchands au cas où.<br /> Mais on peut toujours être vulnérable par un cheval de troie ou autre.<br /> Naviguez avec prudence et ne pas télécharger et ouvrir n’importe quoi.
dFxed
L’intérêt est facile. La complexité d’un mot de passe dépends du nombre de possibilités.<br /> Si vous utilisez des chiffres, pour chaque chiffre il y a 10 possibilités. Si vous utilisez des lettres, 26. Si vous ajoutez les majuscules 52. Plus les chiffres 62.<br /> Le nombre de possibilités étant le nombre de possibilités par caractères élevés a la puissance du nombre de caractères.<br /> Donc par force brute, un mot de passe d’un seul caractère, composé uniquement de chiffres c’est 10 possibilités. Pour deux caractères, 100.<br /> Pour un alphanumérique avec majuscules et minuscules, un seul caractère c’est 62 possibilités mais 2 caractères c’est déjà 3844 possibilités.<br /> Donc l’intérêt est très simple, complexifier le mot de passe, et donc augmenter le temps avant qu’il puisse être découvert (ne soyons pas candide, a chaque taille de cadenas existe une taille de pince adaptée)<br /> Concernant les banques, toutes ont des protections contre la force brute (ING demandait par exemple 3 des 6 chiffres du mot de passe plus 1 jeu de 3 chiffres se trouvant sur une carte renouvellée chaque année parmi 50 jeux de 3 chiffres)<br /> Concernant la carte bleue, renseignez vous. Le ccv est une mesure de sécurité datant de 1997, date a laquelle Mr toutlemonde n’avait pas un portable. Quand aux informations dessus elles ne contiennent pas votre numéro de compte et sont strictement personnelles. C’est pour cela que lors d’un payement a aucun moment votre carte ne doit quitter vos yeux.
Blap
Pas si tu as le hash du mot de passe et son algo
nnay07
Ce n’est pas comme ça que ça marche. Les hackers récupèrent des listes de hashs, puis génèrent des mdp aléatoire (brute force) et les hashent pour les comparer à la liste. Lorsque les hashs correspondent, ils connaissent alors ton mdp et n’ont ensuite plus qu’à l’utiliser sur le site en question. La protection du site contre labrute froce ne sert alors plus à rien.
GRITI
Quelqu’un aurait des liens, docs pour en savoir plus sur les hash, mdp…? Histoire de me cultivationner !
dFxed
Si vous avez le hash, c’est plus de la force brute, ni une attaque généraliste. C’est ciblé car l’utilisateur doit être le même. On est plus du tout dans le cadre de cet article.
ramses_deux
Recuperer un Hash n’est dangereux qu’a partir du moment ou celui ci est issue d’une fonction de hashage basique non altérée.<br /> Comme la fonction PHP:password_hash.<br /> https://www.php.net/manual/en/function.password-hash.php<br /> Utiliser une telle fonction est bien.<br /> Mais ajouter un level de securite supplementaire en l’utilisant avec un SALT supplementaire generera un HASH invulnerable.
megadub
Le risque c’est surtout sur le stockage des ces mots de passe. Utiliser un super mot de passe de la mort mais avec toujours le même sur tous les sites, c’est la certitude de se le faire braquer un de ces 4 parce qu’il y a des sites qui font vraiment n’importe quoi.
juju251
Entièrement d’accord.<br /> Personnellement, je pars du principe que les sites stockent les mots de passe en clair.<br /> Partant de cette hypothèse, je créé toujours des mots de passe différents pour les sites sur lesquels j’ai un compte.<br /> Alors, je sais ce que l’on va me dire : Ouais, mais un mot de passe « sûr » par site, c’est trop compliqué / impossible.<br /> Il y a des méthode permettant de générer à la main des mots de passes sinon pseudo aléatoires, au moins différents selon le service utilisé, ou alors des gestionnaires de mots de passe, tels que Keepass (j’ai une tendance un peu parano pour tout ce qui concerne les mots de passe, je préfère éviter les services en ligne et les solutions propriétaires). <br /> Après, OUI, c’est moins simple que d’utiliser « toto1234 » partout, mais au moins ça permet d’être un peu plus tranquille en cas de piratage de la base de données des mots de passe d’un site.
MisterGTO
juju251:<br /> j’ai une tendance un peu parano pour tout ce qui concerne les mots de passe, je préfère éviter les services en ligne et les solutions propriétaires<br /> C’est pas de la parano, c’est du bon sens
RaoulTropCool
Et maintenant les temps pour un ordinateur quantique pour ne même pas avoir besoin de votre mot de passe et hacker vos échanges chiffrés basés sur les nombres premiers : trop court
mcbenny
La complexité du mot de passe ne fait pas « tout » le temps de découverte du mot de passe !<br /> Admettons que mon mot de passe est « a ». Vous pensez que le nombre d’essais pour le trouver sera au maximum de 26 ? Oui, si vous savez que c’est une lettre minuscule. Si vous pensez que cela peut être majuscule ou minuscule, alors il y a 52 possibilités. Si vous pensez que j’ai pu utiliser un chiffre, alors les possibilités passent à 62. Et je n’ai pourtant pas changé de mot de passe.<br /> Donc cela dépend beaucoup de la méthode de recherche (l’attaquant teste-il d’abord que des chiffres, puis que des lettres sur n positions, ou teste-t-il d’office toute la table de caractères dans l’ordre?) et donc des limites du service accueillant votre mot de passe.<br /> Si le service est limité (à l’utilisation de certains caractères uniquement, à un nombre de caractères…) c’est du renseignement pour l’attaquant. Et cela change le nombre de possibilités.<br /> Partant de là, un service laissant libre le type de caractères (UTF16 ? oui c’est déjà une limite, je sais), le nombre de caractères (256 ?) exige de l’attaquant de passer en revue toutes ces possibilités, même si vous avez en fait utilisé « azerty ». Reste à l’attaquant à peut-être commencer par des choses simples.<br /> Cependant, ces temps sont aussi les temps maximum pour passer en revue toute la gamme. On peut donc les diviser par deux pour obtenir une moyenne en estimant que le mot de passe peut être trouvé au début ou à la fin de la recherche de possibilités.<br /> PS: choisissez quand même un mot de passe long et « complexe », ça reste plus sûr
K4minoU
lol =D
dFxed
Votre raisonnement est valable pour un hackeur pas très futé.<br /> Si il est un peu astucieux, sachant que les combinaisons du plus petit ensemble sont parmis celles du plus grand, il les testera toujours en premier.<br /> Cela reviens a tester toujours les solutions numériques avant celles alphabétiques avant celles alphanumériques.
Voir tous les messages sur le forum

Actualités du moment

Soldes Fnac : 5 promotions irrésistibles à saisir avant ce soir
CES 2020 : MSI met du miniLED dans un portable dédié aux créatifs
Soldes Amazon : nouvelle chute de prix sur le Xiaomi Redmi Note 8 !
Soldes : notre sélection des meilleures offres sur les aspirateurs Dyson
· S | F · Votre chronique se perd dans les ruelles de Dark City
Une faille de sécurité détectée chez un prestataire de Mutuelles du Soleil
Comment sera déterminé le futur « indice de réparabilité » ?
Stadia, radars tourelles, CES 2020, Tesla : les actus tech' de la semaine
Aux US, Malwarebytes trouve un cheval de Troie inamovible sur les smartphones subventionnés par l'État
C'est officiel, Qwant sera le moteur de recherche de l'administration française
Haut de page