On savait que nos mots de passe n’étaient pas très performants, mais le chercheur Jeremi Gosney vient de démontrer à quel point ils étaient faibles, presque inutiles. La plupart d’entre eux en tout cas.
Au début de l’été, le site web de LinkedIn a été piraté, et 6,5 millions de mots de passe ont fuité. Le chercheur Jeremi Gosney a voulu les comparer aux 500 millions de mots de passe issus de piratages précédents. Mais eu lieu d’utiliser un simple ordinateur – capable de tester « seulement » 98 millions de possibilités par seconde – il a conjugué la puissance de calcul de 4 cartes graphiques : le chercheur est alors en mesure de tester 15,5 milliards de tentatives par seconde !
Ainsi, seules 30 secondes lui ont suffi pour déchiffrer 20% des mots de passe les moins sécurisés (linkedin, love, link, password, etc.) ! Comptez 2 heures supplémentaires pour cracker le tiers suivant, et une journée pour en déchiffrer 64%. Après 6 jours de travail, le chercheur a reconstitué en clair 90% des 6,5 millions de mots de passe !
Certains mots de passe contenant plus de 20 caractères, et donc a priori solides, ont eux aussi été déchiffrés. Leur point faible ? Il s’agissait de phrases issues de la Bible, de films ou de chansons. Or les dictionnaires de mots de passe (logiciels utilisés par les crackers) recensent non seulement des mots (traduits dans toutes les langues), mais aussi des phrases et expressions aux multiples origines.
La très grande majorité des gens utilise des mots de passe faibles, parce qu’elle ne comprend à quel point leurs accès sont menacés (Pourquoi nos mots de passes sont-ils nuls ?). C’est surtout qu’un utilisateur possède environ 25 comptes protégés par mot de passe (mail, réseaux sociaux, etc.), mais avec seulement 6,5 mots de passe différents, en moyenne !
Alors, tous à vos mots de passe !
Autres chiffres clé :
- Plus de 100 millions : nombre de mots de passe ayant fuité (publiés sur Internet publiquement) par an
- 47 : nombre d’années écoulées depuis la première base de données de mots de passe crackée
- 8,2 milliards : nombre de combinaisons de mots de passe par seconde pouvant être traitées par un seul PC, muni d’une carte graphique AMD Radeon HD7970
- 3 108 TeraOctets : capacité (espace disque) nécessaire pour stocker tous les mots de passe de 10 caractères (ou moins), en minuscules
- 167 GigaOctets : capacité (espace disque) nécessaire pour stocker une « rainbow table », capable d’exprimer 99,9% des combinaisons précédemment citées
Source : owni.fr
Image : Flickr / akashgoyal / CC BY-NC-SA 2.0
Aucun commentaire