Combien de temps faut-il pour craquer un mot de passe de moins de 6 caractères ?

19 juillet 2022 à 14h25
22
hacking © B_A / Pixabay
© B_A / Pixabay

Le vol de votre mot de passe est devenu un enjeu de taille pour les hackers. Ce précieux sésame donne accès à vos données personnelles, bancaires et bien plus encore, il représente donc une véritable mine d’or aux yeux d’un pirate informatique.

La plateforme de stockage chiffré pCloud a récemment publié une étude complète sur ce phénomène. Le constat dressé dans cet article est alarmant, on y apprend qu’il faudrait moins de 10 minutes pour déchiffrer un mot de passe de moins de 6 caractères…

La force de votre mot de passe influence le temps de hacking nécessaire

Si votre mot de passe contient 6 caractères sans motifs spéciaux (du type @, !, ?, etc.), voici combien de temps il faudra à un cybercriminel pour le déchiffrer :

  • 3,7 semaines pour un hacking en ligne en passant par une application web (1 000 suppositions par seconde) ;

  • 0,0224 seconde pour un hacking hors ligne en ayant recours à des serveurs ou des ordinateurs de bureau très puissants (100 milliards de suppositions par seconde) ;

  • 0,0000224 seconde pour un hacking hors ligne en se servant de clusters ou de grilles de calcul multiprocesseurs parallèles (100 billions de suppositions par seconde).

À présent, si vous ajoutez un seul caractère spécial, voici les nouveaux chiffres :

  • 2,4 siècles pour un hacking en ligne en passant par une application web qui frappe un site cible (1 000 suppositions par seconde) ;

  • 1,26 minute pour un hacking hors ligne en utilisant des serveurs ou des ordinateurs de bureau très puissants (100 milliards de suppositions par seconde) ;

  • 0,0756 seconde pour un hacking hors ligne en passant par des clusters ou des grilles de calcul parallèles (100 billions de suppositions par seconde).

Ces résultats sont sans appel et montrent bien à quel point il est facile de craquer un mot de passe. De plus, les actes de cybercriminalité sont en constante augmentation, avec une hausse de 37 % sur l’année 2021. Il est donc devenu urgent de sécuriser son mot de passe pour naviguer sereinement sur la Toile.

Comment se prémunir d’un vol de mot de passe ?

La force de votre mot de passe est déterminée par plusieurs facteurs : 

  • Sa longueur : le nombre de caractères présents dans le mot de passe ;

  • Sa complexité : est-ce qu’il y a une combinaison de chiffres et de lettres, des caractères spéciaux ?

  • Son caractère prédictible : est-ce un mot de passe qui peut se deviner facilement ?

Il est important de prendre en compte ces trois facteurs lors de la création de votre mot de passe. Une fois terminé, rendez-vous sur le site de l’Agence nationale de la sécurité des systèmes d’information pour tester sa résistance.

Si vous avez respecté les différents critères cités, vous devriez avoir un mot de passe qui met plusieurs milliers d’années à être décodé. Pensez néanmoins à le changer régulièrement pour complexifier davantage les recherches, et surtout, ne l’utilisez qu’une seule fois.

Edit : Suite aux commentaires, nous précisons que les données issues du test de rapidité de hacking sont purement théoriques. Ces dernières seraient compliquées à mettre en œuvre en réalité.

Sources : pCloud, ComputerWorld

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
22
16
SPH
Avec un MDP de 6 caractères (de a à z) :<br /> « 3,7 semaines pour un hacking en ligne en passant par une application web (1 000 suppositions par seconde) ; »<br /> Je ne trouve pas ça !<br /> Cela fait 26^6/1000/3600/24<br /> soit : 3.57 jours
Pixou
t’as oublié les majuscules
Keorl
100 trillions ? Non, billions. Vous avez fait presque la même erreur de traduction que l’autre jour … (article d’ailleurs toujours pas corrigé. Et pas le même auteur : c’est donc une épidémie. Portez des masques :D)<br /> Commentaires : Crypto crash, quel crypto crash ? L'optimisme règne chez les passionnés malgré la situation Débat sur l'actu<br /> 3 trilliards ? Vous êtes sûrs ? <br /> Ça fait 3 000 000 000 000 000 000 000 de dollars. <br /> Ou vouliez vous traduire un « trillion » anglais qui correspond à notre billion à nous, soit 3 000 000 000 000 (ou 3 000 milliards) ? <br /> On utilise le système long (celui d’origine) avec un préfixe suivi de -lion tous les 10^6. Donc assez simplement, xx-lion = 10^(xx x6) donc trillion = 10^18. Et pour simplifier un peu le langage courant, on a intercalé les -liard qui valent 1000 du -lion en dessous (du coup 123 45…<br />
clockover
oui enfin le service web qui laisse 1000 tentatives / secondes sans broncher…
SPH
Maj et Min, ça fait 288.82 jours
Doss
Et les chiffres Mais on est pas bon aussi car ça fait 657jours.<br /> Après ca doit être un moyen avec des paternes pré-définie qui permet de tomber juste plus rapidement.
octokitty
Et toutes les méthodes de bloquage de l’attaque par force brute induisent des inconvénients à l’utilisateur.<br /> Bloquer une IP pour cause de trop grand nombre de tentatives devient de moins en moins valable puisque les cas où il y a &gt;50 abonnés sur une même IPv4 devient de plus en plus courant, bloquer les IP ayant une mauvaise réputation bloquera tous les VPN.<br /> Les Captcha permettent de ralentir ce genre d’attaques, et peut être ajouter un cookie spécial lors d’une auth réussie et permet de gérer les appareils de confiance. Ce forum implémente par ailleurs cette fonctionnalité.
MattS32
Ça dépend aussi de la fonction de hashage utilisée pour hasher le mot de passe…<br /> Les bonnes pratiques actuelles, c’est d’utiliser des fonctions de hashage comme bcrypt, scrypt ou pbkdf avec plusieurs itérations successives, pour augmenter la durée nécessaire à chaque test.<br /> Par exemple, avec un bcrypt configuré pour 10 « tours » (2^10 itérations), le hash d’un mot de passe sur mon PC prend environ 50ms. Ce qui fait que même hors ligne, un attaquant ne pourra pas tester plus de 20 mots de passer par seconde avec un CPU équivalent.<br /> Bien sûr, ça ralenti le temps de connexion pour l’utilisateur, puisque la vérification du mot de passe saisi prendra aussi 50ms. Mais en pratique 50ms de temps de traitement, c’est invisible pour l’utilisateur.<br /> Par contre ça augmente la charge CPU, surtout sur les services où il y a souvent des connexions par mot de passe (par exemple les banques, qui ne permettent pas de conserver l’authentification plusieurs jours ou semaines via un cookie).<br /> octokitty:<br /> Et toutes les méthodes de bloquage de l’attaque par force brute induisent des inconvénients à l’utilisateur.<br /> Non, pas nécessairement. L’utilisation d’algorithmes lents, comme je le décris juste au-dessus, est sans impact notable pour l’utilisateur, tout en étant très efficace contre le brute force.<br /> Par exemple, si le serveur met 50 ms à valider un mot de passe, l’exemple le plus rapide de la news, qui tombe en 3.7 semaines sur une attaque à distance, il se met à résister 3 ans…
Nmut
Oui, il faudrait préciser pour un mdp sur une archive ou tout autre truc accessible en direct (base de mots de passes), j’espère que tous les serveur du monde bloquent au moins temporairement après 3 essais, ce qui est en général admis comme la protection la plus élémentaire (même moi je connais, c’est dire! ).
Asakha1
Le plus «simple» pour un site web, c’est de limiter les tentatives à 1 fois par seconde, puis incrémenter le temps à chaque erreur. Même un NIP à 4 chiffres va prendre près de 3 heures à 1 essai par seconde. Si on double le délai à chaque mauvaise tentative, après 3 heures, le «pirate» n’en sera qu’à son 14e essai sur les 10 000 combinaisons possible !
MattS32
en utilisant des serveurs ou des ordinateurs de bureau très puissants (100 milliards de suppositions par seconde) ;<br /> en passant par des clusters ou des grilles de calcul parallèles (100 billions de suppositions par seconde).<br /> Le nombre de combinaisons testées par seconde en local me parait largement surévalué… Une RTX 3080 sur du SHA256, c’est de l’ordre de 100 millions de hash par seconde, donc pour taper du 100 milliards par seconde, c’est pas juste « des serveurs ou des ordinateurs de bureau très puissants », c’est déjà un bon gros cluster de quelques centaines de grosses machines pour avoir l’équivalent d’un millier de RTX 3080…<br /> Quand aux 100 billions de hash par seconde, c’est l’équivalent de 1 million de RTX 3080… C’est pas le premier cluster ou grille de calcul venu…
MattS32
Nmut:<br /> j’espère que tous les serveur du monde bloquent au moins temporairement après 3 essais, ce qui est en général admis comme la protection la plus élémentaire<br /> Asakha1:<br /> Le plus «simple» pour un site web, c’est de limiter les tentatives à 1 fois par seconde, puis incrémenter le temps à chaque erreur<br /> Aujourd’hui, à part pour des trucs nécessitant vraiment une très forte sécurité (données confidentielles d’entreprise, banques…), c’est plutôt considéré comme une mauvaise pratique de limiter le nombre d’essais ou d’accroître exponentiellement le temps de validation.<br /> Car non seulement ça permet à un attaquant de bloquer facilement un utilisateur légitime, puisqu’il suffit de provoquer quelques échecs et l’utilisateur légitime se retrouvera face à un compte bloqué ou un temps d’attente excessivement long, mais en plus ça n’est d’absolument aucune efficacité en cas de vol de la base de données.<br /> La bonne pratique, c’est vraiment de jouer sur le temps de réponse, soit artificiellement, en ajoutant des petits temps d’attente dans le processus de validation (aucun impact sur la charge CPU du serveur, mais par contre ça ne protège que sur une attaque distante, pas en cas de vol de la base de données), soit en jouant sur la complexité de l’algorithme de hash (impact sur la charge CPU, mais augmente la résistance à un vol de données).<br /> Ainsi une attaque est sans impact sur l’utilisateur légitime.
luck61
N’importe quoi … il suffit juste de mettre un ban d’ip ou un blocage de compte pendant 24h avec 5 tentatives et il n’y a plus de problème…ça n’existe plus les sites ou tu peux faire des millions de requêtes pour trouver un mot de passe en force brute…c’est pour ça que les hackers sont à fond dans le phising, il demande carrément le mot de passe a l’utilisateur
MattS32
luck61:<br /> il suffit juste de mettre un ban d’ip ou un blocage de compte pendant 24h avec 5 tentatives et il n’y a plus de problème<br /> Sauf en cas de fuite de données…<br /> Et en faisant ça, tu peux aussi te retrouver à bloquer des utilisateurs légitimes :<br /> ceux qui partagent la même IP publique que l’attaquant (rappel : tous les réseaux mobiles ou presque sont des réseaux privés, l’ensemble des abonnés accèdent à Internet via une poignée de passerelles et partagent donc la même IP publique),<br /> le propriétaire du compte attaqué se retrouve bloqué (ce qui du coup peut en fait constituer une forme d’attaque pour empêcher quelqu’un d’utiliser son compte)<br /> Bref, c’est vraiment pas une bonne technique…<br /> Une bonne protection, c’est un algo de hash lent + un peu de contraintes sur la taille/complexité du mot de passe (mais pas trop… les sites qui te demande 12 caractères, venant de 6 groupes différents, c’est contre-productif).
clockover
Sur nos solutions c’est un X d’échecs =&gt; verrou + notification.<br /> Comme ça l’utilisateur est informé (il sait en général si c’est lui qui a tenté qq chose)
Nymoi
Ce sont des chiffres pour trouver ou pour aller jusqu’au bout des possibilités ?
MattS32
Pour aller jusqu’au bout des possibilités. C’est donc le temps maximum pour trouver (modulo le fait qu’ils surestiment largement la puissance des machines, d’un bon facteur 100…).<br /> Statistiquement, si on considère une pure force brute, sans la moindre « intelligence » pour privilégier des combinaisons plus probables que d’autres, le temps minimum est 0 et le temps moyen est la moitié du temps max.
Fitz557
Voilà. Il suffit que le site ne permette qu’une tentative toutes les trois secondes pour qu’il n’y ait aucune chance de trouver le mot de passe comme ça.
MattS32
J’insite : il faut que l’algorithme de hash prenne du temps.<br /> Si la temporisation n’est que au niveau du site, ça ne vaut rien en cas de fuite des hash.
Krimog
Via l’interface de connexion, comme dit plus haut, il suffit de bloquer le compte au bout de quelques essais (même pendant juste quelques minutes) et ça devient impossible à bruteforcer. (On peut juste essayer de le deviner sur quelques essais). Si le site ne bloque pas, c’est de la faute du site.<br /> Si les mots de passes sont enregistrés en clair dans la base de données<br /> Il faut que le hacker ait accès à la base contenant les mots de passe<br /> Si le hacker y a accès, c’est la faute du site. Et peu importe la complexité du mot de passe, le hacker le verra tout de suite.<br /> Si les mots de passes sont enregistrés chiffrés dans la base de données<br /> Il faut que le hacker ait accès à la base contenant les mots de passe<br /> Il faut que le hacker ait accès à la configuration.<br /> Si le hacker y a accès, c’est la faute du site. Et peu importe la complexité du mot de passe, le hacker le verra tout de suite.<br /> Si les mots de passes sont salés puis hashés<br /> Il faut que le hacker ait accès à la base contenant les hash<br /> Il faut que le hacker ait accès au code pour savoir comment est salé le hash<br /> Il faut que le hacker ait accès au sel<br /> Si le hacker a accès à ces données, c’est la faute du site. Et ce n’est qu’à partir de ce moment là que la longueur du mot de passe joue. Et même pas les caractères utilisés : le hacker n’a pas moyen de savoir si le mot de passe est composé de chiffres, de lettres, de majuscules et/ou de symboles. Seule la longueur compte.<br /> Si un mot de passe est facilement devinable (« motdepasse », « azerty », « 123456 », sa date de naissance…), la faute est du côté de l’utilisateur. Dans TOUS les autres cas, la faute est du côté du site.
PsykotropyK
Tout ça c’est bien bullshit désolé. Vous faites un calcul en force brute alors qu’il n’existe aucune plateforme qui laisserait faire de la force brute.
Sabrewolf
Clairement déjà avec 2/3 tentatives manqué, il bloque ton compte, il brule ta vie et il faut jurer allégeance et obéissance pour espérer pouvoir un jour retrouver le droit de tenter à nouveau de taper un mot de passe, alors 1000 essais, c’est pas gagné
Voir tous les messages sur le forum

Derniers actualités

L'Intel Core i9-13900K Raptor Lake domine la concurrence sur Ashes of the Singularity
La publicité arrive sur Disney+ via un nouvel abonnement (et le prix fait mal)
Le LattePanda 3 Delta disponible hors Kickstarter : un
Pour gagner en stockage en ligne, cette offre signée pCloud est idéale
La mémoire Micron GDDR6X à 24 Gbps entre en production de masse
La DDR5-6000
Stadia permet à ses joueurs de streamer un jeu en petit comité
Cet ancien employé de Twitter espionnait les utilisateurs pour le compte de l'Arabie saoudite
Cyberharcèlement : en Europe, les parents protègent moins leurs enfants que dans le reste du monde
Apple déploie la 3e bêta publique d'iOS 16, d'iPadOS 16 et de macOS Ventura
Haut de page