Quelques heures seulement pour pirater un mot de passe par force brute : les RTX 4090 font des ravages

Nathan Le Gohlisse
Spécialiste Hardware
20 octobre 2022 à 15h15
47
© Nerces pour Clubic
© Nerces pour Clubic

La GeForce RTX 4090 est capable de merveilles pour craquer facilement des identifiants. C'est ce que révèle un analyste en sécurité. Il a testé la nouvelle carte graphique premium de NVIDIA sur un benchmark, ce qui lui a permis d'estimer son efficacité lorsqu'il s'agit de pirater un mot de passe par force brute.

Analyste en sécurité à Austin (Texas), Sam Croley est aussi le développeur à l'origine de Hashcat, un outil de récupération de mots de passe avancé. Il sert également de benchmark pour estimer l'efficacité de composants en piratage de mots de passe par force brute. Et en ce qui concerne la RTX 4090, le constat est sans appel : elle est en la matière deux fois plus efficace que la RTX 3090 avant elle. Une estimation logique, si l'on en croit d'autres benchmarks.

La RTX 4090 trop efficace pour faire le mal ?

Au travers d'un échange sur Twitter, Sam Croley en dit un peu plus sur ses expérimentations avec la RTX 4090 en matière de sécurité. D'après lui, la dernière carte de NVIDIA a besoin de seulement un peu plus de 6 heures pour casser en force brute un mot de passe de 8 caractères comprenant des chiffres, des majuscules, des minuscules et des symboles. Cette estimation peut même être largement réduite si l'on couple plusieurs RTX 4090.

Plus impressionnant encore, placée entre de mauvaises mains, la RTX 4090 est visiblement capable de se mesurer à des protocoles d'authentification tels que le NTLM (New Technology LAN Manager) de Microsoft ou la fonction de hachage de mots de passe Bcrypt, souligne WCCFTech. Une efficacité préoccupante. Heureusement, le prix de la RTX 4090 pourrait à lui seul dissuader plus d'un pirate de s'en payer les faveurs : comptez plus de 2 000 euros en France pour l'acquérir.

La double authentification plus pertinente que jamais

S'il est évident que seuls les groupes de hackers les mieux financés et les plus déterminés achèteront une ou plusieurs RTX 4090 pour craquer des identifiants en force brute, la montée en puissance progressive des GPU laisse entrevoir un futur où les mots de passe ne protègeront plus grand monde.

De quoi, entre autres, expliquer les efforts des géants de la tech pour accompagner le grand public vers des pratiques plus saines en matière de cybersécurité. Depuis plusieurs années, Apple, Google ou Microsoft (pour ne citer qu'eux) se sont en effet attelés à mettre en place des systèmes d'identification à deux facteurs et des outils pour générer des mot de passe toujours plus difficiles à craquer. Une aide tout ce qu'il y a de plus pertinente au regard des découvertes de Sam Croley.

Source : WCCFTech

Nathan Le Gohlisse

Nathan Le Gohlisse

Spécialiste Hardware

Spécialiste Hardware

Passionné de nouvelles technos, d'Histoire et de vieux Rock depuis tout jeune, je suis un PCiste ayant sombré corps et biens dans les délices de macOS. J'aime causer Tech et informatique sur le web, i...

Lire d'autres articles

Passionné de nouvelles technos, d'Histoire et de vieux Rock depuis tout jeune, je suis un PCiste ayant sombré corps et biens dans les délices de macOS. J'aime causer Tech et informatique sur le web, ici et ailleurs. N’hésitez pas à me retrouver sur Twitter !

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (47)

Emmanuel_Angulo
Après avoir subi les cryptos sur les séries 3000, on maintenant se taper la crise des mots de passe sur les 4000…
vbond007
OK, mais rajoutez un seul caractère et vous multipliez le temps par 95.<br /> Donc pour un mot de passe de 9 caractères parmi les 95 caractères de l’alphabet utilisé, cela nécessite 24 jours.<br /> Avec 10 caractères on est à plus de 6 ans etc…<br /> Donc la double auth est top, mais avoir un mot de passe robuste de plus de 10 caractères est déjà un bon départ (surtout pour ruiner les hackers qui voudraient investir dans plein de cartes graphiques à 2000€)
Doss
A titre de comparaison c’était combien avec un RTX 3090 ?
MattS32
Doss:<br /> A titre de comparaison c’était combien avec un RTX 3090 ?<br /> C’est dit dans l’article : « elle est en la matière deux fois plus efficace que la RTX 3090 avant elle ».<br /> Plus impressionnant encore, placée entre de mauvaises mains, la RTX 4090 est visiblement capable de se mesurer à […] la fonction de hachage de mots de passe Bcrypt, souligne WCCFTech.<br /> WCCFTech n’a rien compris. Certes, l’auteur de hashcat a testé la vitesse de la RTX 4090 pour casser du bcrypt. Mais avec une vitesse d’à peine 200 kh/s, on est loin d’avoir quelque chose de dangereux, et on peut difficilement dire que la carte peut se mesurer à cet algo de hash…<br /> À 200 kH/s, un bête mot de passe de 8 caractères alpha-numériques avec majuscules (soit 62 caractères possibles) résiste en moyenne… 17 ans.<br /> Alors oui, avec une 3090 il fallait 34 ans. Mais passer de 34 ans à 17 ans sur un bête alnum de 8 caractères, c’est vraiment pas dramatique… (rappel : chaque caractère supplémentaire multiplie cette durée par 62…)<br /> À noter qu’en plus, de par sa conception même, bcrypt est pensé pour avoir une complexité variable, que ses utilisateurs peuvent faire augmenter au fil du temps pour s’adapter à la hausse des performances : bcrypt s’utilise avec un nombre variable d’itérations, de sorte qu’on peut augmenter le nombre d’itérations au fil du temps pour conserver des hash de plus en plus dur à casser. Aujourd’hui, la plupart des libs implémentant bcrypt ont une complexité par défaut de 10 à 12, ce qui implique 1024 à 4096 itérations. Or là, les 200 kH/s, c’est avec une complexité de 5, seulement 32 itérations… Avec toujours 8 caractères alnum et une complexité à 10, on passe à 544 ans, à 12 on atteint 2176 ans… Par exemple, la valeur de complexité par défaut est à 10 dans PHP, c’est donc sans doute la valeur qui est utilisée pour l’écrasante majorité des sites utilisant ce langage.<br /> Bref, encore une information sensationnaliste alors qu’en réalité y a rien de bien nouveau ou de bien surprenant, juste l’évolution logique de la puissance de calcul disponible…
Jice06
2000€ c’est ridicule comme investissement pour les groupes mafieux ou des hacker pros. a ce prix là on peu coupler des dizaines de cartes si le jeux en vaut la chandelle.
kurasul
with your password, a brut force need<br /> 5 hundred quadrillion années<br /> good luck boys :-))))))))))))))
flonc
Article très intéressant. Cela met en perspective la difficulté croissante pour les humains d’utiliser des mots de passe.<br /> Ce qui est à retenir, c’est l’augmentation de la puissance. Le temps peut être très fortement diminué par l’utilisation de rainbow tables, la location de temps de calcul parallèle sur le cloud et d’un tas d’autres joyeusetés comme forcer l’utilisation d’ une majuscule, d’une minuscule et d’un caractère complexe qui diminue fortement l’entropie.<br /> Si on ajoute à ça la réutilisation des meme mots de passe, les transformations basiques de mots courants (o-&gt;0 etc), l’utilisation de pass phrase et les patterns communs (terminer ou commencer le mot de passe par . , ; ou !) , l’utilité de MFA est évidente.
Loposo
Où après 3 tentative il faut attendre x temps etc, ça me rappelle les gens qui s amusait a bloquer les smartphones. Bref le brut force fait pas tout
pinkfloyd
14 caractères pour spectres ( https://spectre.app/ )<br /> Comme dit précédément soit avec l’OTP sois avec un temps d’attente apres 3 tentatives, et le cassage par brut force est useless
TotO
Alors qu’il suffit d’imposer un délais (1s) entre chaque tentative…
MattS32
Beaucoup d’attaques par bruteforce se font sur des bases de données volées, pas en attaquant le service frontalement (de toute façon comme ça, même sans imposer un délai d’attente, la latence réseau empêche de faire un brute force efficace).
Nerva
Emmanuel Angulo, alors imaginez ce que ça va être avec la série 5000 !
Nerva
Et pour 32 caractères, chiffres, lettres (majuscules et minuscules) et caractères spéciaux, il lui faudrait combien de temps ?
leulapin
Le bruteforce s’attaque à l’algo, il n’agit pas comme un robot RPA
leulapin
C’est le principe des algos de chiffrement, tester une combinaison coûte pas mal d’opérations logiques. Il est par contre impossible d’y insérer un timer qui n’est pas un objet mathématique.
Jice06
pas besoin de faire des tentatives en ligne si on connait le hash on a tout son temps hors ligne
cracktonslip
Pour le web pourquoi ne pas mettre en place un truc qui fait que si tu te plante de mot de passe 3 fois tu es bloqué 5 minutes, 5 fois 1/4h et 10 fois blocage infini (et tu dois changer de mot de passe) ?
Than
Pour le moment on a surtout un max de 120 et quelques années. Faut quand même se presser, un peu.
MattS32
cracktonslip:<br /> Pour le web pourquoi ne pas mettre en place un truc qui fait que si tu te plante de mot de passe 3 fois tu es bloqué 5 minutes, 5 fois 1/4h et 10 fois blocage infini (et tu dois changer de mot de passe) ?<br /> Parce que ce genre de mesure ne sert à peu près à rien… si ce n’est de permettre à un attaquant de faire chier le monde en bloquant des comptes.<br /> En effet, faire un bruteforce directement sur le site web, c’est quasi impossible : la latence réseau est trop élevée pour que ça soit exploitable pour autre chose qu’une attaque par dictionnaire. Et pour contrer une attaque par dictionnaire, mieux vaut ralentir les calculs de hash et/ou bloquer les accès de l’attaquant (avec des outils « externes » comme fail2ban ou similaire) plutôt que le compte attaqué.<br /> Et face à une attaque sur des données volées, tous les mécanismes d’attente ou de blocage sont de fait inutiles, puisqu’ils ne s’appliquent pas dans ce cas.<br /> La seule solution pour contrer un bruteforce sur les données volées, c’est d’utiliser un algorithme « lent » pour le calcul des hash. Et c’est exactement le rôle de bcrypt.<br /> Parce que en pratique, si le serveur met 10ms à valider le mot de passe d’un utilisateur parce que tu as utilisé un algorithme lent, c’est pas gênant pour l’utilisateur, il ne s’en rendra même pas compte. Mais l’attaquant, qui attaque par dictionnaire via le web, il ne pourra déjà plus que tester 100 mots de passe par seconde (même un peu moins en ajoutant la latence du réseau). Et celui qui a volé les données, même avec une machine 100 000 fois plus rapide, il ne pourra tester qu’un million de mots de passe par seconde, ce qui reste beaucoup trop lent face à des mots de passe non courants (1M par seconde face à simplement 8 caractères alphanumériques, c’est de l’ordre de 3 ans en moyenne pour casser un mot de passe…).
odyssseus
Oui, au max environ 6 ans, mais rien ne dit qu’il ne tombera pas sur le bon mot de passe en 3 heures, en 1 semaine ou en 3 mois plutôt que 6 ans, non ?
MattS32
Ou même du premier coup… Mais là c’est une question de probabilité, la probabilité est extrêmement faible.<br /> Si il faut 6 ans max pour casser un mot de passe, la probabilité de le trouver en 3h, 1 semaine ou 3 mois est respectivement de ~1/17 500, ~1/300 et 1/24.<br /> Puis là les 6 ans c’est avec l’algo de NTLM, qui est vraiment léger aujourd’hui… Avec un bcrypt en configuration par défaut de PHP d’aujourd’hui, tu multiplies le temps par 48 millions (et donc tu divises par 48 millions les probabilités que j’ai données juste au-dessus)…
AlexScan
Je voulais savoir Matt où tu as vu 200KH/s ?<br /> Moi je lis 300GH/s …
Loposo
L’attaque par force brute est une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé. Il s’agit de tester, une à une, toutes les combinaisons possibles.<br /> Cette méthode est en général considérée comme la plus simple concevable. Elle permet de casser tout mot de passe en un temps fini indépendamment de la protection utilisée, mais le temps augmente avec la longueur du mot de passe. En théorie la complexité d’une attaque par force brute est une fonction exponentielle de la longueur du mot de passe, la rendant en principe impossible pour des mots de passe de longueur moyenne. En pratique des optimisations heuristiques peuvent donner des résultats dans des délais beaucoup plus courts.<br /> Donc on s’attaque pas a l’algo<br /> fr.wikipedia.org<br /> Attaque par force brute<br /> Pages pour les contributeurs déconnectés en savoir plus<br /> Sommaire<br /> déplacer vers la barre latérale<br /> masquer<br /> Cet article sur l'informatique doit être recyclé (juillet 2017).<br /> Une réorganisation et une clarification du contenu paraissent nécessaires. Améliorez-le, discutez des points à améliorer ou précisez les sections à recycler en utilisant {{section à recycler}}.<br />
MattS32
300 GH/s, c’est pour NTLM. 200 kH/s (184 même pour être précis), c’est pour bcrypt avec un coût à 5 (32 itérations).<br /> À partir du Tweet cité dans l’article, tu remontes au Tweet de départ du même auteur, et tu as un lien Gist vers le résultat détaillé pour plein d’algo de hash différents : Hashcat v6.2.6 benchmark on the Nvidia RTX 4090 · GitHub
LeChien
Il vaudrait mieux expliquer aux gens que le vrai problème de sécurité n’est pas (oui il faut un minimum on est d’accord) la c!OmpL3xit&amp; de leur mot de passe mais ce qu’ils en font… Tellement de mauvais usages ou de manque de précaution permettent de les récupérer sans devoir mettre à contribution la moindre carte graphique dans un calcul ou l’autre.<br /> Réponse à phishing<br /> Réemploi<br /> Logique unique de construction pour tous.<br /> Fichier texte sur le bureau (et pas que chez les vieux !)<br /> Bref.
pecore
Pourquoi les RTX se retrouvent elles toujours dans les mauvais couts ?<br /> Désolé, lapsus, …dans les mauvais coups.
Kriz4liD
Lorsqu’il dit 6h , c’est maximum 6h , si on parle d’une moyenne ça peut prendre moins de 3h !
vbond007
Bien sur. Là je comparais le temps pour faire l’ensemble des combinaisons comme expliqué dans l’article.<br /> Et pour compléter ce que tu dis, il faut alors parler d’une moyenne pour trouver un mot de passe d’une longueur donnée, et on peut supposer qu’en gros c’est le temps max divisé par 2. Donc 3 ans pour 10 caractères.
MattS32
Simplement parce que ce sont les plus puissantes pour ça à ce jour…<br /> Mais bon, c’est de toute façon un peu du sensationnalisme, une RTX 3090 mettait à peine deux fois plus de temps, et une 6950 XT trois fois plus, ce qui ne fait pas changer l’ordre de grandeur des temps de cassages (qui restent largement trop long face aux bonnes pratiques d’aujourd’hui).
bmustang
si 8 caractères il faut 6h, combien pour 25, des années !? on a donc de la marge et pas d’inquiétude à avoir
MattS32
Ça dépend comment c’est fait. La méthode classique aujourd’hui c’est d’avoir un sel aléatoire pour chaque hash, et du coup, le sel est stocké dans le hash, par exemple en utilisant le format MCF ou PHC, puisqu’il y en a besoin pour ensuite vérifier le hash.<br /> Voilà par exemple 3 hash d’un même mot de passe avec la fonction password_hash de PHP, le premier en imposant le sel, les deux autres en laissant password_hash tirer un sel aléatoire :<br /> $2y$10$012345678901234567890uHIlLXgSTdYTWM7ZF7pewbPCpXRHjYFa<br /> $2y$10$SGPegcCvoy.8RKPVvnP0EeGFD.58VCyBWWeokVeVKR9/LRkXjbXM2<br /> $2y$10$xbAW5sdbQOQWSDQqpQXSI.F8ym8BJFNdJIOXLAXcHj0N1wLrSomcK<br /> C’est ça qui est ensuite stocké en base. Pour vérifier le hash, il suffit d’appeler password_verify avec le mot de passe à vérifier et le hash, aucune autre info à fournir, parce que le hash est autoportant : $2y$10$ ça indique l’algorithme utilisé et ses paramètres (2y, c’est l’implémentation de bcrypt de PHP, 10 c’est la valeur de coût), ensuite, dans le cas de bcrypt, les 22 caractères suivants sont le sel (qui doit faire 22 caractères base64 exactement, si on met un sel plus court il le refuse, si on met un sel plus long il le tronque, si on met un sel contenant des caractères n’existant pas en base64 il le convertit en base 64 et garde les 22 premiers caractères résultats), et le reste c’est le « vrai » hash du mot de passe salé.<br /> Du coup, celui qui a réussi à voler la base de données, il a aussi les sels.<br /> Par contre, à moins d’avoir utilisé le même sel partout (ce qui serait une grosse ânerie… au point que dans PHP ils ont maintenant carrément retiré l’option sel de password_hash, ça génère d’office un sel aléatoire), et c’est là que le sel joue son rôle de complexification, même s’il est connu : le brute force doit être fait indépendamment sur chaque mot de passe de la base de données.<br /> Alors que s’il n’y a pas de sel ou un sel identique sur tous les mots de passe, le brute force peut s’appliquer à tous les mots de passe de la base en même temps.<br /> Pour que le sel empêche complètement le brute force, il faut que l’attaquant n’ait pas connaissance du sel. Ça peut se faire en ayant par exemple un sel qui est lui même calculé à partir du mot de passe, mais ça complexifie le code.<br /> Par exemple, en PHP, au lieu de faire simplement password_hash($pass) / password_verify($pass, $hash), tu peux faire password_hash($salted_pass) / password_verifiy($salted_pass, $hash) en calculant au préalable le mot de passe salé avec une autre méthode (par exemple, $salted_pass pourrait être un hash de mot de passe salé avec l’identifiant du compte). Là tu bloques effectivement le brute force… à condition que ton attaquant n’ait pas eu accès à ton code pour voir comment tu sales…
nap1805
"Heureusement, le prix de la RTX 4090 pourrait à lui seul dissuader plus d’un pirate de s’en payer les faveurs : comptez plus de 2 000 euros en France pour l’acquérir. "<br /> . Je ris…
AfricanJoker
C’est très bien le craquage par brutforce, mais c’est vraiment un truc de noob (sans être péjoratif et avec tout modestie) pour les systèmes de sécurité « non-réfléchis » et sans délai/limitation/lock/ban entre chaque essai.<br /> Ce qui devrait être la base dans un système informatique.<br /> On ne laisse pas une possibilité d’essais illimités quand on conçoit et met en place, un accès utilisateur « externe ».<br /> Le web est un gruyère depuis bien trop longtemps et l’exploitation par brutforce n’est plus réellement possible sur la plupart des grands acteurs depuis de nombreuses années.<br /> Il reste les millions de petits (oui, c’est là le problème en fait, pas qu’ils soient petits, mais le manque de connaissance par ces millions d’acteurs qui lancent des gruyères accessibles par brutforce)<br /> Avant même de dire (je cite un titre), « La double authentification plus pertinente que jamais », il y a la limitation à l’essai, le délai entre les tests, les algo lents du style bcrypt, le ban et un un « tas » d’éléments de sécurité « de base » comme le principe des captchas qui sont utilisés avant même que la double identification te serve réellement sur les « grands acteurs de type gafam ».<br /> Alors…<br /> Oui, cette carte est formidable par sa puissance de calcul.<br /> Oui, vous pourrez hasher des passwords, de l’md5 et etc comme ça vous chante, mais vous ne rentrerez pas davantage dans un système avec ce hashage supérieur qu’avec la carte précédente ou qu’une 1080…<br /> NB: le gars de hashcat est vraiment un type bien, je dis pas le contraire, c’est juste qu’il faut pas faire croire que n’importe qui ayant une 4090, ira dans les comptes gmail, hotmail et le top 100 des sites les plus visités, car ça, c’est de la véritable ânerie pour les ignorants !<br /> Un password de 4 caractères AVEC les garde-fous précédemment cité peut faire l’affaire sur n’importe quel site des gafam. (Attention, ce n’est pas à faire hein, mais c’est juste pour expliquer l’absurdité de la double authentification (qui rajoute une couche de sécurité et est utile, je ne dis pas le contraire), dont l’utilité est moindre vu que les acteurs implantant ce système ont généralement ces garde-fous !)<br /> À côté de ça, purée, les md5 vont en prendre un coup héhé, la puissance de calcul de ces cartes devient juste monstrueuse, c’est dingue.
promeneur001
@pinkfloyd<br /> J’utilise Spectre (anciennement masterpassword) depuis pas mal d’années.<br /> Malheureusement, il n’y a toujours pas une version pour Android capable de remplacer le service Samsung pour remplir les id et mdp.<br /> Ils y travaillent dans le cadre de la nouvelle mouture spectre. Résultat, je l’utilise uniquement comme générateur de mots de passe.<br /> En plus c’est lourdingue, car pas de synchro entre les versions desktop et Android !
ld9474
Sincèrement un pirate a plus vite fait des récupérer une des nombreuses bases qui trainent encore avec des mdp en clair… Comme beaucoup de gens utilisent le même login(email) et le même mdp, ils ont accès à peu près à tout.<br /> J’ai du faire un projet de migration il y a quelques années. On nous a passé une base client MySQL avec les mails et mot de passe. Dans 90% des cas, j’ai pu me connecter à la boite mail. A partir de là, vous pouvez récupérer énormément d’infos et vous pouvez vous connecter à peu près partout.<br /> Depuis il y a le MFA et j’invite tout le monde à l’activer au moins sur sa messagerie (globalement toutes le propose aujourd’hui) même si c’est un peu pénible au quotidien.
MattS32
Nymoi:<br /> Bon et puis tant d’années pour tel mot de passe, c’est si le crackage est obligé d’aller jusqu’à la fin de toutes les possibilités testées. Mais s’il le trouve avant d’avoir terminé ?<br /> Il faut 0 seconde minimum (si par hasard il démarre directement avec le bon), x maximum, x/2 en moyenne.
MattS32
Oli1:<br /> Le concept de Spectre à l’air intéressant, mais il me semble que je vois une faille : si l’on veut changer le mot de passe d’un site web en particulier, il faut alors se souvenir de deux « secrets » au minimum ?<br /> Yep, c’est la limite de leur approche 0 stockage.<br /> Autre problème, sur certains sites, l’identifiant n’est pas trivial non plus, et il manque donc un moyen de le stocker quelque part.<br /> Et ça ne gère pas non plus les règles de complexité des mots de passe…<br /> Perso je me suis fait une appli web pour générer mes mots de passe, sur le même principe que Spectre, mais je stocke quand même quelques infos, l’identifiant, le nom du site (qui servent en entrée de ma méthode de génération), le format du mot de passe (longueur, classes de caractères autorisées, classes de caractères obligatoires) et un incrément qui me permet de changer le mot de passe pour un site.<br /> Il n’y a que le mot de passe maître que je ne stocke pas. C’est suffisant pour empêcher toute génération en cas de vol de ma base de données.
StephaneGotcha
Un peu vague et sur plusieurs aspect ce titre je trouve.<br /> Du force-brut, c’est évidemment que sur du soft local, aucun compte web laisserait faire ça.<br /> Mais même en local, ya forcement des latences extrêmement supérieur au niveau de la tentative de connexion plutôt qu’au niveau de la génération du MPD?!<br /> Un mot de passe de 4 chiffres c’est pas un mot de passe de 10 caractères (avec casses et spéciaux)<br /> Je suppose qu’on évoque les temps pour générer toutes les combinaisons, donc que la dernière soit la bonne ce qui assurément n’arrive jamais.<br /> Mais surtout, nul part a l’intérieur de l’article on parle de casser un MDP en moins d’1h !<br /> C’est quoi cet URL ? (moins d’une heure)
MattS32
StephaneGotcha:<br /> Mais même en local, ya forcement des latences extrêmement supérieur au niveau de la tentative de connexion plutôt qu’au niveau de la génération du MPD?!<br /> Il ne s’agit pas du temps que met la carte à générer les mots de passe, mais bien le temps qu’elle met à générer les hash NTLM des mots de passe.<br /> Donc c’est effectivement le temps qu’il lui faut pour cracker un mot de passe NTLM dont on connait le hash (suite par exemple à une intrusion dans un système qui stockait ce hash).<br /> StephaneGotcha:<br /> Mais surtout, nul part a l’intérieur de l’article on parle de casser un MDP en moins d’1h !<br /> C’est quoi cet URL ? (moins d’une heure)<br /> Sensationnalisme <br /> Mais avec quand même un petit fond de vérité : comme la carte peut tester tous les mots de passe NTLM de 8 caractères en 6 heures, il y a statistiquement 1 chance sur 6 qu’elle casse un mot de passe NTLM donné en moins d’1h.
cracktonslip
Merci pour cet éclaircissement
3615Buck
@kurasul<br /> En le testant, tu viens de confier ton mot de passe à un site dont tu ne sais rien…<br /> Ils n’ont même plus besoin de le cracker.
MattS32
3615Buck:<br /> En le testant, tu viens de confier ton mot de passe à un site dont tu ne sais rien…<br /> Ils n’ont même plus besoin de le cracker.<br /> Tu ne sais pas quel service de test de résistance il a utilisé. La plupart font le test intégralement en local sur ta machine (c’est vraiment pas compliqué comme test, soit tu fais un bête calcul d’entropie du mot de passe, soit tu fais une analyse un peu plus poussée pour déterminer un ensemble de classes de caractères utilisés, dans les deux cas ça tient en quelques lignes de Javascript), sans transmettre le mot de passe au serveur.
kurasul
Sais tu au moins si le mot de passe que j ai tester est sur internet ou en interne ou encore celui d’une base de gestion de mot de passe , pour ton information je change mes mots de passe tous les 30-60 jours via un generateur , mes mots de passe son généré sur 20 a 25 caractères et aucun n’ai identique que cela soit sur les sites internet ou interne.<br /> Donc bon courage
leulapin
Loposo:<br /> Donc on s’attaque pas a l’algo<br /> Effectivement tu as raison c’est un abus de langage de ma part, le bruteforce s’attaque au hashcode issu de l’algo mais pas à l’algo lui même.
promeneur001
J’ai du mal à comprendre ton problème. Il n’y a aucun secret à se rappeler sinon l’identifiant pour utiliser spectre. Une clé de cryptage est calculée entre autre à partir de l’identifiant.
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

On est vraiment plus serein en ligne grâce à l'excellente suite antivirus Norton 360 Deluxe On est vraiment plus serein en ligne grâce à l'excellente suite antivirus Norton 360 Deluxe
Découvrez comment votre carte SIM pourrait protéger vos données des hackers Découvrez comment votre carte SIM pourrait protéger vos données des hackers
Les attaques DDoS et par mot de passe, incidents les plus signalés entre 2018 et 2020 Les attaques DDoS et par mot de passe, incidents les plus signalés entre 2018 et 2020
GeForce RTX 4090 : énorme en taille, en poids, en prix... La carte de tous les excès ? GeForce RTX 4090 : énorme en taille, en poids, en prix... La carte de tous les excès ?