S'inscrire Se connecter

«

»

sept
09


Les mots de passe très longs sont désormais vulnérables

Avec Hashcat, les crackers disposent de trousseaux contenant des milliards de mots de passe...La meilleure façon de sécuriser un accès (messagerie, réseau social, e-commerce, site de paiement, etc.) consiste souvent à adopter un mot de passe très long, théoriquement plus difficile à cracker. Malheureusement, ce n'est plus forcément vrai : le logiciel Hashcat permet désormais de cracker des mots de passe longs de 55 caractères…

Sale temps pour la sécurité de nos comptes personnels en ligne : après avoir appris la semaine dernière que la NSA pouvait consulter nos données privées en dépit de tout chiffrement, on constate désormais que nos mots de passe les plus robustes peuvent être défaits par des logiciels de cracking, toujours plus performants. Pour la première fois, un logiciel (en l'occurence l'application gratuite ocl-Hashcat-plus) parvient à cracker un mot de passe long de 55 caractères ! Jusqu'à présent, les internautes les plus menacés étaient ceux qui utilisaient les pire mots de passe. Aujourd'hui, même les utilisateurs les plus avertis – ceux qui ne jurent que par des mots de passe longs comme le bras – peuvent trembler…

Pouvant reposer sur l'utilisation de plusieurs douzaines de cartes graphiques (utilisées pour leur puissance de calcul), le logiciel Hascat permettait jusqu'à récemment de "deviner" des mots de passe de 15 caractères ou moins. Mais depuis sa mise à jour de la rentrée, l'application peut cracker des mots de passe comprenant 55 caractères, voire même 64 dans des conditions optimales !

Les limites du cracking sans cesse repoussées

Les innovations en matière de "password cracking" sont permanentes : on invente soit de nouvelles techniques, soit de nouveaux moyens de mobiliser davantage de puissance de calcul. Souvent les deux à la fois d'ailleurs.

Le chercheur Yiannis Chrysanthou est par exemple parvenu à cracker le mot de passe "Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn1.", soit 52 caractères. Comme quoi, ce qui est important, ce n'est pas forcément la taille ! Il s'agit en effet d'une phrase d'une vieille fiction américaine (The Call of Cthulhu), écrite par l'écrivan H.P. Lovecraft. Des attaques traditionnelles par force brute ou par dictionnaire n'auraient pas permis de cracker un tel mot de passe. En revanche, cette "phrase" est inscrite dans un article Wikipedia, et donc dans une liste de cracking : le chercheur a pu cracker le mot de passe en seulement quelques minutes.

Les politiques de mots de passe prises à leur propre piège

Dans une entreprise ou sur certains services web, il est obligatoire de respecter certaines règles de sécurité lorsque l'on choisit un mot de passe (ex : compris entre 8 et 16 caractères, avec caractères spéciaux interdits). Or des logiciels sont spécialement conçus pour collecter automatiquement ces politiques  (dans un annuaire Active Directory par exemple) : ces précieuses informations servent ensuite à réduire les amplitudes et critères de recherche des logiciels de cracking, et ainsi à diminuer le temps nécessaire pour "deviner" un mot de passe.

La dernière version de ocl-Hashcat-plus intègre beaucoup de nouvelles fonctionnalités, qui fragilisent encore un peu plus nos mots de passe :

  • Prise en compte de très nombreuses applications de chiffrement (TrueCrypt, 1Password, Lastpass, l'algorithme SHA256, etc.)
  • Compatibilité avec un panel important de différentes cartes graphiques Nvidia et AMD

Concrètement, dans des conditions optimales, un utilisateur Hashcat peut tester 8 milliards de combinaisons par seconde. Avec un seul ordinateur muni de deux cartes graphiques AMD HD 6990, il peut traiter 223 000 mots de passe potentiels par seconde. Un rythme suffisant pour passer en revue les 14,3 millions de mots de passe contenus dans la célèbre base de données RockYou, en à peine 65 secondes.

Comment bien choisir son mot de passe ?

Si un nombre de caractères important suffisait jusqu'à présent à s'assurer une certaine sécurité, ce n'est désormais plus le cas. Pour être robuste, un mot de passe doit désormais être :

  • Assez long (moins de 15 caractères est particulièrement risqué)
  • Assez complexe, avec mélange de minuscules, majuscules, chiffres, caractères spéciaux
  • Vierge de toute suite logique ou de citation (livre, film, série, discours, etc.)

Bref, un mot de passe presque aléatoire, et donc un vrai challenge pour notre capacité humaine à mémoriser des codes abscons ! D'où l'intérêt de modifier régulièrement ses mots de passe, et d'opter pour une séconde sécurité (ex : double-authentification) quand cela est possible.

 

Source : arstechnica.com
Image : Flickr / plenty.r. / CC BY-SA 2.0

Ce contenu vous a intéressé ? Partagez-le !
  • Tweet

5 commentaires

  1. Guile a dit :

    il peut traiter 223 000 mots de passe potentiels par seconde. Un rythme suffisant pour passer en revue les 14,3 milliards de mots de passe contenus dans la célèbre base de données RockYou, en à peine 65 secondes.

    ==> Faux… 14.3Milliards / 223000 = environ 64000 secondes, soit presque 18h

    Bon, et merci le sensationnalisme : la nouvelle technique prend désormais en compte les phrases dans les dictionnaires…

    Technique possible pour faire un mot de passe difficile à trouver : se prendre une phrase assez longue, et y glisser des fautes. Ex :

    JeuSuisPreskSurQueSaVaEtreDiffissileATrouvais

    1. Panoptinet a dit :

      Au temps pour moi faute de frappe (corrigée depuis) : ce n'est pas milliard mais million.

      La technique évoquée va bien au-delà de l'attaque par dictionnaire, même si le principe reste le même : ce ne sont plus des mots ou de courtes expressions qui servent de référence, mais des citations entières.

      En revanche, effectivement, glisser des fautes ou des chaînes de caractères intercalaires rend les choses plus compliquées pour un logiciel de cracking. Sauf que tout le monde n'y pense pas forcément ;-)

  2. Les mots de passe très longs sont d&eacu... a dit :

    […] Vous pensez que votre messagerie est sécurisée parce que votre mot de passe est long comme le bras ? Les dernières innovations de cracking vont vous refroidir…  […]

  3. Linkin623 a dit :

    "Assez complexe, avec mélange de minuscules, majuscules, chiffres, caractères spéciaux "

    Idée reçue assez largement, qui met à mal nos cerveaux tout en ne complicant pas celui des ordinateurs ==> https://xkcd.com/936/

  4. Les mots de passe très longs sont d&eacu... a dit :

    […] La meilleure façon de sécuriser un accès (messagerie, réseau social, e-commerce, site de paiement, etc.) consiste souvent à adopter un mot de passe très long, théoriquement plus difficile à cracker. Malheureusement, ce n'est plus forcément vrai : le logiciel Hashcat permet désormais de cracker des mots de passe longs de 55 caractères… Sale temps pour la sécurité de nos comptes personnels en ligne : après avoir appris la semaine dernière que la NSA pouvait consulter nos données privées en dépit de tout chiffrement, on constate désormais que nos mots de passe les plus robustes peuvent être défaits par des logiciels de cracking, toujours plus performants. Pour la première fois, un logiciel (en l'occurence l'application gratuite ocl-Hashcat-plus) parvient à cracker un mot de passe long de 55 caractères ! Jusqu'à présent, les internautes les plus menacés étaient ceux qui utilisaient les pire mots de passe. Aujourd'hui, même les utilisateurs les plus avertis – ceux qui ne jurent que par des mots de passe longs comme le bras – peuvent trembler…  […]

Répondre à Panoptinet Annuler la réponse.

Votre adresse ne sera pas publiée.

Vous pouvez utiliser les balises HTML suivantes : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>