IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les mots de passe Windows NTLM à 8 caractères peuvent être piratés en moins de 2,5 heures


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Consultant informatique
    Inscrit en
    avril 2018
    Messages
    1 548
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2018
    Messages : 1 548
    Points : 124 987
    Points
    124 987
    Par défaut Les mots de passe Windows NTLM à 8 caractères peuvent être piratés en moins de 2,5 heures
    Les mots de passe Windows NTLM à 8 caractères peuvent être piratés en moins de 2,5 heures
    Selon des chercheurs

    Le mot de passe, la fameuse suite de caractères que chacun de vous utilise quelque part sur Internet ou sur son ordinateur personnel ou encore sur son ordinateur de travail pour sécuriser l’accès à un compte, en particulier celui qui utilise 8 caractères, n’est plus sûr comme on le croit. Qu’il soit composé d’un mélange de chiffres, de caractères spéciaux, de lettres majuscules ou minuscules, des chercheurs affirment qu’il peut être craqué en moins de 2,5 heures.

    De nombreux sites Web et services conseillent d'utiliser un mot de passe d'au moins huit caractères avec un mélange de majuscules et de minuscules, chiffres et caractères spéciaux. C'est la norme pour les mots de passe depuis des années. Malheureusement, ce type de mot de passe soit disant « complexe » peut être piraté en quelques heures.

    Les chercheurs viennent d’y parvenir en utilisant HashCat, un outil de récupération de mot de passe open source, et ont pu montrer qu’il est possible de cracker un mot de passe Windows NTLM de huit caractères en moins de 2,5 heures, aussi peu de temps qu’on ne pouvait imaginer.

    Nom : Img.jpg
Affichages : 8399
Taille : 41,3 Ko

    La force d’un mot de passe est un facteur de la sécurité informatique qui prend de plus en plus de l’importance ces derniers temps où le nombre de comptes par personne explose. Mais malheureument, les utilisateurs n’y prêtent pas assez attention. Certains utilisent un même mot de passe pour tous leurs comptes. Une étude menée au Royaume-Uni en 2013 a démontré que 55 % des utilisateurs se servaient d’un même mot de passe, la plupart du temps « faible », pour se connecter à de multiples sites Internet.

    Au cours de la même année, Robert Siciliano de McAfee, a trouvé que ce chiffre établi par des chercheurs au Royaume-Uni doit être revu à la hausse. Selon lui, au moins 74 % des utilisateurs se serviraient du même mot de passe pour avoir accès à tous leurs services en ligne. Et le pire, c’est que ces mots de passe sont facilement cassables en utilisant une « attaque par dictionnaire ». Un classement des mots de passe les plus utilisés publié en janvier 2017, selon keeper, mettait en première place le mot de passe « 123456 », en seconde place « 123456789 » et en troisième place « azerty ».

    Le temps de piratage d’un mot de passe a considérablement diminué. En 2011, Steven Myer, chercheur en sécurité, a démontré qu'un mot de passe de huit caractères (53 bits) pouvait être forcé en 44 jours, ou en 14 secondes si vous utilisez un GPU et des tables arc-en-ciel - des tables pré-calculées pour inverser des fonctions de hachage. Et le développeur Jeff Atwood a affirmé en 2015 que la longueur moyenne des mots de passe était d'environ huit caractères, et rien n'indique que les choses aient beaucoup changé depuis lors.

    L'un des chercheurs en cybersécurité à l'origine de la découverte a posté sur Twitter le 14 février, les détails de la mise au point de leur système personnalisé de craquage de mots de passe. Ils ont utilisé une version bêta de HashCat 6.0.0, couplée à huit GPU Nvidia GTX 2080Ti dans une attaque hors ligne. Avec ce système construit à la main, les chercheurs ont pu dépasser le seuil de vitesse de piratage du NTLM qui était de 100 GH/s (gigahashes par seconde).

    « Les benchmarks actuels de craquage de mot de passe montrent que le mot de passe minimum de huit caractères, aussi complexe soit-il, peut être craqué en moins de 2,5 heures » en utilisant ce matériel, explique un hacker qui se fait appeler Tinker sur Twitter dans une conversation directe avec un site Web. « Le mot de passe à huit caractères est mort. », a-t-il dit dans un post sur Twitter.

    Nom : Capt001.png
Affichages : 8347
Taille : 74,1 Ko

    NTLM est un ancien protocole d'authentification Windows qui a depuis été remplacé. Cependant, Tinker affirme qu'il est toujours utilisé pour stocker les mots de passe Windows localement ou dans le fichier NTDS.dit dans Active Directory Domain Controllers.

    Lorsque Troy Hunt, chercheur en sécurité, a examiné la longueur minimale des mots de passe sur divers sites Web l'an dernier, il a constaté que si Google, Microsoft et Yahoo ont fixé la barre à huit caractères, Facebook, LinkedIn et Twitter n'en exigeaient que six. Selon Tinker, le mot de passe de huit caractères a été utilisé comme référence parce que c'est ce que de nombreuses organisations recommandent comme longueur minimale de mot de passe et que de nombreuses politiques informatiques d'entreprise reflètent cette orientation.

    « Parce que nous avons poussé l'idée d'utiliser la complexité (lettres majuscules, minuscules, chiffres et symboles), il est difficile pour les utilisateurs de se rappeler les mots de passe individuels, » a déclaré Tinker. « Cela amène, entre autres, les utilisateurs à choisir la longueur minimale autorisée, afin de pouvoir se souvenir de leur mot de passe complexe. En tant que tel, un grand pourcentage d'utilisateurs choisissent les exigences minimales de huit caractères. »

    Selon Tinker, un meilleur mot de passe serait constitué de cinq mots aléatoires (environ quatre ou cinq caractères chacun) enchaînés ensemble pour devenir un mot de passe de 20 caractères. Tinker recommande que le mieux est d'utiliser un gestionnaire de mots de passe fiable et de choisir la longueur maximale autorisée pour le mot de passe avec une authentification à deux facteurs activée.

    Nom : Capt002.png
Affichages : 7527
Taille : 54,7 Ko

    Par ailleurs, en mai 2013, à l’occasion de la « journée du mot de passe » de McAfee, Robert Siciliano a incité à utiliser des « passephrase » faciles à retenir, plutôt que des mots de passe compliqués et difficiles à retenir. En effet, selon lui, le secret d’un mot de passe fort ne réside pas dans sa complexité, mais dans sa longueur. Pour lui, une phrase comme « Je suis 1 élève de Terminale S » constituerait un excellent mot de passe.

    Source : India Times

    Et vous ?

    Que pensez-vous de ce nouveau temps établi pour craquer un mot de 8 caractères ?
    Utilisez-vous le nombre minimum de caractères recommandé pour vos mots de passe ou des passephrase ?
    Selon vous, pourquoi les gens n’aiment pas utiliser les longs mots de passe ?

    Lire aussi

    « Pirater des mots de passe est aujourd'hui à la portée de tous », un amateur explique comment faire et donne cinq débuts de parades
    Comment procédez-vous pour créer un mot de passe fort et facile à retenir ? McAfee propose des conseils pour sa « journée du mot de passe »
    Classement des mots de passe les plus utilisés : 123456 en tête suivi de 123456789 et qwerty, quels sont selon vous les pires mots de passe à bannir ?
    Les pires mots de passe 2018 : « 123456 » trône en tête du classement pour la cinquième année consécutive, et est suivi par « password » comme en 2017
    Le changement fréquent de mot de passe pourrait rendre les systèmes moins sécurisés, contrairement à ce que l'on croit, révèlent des études
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éprouvé Avatar de Etre_Libre
    Profil pro
    Inscrit en
    juillet 2010
    Messages
    749
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juillet 2010
    Messages : 749
    Points : 999
    Points
    999
    Par défaut
    Pour Windows NTLM (obsolète) il faut donc un accès local à la machine, non ?

  3. #3
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    décembre 2011
    Messages
    9 014
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 9 014
    Points : 22 976
    Points
    22 976
    Par défaut
    Citation Envoyé par Stan Adkens Voir le message
    « Le mot de passe à huit caractères est mort. », a-t-il dit dans un post sur Twitter.
    Heu… il a juste quelques années de retard.

    Cela fait un bout de temps que les recommandations sont passées à 10, voire 12, caractères.
    Justement parce qu'on arrivait facilement à casser des mots de passes à 8 caractères (on donne généralement ~1h pour le casser).

    Ensuite, la longueur du mot de passe ne sert à rien.
    Ce qu'il faut, c'est qu'il soit le plus imprédictible possible, i.e. qu'en sachant comment il a été construit, avec les biais potentiels à sa construction, il faille tester un nombre trop important de possibilités afin de pouvoir le retrouver dans un temps "raisonnable".


    Un mot de passe complexe n'est pas vraiment un problème, le problème, c'est surtout de ne pas réutiliser ses mots de passes et de les retenir sans les écrire sur un post-it.
    Pour cela, un gestionnaire de mot de passe est des plus approprié, et permet de générer des mots de passes sans aucune limitation, e.g. 32 voire 64 caractères totalement aléatoires. Il ne suffit alors plus que d'apprendre un seul mot de passe maître, qui peut se permettre d'être compliqué. On peut aussi le coupler avec un outil matériel, e.g. une Yubikey (mieux vaut en avoir une de secours au cas où).

  4. #4
    Membre expert

    Profil pro
    activité : oui
    Inscrit en
    janvier 2014
    Messages
    1 164
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : activité : oui

    Informations forums :
    Inscription : janvier 2014
    Messages : 1 164
    Points : 3 066
    Points
    3 066
    Par défaut
    Si Facebook et consort permettent un mdp de 6 caractères, c'est parce qu'ils bloquent les nouvelles tentative pendant un certain délais après un seuil de mdp erronés, contrairement au crackage de mdp d'une archive zip... ce qui augmente considérablement le temps de force brute ou par dictionnaire pour cracker un mdp FB par rapport à un soft ou un fichier local.
    Ensuite, les abus de mot de passes sont majoritairement (de ce que j'ai pu lire) en provenance de fuite tierce --> accès à son carnet de mot de passe, de son fichier qui les regroupe, espionné la saisie sur le clavier, déduit par des données socio-comportementales + recoupement, abus de confiance, commérage... et plutôt que de les cracker par force brute, c'est le serveur qui contient la base des mdp qui est cracké, puis revendu, exposé, etc.
    Pensez à utiliser les pouces d’appréciation, pour participer à la visibilité de l'apport d'un propos, ou l'intérêt que vous y prêtez... qu'il soit positif ou négatif.

  5. #5
    Membre éprouvé Avatar de Etre_Libre
    Profil pro
    Inscrit en
    juillet 2010
    Messages
    749
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juillet 2010
    Messages : 749
    Points : 999
    Points
    999
    Par défaut
    Citation Envoyé par Steinvikel Voir le message
    Si Facebook et consort permettent un mdp de 6 caractères, c'est parce qu'ils bloquent les nouvelles tentative pendant un certain délais après un seuil de mdp erronés, contrairement au crackage de mdp d'une archive zip... ce qui augmente considérablement le temps de force brute ou par dictionnaire pour cracker un mdp FB par rapport à un soft ou un fichier local.
    Ensuite, les abus de mot de passes sont majoritairement (de ce que j'ai pu lire) en provenance de fuite tierce --> accès à son carnet de mot de passe, de son fichier qui les regroupe, espionné la saisie sur le clavier, déduit par des données socio-comportementales + recoupement, abus de confiance, commérage... et plutôt que de les cracker par force brute, c'est le serveur qui contient la base des mdp qui est cracké, puis revendu, exposé, etc.
    Merci ça confirme ce que je pensais : les crackages en ligne par brute force sont forcément rares, car si c'est bien paramétré ça bloque automatiquement avec x tentatives... ça limite déjà fortement cette pratique.

  6. #6
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    février 2010
    Messages
    615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : février 2010
    Messages : 615
    Points : 2 814
    Points
    2 814
    Par défaut
    Citation Envoyé par Etre_Libre Voir le message
    Pour Windows NTLM (obsolète) il faut donc un accès local à la machine, non ?
    La plupart du temps oui. L'article cite le cas où l'on a récupéré le NTDS.dit du contrôleur de domaine. Néanmoins, obsolète ne veut pas dire plus utilisé, on trouve toujours des systèmes plus ou moins anciens ou l'authentification NTLM n'a pas été désactivé. A ce moment là il y a divers moyens de se faire envoyer un hash NTLM.

    Citation Envoyé par Neckara Voir le message
    Heu… il a juste quelques années de retard.

    Cela fait un bout de temps que les recommandations sont passées à 10, voire 12, caractères.
    Justement parce qu'on arrivait facilement à casser des mots de passes à 8 caractères (on donne généralement ~1h pour le casser).
    Non, il démontre pour la première fois qu'il est aussi facile de casser un hash NTLM d'un password de 8 caractères. Les recommandations sont émises pour anticiper une situation qui risque fortement d'arriver. C'est comme par exemple l'obsolescence de MD5, elle a été décrété bien avant qu'on arrive concrètement à faire des collisions à la demande. Tu omet de plus de considérer le type de hash utilisé. On ne peut pas parler de mot de passe à 8 caractères en générale; il faut prendre en compte l'algorithme de hashage utilisé, certains nécessitant plus de puissance de calcul que d'autres et donc résistant mieux au bruteforce.

    Citation Envoyé par Neckara Voir le message
    Ensuite, la longueur du mot de passe ne sert à rien.

    Un mot de passe complexe n'est pas vraiment un problème
    As tu lu l'article?

    Par ailleurs, en mai 2013, à l’occasion de la « journée du mot de passe » de McAfee, Robert Siciliano a incité à utiliser des « passephrase » faciles à retenir, plutôt que des mots de passe compliqués et difficiles à retenir. En effet, selon lui, le secret d’un mot de passe fort ne réside pas dans sa complexité, mais dans sa longueur.
    L'article dit bien que l'optimal est un mot de passe très long, avec des composantes simple à retenir (avec l'exemple d'une suite de mots aléatoire). Lis les recommandations plutôt que d'en inventer au doigt mouillé.

    le problème c'est surtout de ne pas réutiliser ses mots de passes et de les retenir sans les écrire sur un post-it.
    Ne pas réutiliser les mots de passe effectivement, les écrire quelques part ça dépend. Autant dans le cadre professionnel il est totalement prohibé de noter des mots de passes, autant dans l'usage personnel c'est presque recommandable. En effet il est préférable d'établir des mots de passes forts et différents pour chaque site et de les noter pour ne pas les oublier, plutôt que de mettre le même mot de passe faible partout de peur de l'oublier. Je préconise un carnet qui reste chez soi tant que possible bien sur.

    L'usage d'un gestionnaire de mots de passe est bien plus efficace mais cela reste une solution techniques difficile à mettre en place pour tous les usagers.

    Citation Envoyé par Steinvikel Voir le message
    Si Facebook et consort permettent un mdp de 6 caractères, c'est parce qu'ils bloquent les nouvelles tentative pendant un certain délais après un seuil de mdp erronés, contrairement au crackage de mdp d'une archive zip...
    Citation Envoyé par Etre_Libre Voir le message
    Merci ça confirme ce que je pensais : les crackages en ligne par brute force sont forcément rares, car si c'est bien paramétré ça bloque automatiquement avec x tentatives... ça limite déjà fortement cette pratique.
    Le brute force en ligne a encore de beau jours.

    Pensez par exemple au bruteforce horizontal qui est souvent oublié, c'est à dire le fait de tester le même mot de passe (par exemple "123456") sur tous les comptes. C'est assez efficace encore aujourd'hui. Si effectivement Facebook permet un mot de passe de 6 caractères cela reste une très mauvaise pratique. Il est aussi possible d'utiliser un botnet pour faire du bruteforce en outrepassant les protection du type temps d'attente entre deux essaies ou pas plus de x tentative depuis une même machine.

    Un exemple récent, quelqu’un démontré qu'il était possible d'outrepasser les mesures anti bruteforce des cartes VISA sur le code à trois chiffres. Il a été démontré qu'en passant par un site marchand différent entre chaque essaie, aucune mesure anti bruteforce n'était déclanchée, et ainsi le chercheur arrivait à retrouver le code à trois chiffre de n'importe quel carte VISA. Cf: https://www.bleepingcomputer.com/new...brute-forcing/

    Citation Envoyé par Steinvikel Voir le message
    Ensuite, les abus de mot de passes sont majoritairement (de ce que j'ai pu lire) en provenance de fuite tierce --> accès à son carnet de mot de passe, de son fichier qui les regroupe, espionné la saisie sur le clavier, déduit par des données socio-comportementales + recoupement, abus de confiance, commérage... et plutôt que de les cracker par force brute, c'est le serveur qui contient la base des mdp qui est cracké, puis revendu, exposé, etc.
    Ce n'est pas ma vision des choses. La majorité des fuites sont dus à des bases de donnée volée contenant des mots de passes en claires ou des bases de donnée contenant des mots de passes chiffrés qui ont été cassés localement. Tu as raison sur la déduction par des données socio-comportementales, il est possible d'anticiper soit un lexique de mot utilisé (du type des marques de voitures pour un forum d'automobile), ou un format de mot de passe (mot de quelques lettres + une date). De plus chaque base de donnée récupérée permet d'enrichir les dictionnaires pour la prochaine...

  7. #7
    Membre averti
    Homme Profil pro
    Étudiant
    Inscrit en
    septembre 2013
    Messages
    124
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : septembre 2013
    Messages : 124
    Points : 415
    Points
    415
    Par défaut
    Citation Envoyé par benjani13 Voir le message

    L'usage d'un gestionnaire de mots de passe est bien plus efficace mais cela reste une solution techniques difficile à mettre en place pour tous les usagers.
    Je suis d'accord avec la majorité de ce que tu as dit sauf cela. Un gestionnaire de mot de passe n'est pas une solution technique difficile a utiliser ou mettre en place du moments que l'on maitrise la langue d'usage du logiciel ou que l'on sache se servir correctement d'un ordinateur. Effectivement ma grand mère trouverais sans doute cela fort compliqué, mais c'est parce qu'elle ne sais pas se servir de son ordinateur de bases sans une liste d'instruction. Le problème venant surtout de prendre l'habitude de l'utiliser systématiquement pour ses nouveaux mot de passes, et surtout de remplacer ses anciens mot de passes par des nouveaux généré pseudo-aléatoirement par le dit gestionnaire. Il permet en plus d'intégrer des rappelles si l'on veut les changer tous les X jours pour renforcer la sécurité des identifiants. Un gestionnaire de mot de passe est surtout fastidieux a utiliser les premières fois quand l'on a pas encore migré ses identifiants dessus, cela devient comme tout une habitude avec le temps.

  8. #8
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    décembre 2011
    Messages
    9 014
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 9 014
    Points : 22 976
    Points
    22 976
    Par défaut
    Citation Envoyé par benjani13 Voir le message
    Non, il démontre pour la première fois qu'il est aussi facile de casser un hash NTLM d'un password de 8 caractères. Les recommandations sont émises pour anticiper une situation qui risque fortement d'arriver. C'est comme par exemple l'obsolescence de MD5, elle a été décrété bien avant qu'on arrive concrètement à faire des collisions à la demande. Tu omet de plus de considérer le type de hash utilisé. On ne peut pas parler de mot de passe à 8 caractères en générale; il faut prendre en compte l'algorithme de hashage utilisé, certains nécessitant plus de puissance de calcul que d'autres et donc résistant mieux au bruteforce.
    De ce que je lis, le NTLM se base sur md4/md5. Or, oui, un mot de passe de 8 caractères md5, on le casse en 1h, et cela fait déjà quelques temps. De plus, l'article parle bien de la mort des mots de passes de 8 caractères, or, ils sont bel et bien déjà morts depuis quelques temps déjà.

    Pour les hashs nécessitant plus de puissances de calculs, e.g. bcrypt, cela reste une protection "linéaire", c'est à dire que l'attaquant devra faire plus d'efforts, proportionnellement aux efforts supplémentaires que tu feras. C'est un petit ajout de sécurité, mais on ne peut pas uniquement se baser dessus :
    • il ne faut pas que cela DoS l'ordinateur en charge de calculer le ou les hash (i.e. il y a une limite à la protection qu'on peut apporter) ;
    • on ne peut pas assumer que la puissance d'attaque des attaquants évolue linéairement par rapport à la puissance des utilisateurs, ce qui est d'autant plus vraie avec l'IoT dont la puissance de calcul peut être très limité ;
    • il faut aussi prendre en compte la vitesse des générateurs utilisés pour l'attaque, tant que la fonction de hash est plus rapide que le générateur, le surcoût consentit lors du hash n'apporte aucune sécurité supplémentaire ;
    • Pour un mot de passe cassé en 1h en temps normal, avec une protection linéaire, il faudrait consentir à un surcoût de un demi-million de fois pour ne pas être craqué en un an. Sachant qu'on recherche aussi à empêcher de paralléliser (ce que je ne prends pas en compte).


    Une protection linéaire ne sert à rien si tu n'as pas en premier lieu une bonne protection "exponentielle", i.e. que pour un surcoût linéaire, le coût de l'attaque augmente exponentiellement. Une protection linéaire ne sert qu'à gagner un petit "chouia" de sécurité supplémentaire, principalement parce qu'on ne sait pas faire mieux pour le moment.

    Citation Envoyé par benjani13 Voir le message
    L'article dit bien que l'optimal est un mot de passe très long, avec des composantes simple à retenir (avec l'exemple d'une suite de mots aléatoire). Lis les recommandations plutôt que d'en inventer au doigt mouillé.
    Ce que j'ai donné est la définition même d'un mot de passe "sûr".
    Ce qui compte après c'est la manière dont on va arriver à générer un tel mot de passe, avec parfois, la contrainte de pouvoir être mémorisable.

    Et oui, je persiste et signe, la longueur du mot de passe ça ne veut rien dire.
    Tu peux faire une passphrase avec 8 mots aléatoires, si ton dictionnaire n'a que 62 mots différents, ça sera bien moins sécure qu'un mot de passe de 8 caractères.

    Le dictionnaire français compte environ 10 000 mots, mais sont loin d'être équiprobables dans leur utilisation, les mots courants sont moins de 1 000. Ajouté à cela qu'on peut raffiner avec du Markov. Certaines passphrases, quelque soit leur longueurs, peuvent se faire retrouver plutôt facilement, e.g. s'ils sont issues de citations célèbres, ou du manque d'imagination de leur auteur (e.g. J'aime le foot et la bière !).

    Ce n'est pas parce qu'un mot de passe est long qu'il est sûr.


    De plus, la contrainte de mémorisation ne sert plus à rien une fois qu'on a un gestionnaire de mots de passes et qu'il n'y a plus qu'un seul mot de passe à retenir.

    Citation Envoyé par benjani13 Voir le message
    Ne pas réutiliser les mots de passe effectivement, les écrire quelques part ça dépend. Autant dans le cadre professionnel il est totalement prohibé de noter des mots de passes, autant dans l'usage personnel c'est presque recommandable. En effet il est préférable d'établir des mots de passes forts et différents pour chaque site et de les noter pour ne pas les oublier, plutôt que de mettre le même mot de passe faible partout de peur de l'oublier. Je préconise un carnet qui reste chez soi tant que possible bien sur.
    Qui parle de mettre le même mot de passe faible de partout ?

    Et c'est bien de noter tous tes mots de passes sur un petit carnet…
    Et tu fais quoi si te le perds ? Et tu fais quoi si on te le vole ?

    Un simple cambriolage, et le voleur gagne en plus tous tes identifiants bancaires, ainsi que tout ce qui pourrait lui servir à te faire chanter ?
    Un simple divorce, et ta moitié pourrait s'amuser avec tes identifiants.
    Ou tout simplement les gosses qui tomberaient sur ce carnet.

    Pourquoi ne pas mettre tes mots de passes en fond d'écran tant que tu y es ?

    EDIT: Pour peu que le carnet traîne 9 fois sur 10 à côté du clavier…

    Citation Envoyé par benjani13 Voir le message
    L'usage d'un gestionnaire de mots de passe est bien plus efficace mais cela reste une solution techniques difficile à mettre en place pour tous les usagers.
    La plupart des gestionnaires s'interfacent facilement avec les navigateurs, c'est totalement transparent.
    L'installation sous Windows, je ne suis même pas sûr que ce soit si compliqué que cela.



    Pour le reste je suis d'accord avec toi.

  9. #9
    Membre éprouvé
    Profil pro
    Inscrit en
    novembre 2009
    Messages
    491
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : novembre 2009
    Messages : 491
    Points : 1 139
    Points
    1 139
    Par défaut ?
    Cet article présente le fait d'avoir le même mot de passe pour plusieurs accès comme une faiblesse.
    Oui c'est un lieu commun depuis quelques années.
    Mais un autre article de developpez d'il y a quelque temps (je ne le retrouve pas) faisait état d'une étude sérieuse et à laquelle j'adhère: un seul mot de passe très puissant et retenu par coeur est bien meilleur qu'une multitude de mot de passe notés par-ci par-là.

  10. #10
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    décembre 2011
    Messages
    9 014
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 9 014
    Points : 22 976
    Points
    22 976
    Par défaut
    Citation Envoyé par frfancha Voir le message
    Mais un autre article de developpez d'il y a quelque temps (je ne le retrouve pas) faisait état d'une étude sérieuse et à laquelle j'adhère: un seul mot de passe très puissant et retenu par coeur est bien meilleur qu'une multitude de mot de passe notés par-ci par-là.
    Pas tout à fait, car tous les sites ne sont pas bons élèves en matière de sécurité.

    Certains sites peuvent stocker les mots de passes en clair, chiffrés, ou hashé avec une fonction obsolète.
    Ainsi, si l'un des sites vulnérable où tu utilises ton mot de passe est attaqué, l'attaquant pourra potentiellement accéder à tes autres comptes (e.g. en utilisant le même login/e-mail), ou en essayant ton mot de passe sur d'autres bases qui auront fuitées.


    Le problème n'est pas de dire que la peste est meilleure que le choléra, mais de ne pas avoir les deux.
    Pour le moment l'idéal reste le gestionnaire de mot de passe. On peut aussi se contenter de mots de passes différents par contextes (e.g. un mot de passe pro, un mot de passe réseaux sociaux, etc.), voire un mot de passe unique pour les comptes plus sensibles (e.g. banque), facilement mémorisables mais qui restent forts.

  11. #11
    Membre expert

    Profil pro
    activité : oui
    Inscrit en
    janvier 2014
    Messages
    1 164
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : activité : oui

    Informations forums :
    Inscription : janvier 2014
    Messages : 1 164
    Points : 3 066
    Points
    3 066
    Par défaut
    ...d'autres sites, de type associatif, les stockent en chiffré, mais les transmettent en clair --> *censuré* http://*******.forumactif.com/login

    Un seul mot de passe pour tout c'est trop centraliser... mais regroupé par thème ça devient très vite judicieux.
    Je conseil le gestionnaire de mots de passe à travers le navigateur internet pour les non-informaticiens mal-aisant... quand le PC clasme, je copie le profile Firefox et la nouvelle machine retrouve toutes ces infos de login.
    Pour les autres logiciels, c'est plus compliqué. Et il faut savoir que les gestionnaires de mots de passe sont resté jusque tout récemment, non chiffré ou peu (mal) chiffré, je suis aujourd'hui encore suspicieux sur les licences non libres.
    Pensez à utiliser les pouces d’appréciation, pour participer à la visibilité de l'apport d'un propos, ou l'intérêt que vous y prêtez... qu'il soit positif ou négatif.

  12. #12
    Membre extrêmement actif Avatar de darklinux
    Profil pro
    Consultant en technologies
    Inscrit en
    novembre 2005
    Messages
    539
    Détails du profil
    Informations personnelles :
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Consultant en technologies
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2005
    Messages : 539
    Points : 875
    Points
    875
    Par défaut
    C 'est un gros soucis , je savais que le NTLM était percé , mais pas à ce point et puis avec e la puissance relativement " bon marché " c 'est très inquiétant

  13. #13
    Membre actif Avatar de pascaldm
    Profil pro
    Expert sécurité informatique
    Inscrit en
    février 2013
    Messages
    48
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Expert sécurité informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : février 2013
    Messages : 48
    Points : 219
    Points
    219
    Par défaut
    Citation Envoyé par Neckara Voir le message
    Ensuite, la longueur du mot de passe ne sert à rien.
    Le principal critère de robustesse d'un mot de passe est sa taille (son entropie). A condition qu'il ne s'agisse pas d'un mot d'un dictionnaire. La complexité (ou pseudo complexité) est secondaire, surtout lorsqu'il s'agit d'un mot de passe dont la politique de sécurité est connue. L'utilisateur à la fâcheuse habitude de suivre cette politique à la lettre. Ainsi, si l'administrateur exige un mot de passe de 10 caractères avec comme exigence au moins 1 Majuscule, 1 minuscule, 1 caractère spécial et 1 nombre, les études statistiques sur le format du mot de passe annonce que +80% des utilisateurs utiliseront la forme M{m,7}SN ou M=Majuscule, m=minuscule, S=Special N=nombre.

    L'utilisateur constitue son mot de passe dans l'ordre des consignes données. Un cluster de GPU, un bon dictionnaire et une règle de mutation suivant ce format casseront sans difficulté de nombreux mots de passe conformes à ce modèle. C'est une réalité de chaque mission incluant un cassage de mots de passe. Aujourd'hui, se munir d'un cluster de 3 à 8 GPU grand public (1080 TI ou 20120 Ti) est à la portée de beaucoup de monde... Les RIG pour la crypto-monnaies sont passées par là.

    La principale robustesse est la longueur du mot de passe (toujours dépasser la taille minimale). Ensuite, ne jamais suivre le format de l'énoncé. La suite de mots évoquée dans l'article est à proscrire malgré que cela aboutisse à de longs mots de passe. En effet, si l'attaquant a connaissance de cette pratique, de récentes études ont démontré que l'attaque consiste en une combinaison de 4/5 mots. L'alphabet de symboles n'est plus le caractère mais le mot. Bien que l'espace de mots soit bien supérieur à celui des caractère (95 symboles pour les contrées à base d'alphabet latin/grec), le nombre de symboles du mot de passe est très limité. C'est contre-intuitif, mais la longueur est ici de 4 ou 5 symboles seulement. Une succession de mots doit utiliser d'autres caractères pour ajouter de la complexité ou bien choisir une suite de mots bien plus longue...

  14. #14
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    décembre 2011
    Messages
    9 014
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 9 014
    Points : 22 976
    Points
    22 976
    Par défaut
    Citation Envoyé par pascaldm Voir le message
    Le principal critère de robustesse d'un mot de passe est sa taille (son entropie).
    La longueur n'est pas synonyme d'entropie.

    aaaaaaaaaaaaaaaaaa est un mot de passe assez long, mais avec une entropie très faible.

    Citation Envoyé par pascaldm Voir le message
    La complexité (ou pseudo complexité) est secondaire, surtout lorsqu'il s'agit d'un mot de passe dont la politique de sécurité est connue.
    Cela dépend ce que tu entends par "complexe".
    Ici tu sembles l'entendre au sens de "contraint", i.e. suivant une politique de sécurité donnée comportant de nombreuses consignes.

    Citation Envoyé par pascaldm Voir le message
    La principale robustesse est la longueur du mot de passe (toujours dépasser la taille minimale).
    Respecter une longueur minimale est nécessaire mais pas suffisant, je ne suis ainsi pas d'accord pour l'appeler "principale robustesse".

    Je préfère revenir à la base : le nombre de possibilité, sachant la manière dont a été construit le mot de passe, et connaissant les différents biais de créations.

  15. #15
    Membre actif Avatar de pascaldm
    Profil pro
    Expert sécurité informatique
    Inscrit en
    février 2013
    Messages
    48
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Expert sécurité informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : février 2013
    Messages : 48
    Points : 219
    Points
    219
    Par défaut
    Citation Envoyé par Neckara Voir le message
    aaaaaaaaaaaaaaaaaa est un mot de passe assez long, mais avec une entropie très faible.
    Cela aboutie à un joli sophisme

    Un mot de passe généré par un être humain sera toujours porteur de nombreux biais cognitifs. C'est justement ce qui permet de les casser. La plus grande difficulté pratique rencontrée dans les campagnes de cassage de mots de passe est, et reste, la longueur de celui-ci. Sauf exception elle est inconnue. L'attaquant fait des suppositions et profite d'un biais cognitif très fréquent de l'utilisateur, qui réduit son mot de passe à la taille minimale par dilettantisme dans la majorité des cas.

    Considérant l'exemple donné d'une suite de 18 "a", en y associant une complexité d'un alphabet commun de 95 symboles, cela donne un espace de valeurs théoriques de 9518. Il s'agit du problème de l'entropie du point de vue du casseur (imprédictibilité du mot de passe). Pour l'attaquant, il s'agit de réduire cette entropie en profitant des informations sur le système et des connaissances sur les biais cognitifs humains. La connaissance de l'attaquant est parfois plutôt réduite. Ici le postulat pourrait être la connaissance de la longueur du mot de passe et de l'alphabet). Ce que cherche l'attaquant c'est de connaître l'instanciation du mot de passe (ex: aaaaaaaaaaaaaaaaaa). Même si son entropie peut être qualifiée de faible, elle est noyée dans l'espace des possibilités, qui possède une forte entropie

    Pour rappel, la robustesse d'un mot de passe est facteur de sa longueur, de sa complexité (il s'agit de l'espace de symboles) et de son caractère aléatoire.
    • La complexité est imposé par le système.
    • La longueur est partiellement imposée (longueur minimale, parfois aussi maximale). L'utilisateur décide arbitrairement de la longueur.
    • Le caractère aléatoire est très subjectif (sauf à utiliser un RNG). De surcoît, ce domaine est plutôt méconnu et les utilisateurs font beaucoup d'erreurs sur ce point, ce qui profite à l'attaquant. Pour bien utiliser cette propriété, mon avis est qu'il faut disposer d'une expérience pratique du cassage des mots de passe ce qui est inconcevable pour l'utilisateur commun.

    En pratique, le caractère aléatoire produit par un être humain ne l'est pas. La complexité peut être à l'état de l'art, mais elle est en générale connue de l'attaquant. Le paramètre sur lequel l'utilisateur peut jouer est la longueur. Or, la longueur peut poser des situations insolubles pour l'attaquant, même avec une faible complexité lorsque la longueur est importante.

    Malgré les avancées du calcul massivement parallèle (GPGPU, Grid computig, cluster FPGA, processeurs massivement multi-coeurs Xeon Phi, ...), en pratique, la longueur du mot de passe reste la principale inconnue ou bien le principal obstacle lorsqu'elle est connue. Un mot de passe de 10/12 caractères pour une complexité moyenne à haute est quasiment irrécouvrable (avec des moyens non étatiques). En prenant en compte des biais, il est de temps en temps possible de casser certains mots de passe d'une telle robustesse.

    Bien sûr, il n'y a pas que les règles de mutation de mots de passe candidats depuis un dictionnaire. Il existe aussi des méthodes d'attaque statistique comme les chaînes de markov (je n'ai jamais eu de résultat probant avec ces méthodes) ou bien les tables Rainbow très efficaces lorsque la longueur est connue et fixe et que les tables peuvent être calculées (forcément en calcul distribué). A titre d'illustration, j'ai mis en oeuvre en 2012 le cassage du chiffrement A5/1 du GSM avec l'outils kraken, de la radio logicielle et les tables arc-en-ciel calculés en grid computing à l'initiative de Karsten Nohl. Il s'agissait de recouvrer la clef de session de 64-bits (longueur fixe et connue) en quelques secondes.

    En 25 ans de métiers en Cybersécurité, mon expérience pratique sur le cassage de mots de passe bute toujours sur la longueur de ce dernier... C'est la principale variable d'ajustement pour protéger les mots de passe et une course sans fin... En Cybersécurité, les attaques pratiques prennent toujours le pas sur la théorie, d'autant plus qu'il n'y a quasiment jamais d'analyse formelle réalisée et que les concepteurs s'attendent toujours à un usage normal de leur système....

  16. #16
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    décembre 2011
    Messages
    9 014
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 9 014
    Points : 22 976
    Points
    22 976
    Par défaut
    Citation Envoyé par pascaldm Voir le message
    Cela aboutie à un joli sophisme
    Quel sophisme ?

    Citation Envoyé par pascaldm Voir le message
    La plus grande difficulté pratique rencontrée dans les campagnes de cassage de mots de passe est, et reste, la longueur de celui-ci. Sauf exception elle est inconnue. L'attaquant fait des suppositions et profite d'un biais cognitif très fréquent de l'utilisateur, qui réduit son mot de passe à la taille minimale par dilettantisme dans la majorité des cas.
    Cela dépend des modèles que l'attaquant utilise en fonction des connaissances préalables qu'il a sur la manière dont le mot de passe a été (ou a pu être) construit.

    Un mot de passe constitué de 14 chiffres aléatoires sera plus facilement trouvé qu'un mot de passe de 8 caractères aléatoires (lettres, majuscules, chiffres, et 5 caractères spéciaux). Pourtant le mot de passe de 14 chiffres est bien plus long que le mot de passe de 8 caractères.

    Citation Envoyé par pascaldm Voir le message
    Considérant l'exemple donné d'une suite de 18 "a", en y associant une complexité d'un alphabet commun de 95 symboles, cela donne un espace de valeurs théoriques de 9518. Il s'agit du problème de l'entropie du point de vue du casseur (imprédictibilité du mot de passe).
    Du point de vue d'un récepteur, plus la source émet d'informations différentes, plus l'entropie (ou incertitude sur ce que la source émet) est grande. Ainsi, si une source envoie toujours le même symbole, par exemple la lettre 'a', alors son entropie est nulle, c'est-à-dire minimale.
    https://fr.wikipedia.org/wiki/Entropie_de_Shannon

    Citation Envoyé par pascaldm Voir le message
    Pour l'attaquant, il s'agit de réduire cette entropie en profitant des informations sur le système et des connaissances sur les biais cognitifs humains. La connaissance de l'attaquant est parfois plutôt réduite. Ici le postulat pourrait être la connaissance de la longueur du mot de passe et de l'alphabet). Ce que cherche l'attaquant c'est de connaître l'instanciation du mot de passe (ex: aaaaaaaaaaaaaaaaaa). Même si son entropie peut être qualifiée de faible, elle est noyée dans l'espace des possibilités, qui possède une forte entropie
    Quand tu vas attaquer tu ne vas pas essayer de parcourir entièrement l'espace des possibilités, et tu vas essayer de tester les mots de passes les plus probables en premiers.

    La répétition de caractères est une stratégie connue. Si l'attaquant l'utilise, il ne lui faudra moins de 18 essais pour trouver ce mot de passe.
    Quand on évalue la force d'un mot de passe, il faut le faire en considérant que l'attaquant connais la manière dont le mot de passe a été construit, tout simplement parce que les êtres humains manquent d'imagination, et que plus la pratique se répand, plus le modèle sera utilisé lors des attaques. Voire même, pour une attaque ciblée, l'attaquant aura même pu avoir récupéré l'information directement ou indirectement de sa victime.

    En connaissance du modèle, l'espace des possibilités est très faible ( (longueur_max - longueur_min) * charactères possibles).

    Citation Envoyé par pascaldm Voir le message
    Pour rappel, la robustesse d'un mot de passe est facteur de sa longueur, de sa complexité (il s'agit de l'espace de symboles) et de son caractère aléatoire.
    Ce qui te donne bien approximativement ce que je dis : le nombre de possibilité à tester pour espérer trouver le mot de passe, sachant la manière dont le mot de passe a été créé, et les différents biais à sa création.

    Citation Envoyé par pascaldm Voir le message
    En pratique, le caractère aléatoire produit par un être humain ne l'est pas.
    D'où l'intérêt d'utiliser une autre source d'aléa.

    Citation Envoyé par pascaldm Voir le message
    La complexité peut être à l'état de l'art, mais elle est en générale connue de l'attaquant. Le paramètre sur lequel l'utilisateur peut jouer est la longueur.
    Il peut jouer sur les trois paramètres.

    Pour la complexité, un utilisateur lambda ne va pas utiliser l'ensemble de l'espace qui lui est permis, et va se restreindre. De même pour l'aléa, en changeant de source, il peut obtenir un meilleur mot de passe (i.e. pas un aléa de source humaine).

    Citation Envoyé par pascaldm Voir le message
    En 25 ans de métiers en Cybersécurité, mon expérience pratique sur le cassage de mots de passe bute toujours sur la longueur de ce dernier... C'est la principale variable d'ajustement pour protéger les mots de passe et une course sans fin...
    Ce n'est pas parce que c'est une variable d'ajustement compliquée, que c'est ce qui constitues la plus grosse part dans la sécurité du mot de passe.


    Tu es en train de raisonner en black/grey box (déformation professionnelle ?), or, pour évaluer la force d'un mot de passe, il faut se placer dans le pire des cas, i.e. en white box.
    De même, la longueur du mot de passe, est un moyen, pas une finalité. C'est un moyen d'augmenter l'espace des possibilités, mais absolument pas une finalité, ni même suffisant. En ce, je persiste et signe, on s'en fout de la longueur du mot de passe, tant qu'on a un espace des possibilités "suffisamment grand".

    EDIT: Je pense m'être mal exprimé initialement : la longueur du mot de passe ne sert à rien en tant que tel.

    EDIT 2: Une manière de reformuler de manière pratique et moins théorique :
    Il faut que si l'attaquant teste X candidats (X considéré raisonnable, fonction des capacités qu'on lui attribue), en utilisant la stratégie optimale (i.e. en parfaite connaissance du modèle suivi par le mot de passe, et des biais lors de sa création), il ai une chance aussi faible que possible de tomber sur le mot de passe.

  17. #17
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    décembre 2011
    Messages
    9 014
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 9 014
    Points : 22 976
    Points
    22 976
    Par défaut
    Il faut aussi faire attention à une chose.

    Montrer qu'on peut en pratique (en black/grey box) casser un mot de passe, donne une indication de la capacité minimale d'un attaquant potentiel à casser le mot de passe, c'est à dire la force maximale que le mot de passe en question a. C'est à dire qu'on ne peut que prouver qu'un mot de passe donné n'est pas sûr, mais en aucun cas l'inverse, c'est à dire qu'on ne peut pas prouver qu'un mot de passe donné est sûr.

    C'est intéressant pour dire quels mots de passes ne sont pas sûr, quels sont les types de mots de passes qu'on sait qu'un attaquant potentiel est capable de casser. Mais ne dit rien quant aux mots de passes qu'un attaquant ne serait pas capable de casser. Cela ne donne ainsi que l'insécurité d'un mot de passe, et en aucun cas sa force.

    En effet, il suffit pour l'attaquant de trouver un meilleur modèle, ou une meilleure connaissance des biais lors des créations de mots de passes, pour obtenir de meilleures performances et ainsi casser des mots de passes qu'il n'arrivait pas à casser au préalable. De plus, pour les mots de passes forts, i.e. qu'on ne peut pas casser dans des temps raisonnables, il n'est ainsi pas possible d'obtenir un chiffre réel/pratique de sa "force".


    Pour évaluer la force d'un mot de passe, on est donc obligé d'être théorique. En effet, si en pratique il faut 1 000 ans pour le casser en utilisant toute la puissance de calcul disponible sur Terre, il ne sera pas possible d'obtenir une durée pratique de son craquage. Or cette force théorique va dépendre des hypothèses/connaissances/euristiques qu'on va assumer que l'attaquant a sur ce mot de passe. On va donc de préférence s'intéresser au pire des cas, donnant cette fois une indication de la capacité maximal (ou au minimum une estimation sachant que toutes les euristiques ne sont pas connue dans le cas d'alea d'origine humaine) qu'un attaquant potentiel a casser le mot de passe, ce qui est déjà bien plus intéressant si on veut évaluer, non plus la faiblesse, mais la force d'un mot de passe.

    Cela ne donne pas une force en terme de durée pour espérer casser le mot de passe, mais en terme de probabilité qu'un mot de passe candidat soit le bon. Il suffit ensuite de multiplier cette probabilité par la capacité qu'on attribue à l'attaquant pour obtenir une estimation de la durée minimale théorique qu'il lui faudra pour casser le mot de passe.


    Pour cela, les candidats peuvent être équiprobables ou non. Si la génération est aléatoire d'origine non-humaine, on peut estimer que tous les candidats sont équiprobables. Si l'aléa est d'origine humaine, il faudra utiliser, e.g. du Markov. Dans le cas de candidats équiprobables (on va rester simple), la probabilité qu'on va donc chercher à minimiser est bêtement 1 / nb_candidats_possibles. Dans le cas de candidats non-équiprobables, on va d'abord chercher à tester les candidats les plus probables, donc la probabilité de tomber sur le mot de passe dépend de l'avancement de l'attaque.

    La formule du nombre de candidat varie en fonction de la manière dont le mot de passe a été généré. Et ce qu'on recherche à optimiser c'est la probabilité. Chercher à optimiser un autre paramètre, c'est faire un postulat partiellement erroné qui va biaiser la démarche et donner un résultat sous-optimal.

    Par exemple, vouloir augmenter la taille du mot de passe, peut se traduire par la répétition du dernier caractère d'un mot de passe de 8 caractère afin d'en obtenir 10. L'apport en sécurité est très faible, engendre un faux-sentiment de sécurité, tout simplement parce qu'on a perdu de vu l'objectif initial en s'intéressant a un "objectif intermédiaire", qui est un moyen, et non une fin. De même, 8 chiffres peut se révéler moins sûr que 7 chiffres, tout simplement parce que nombre d'utilisateurs essayeront de mettre une date pour le mot de passe de 8 chiffres (date de naissance, de mariage, …) alors qu'ils pourront choisir quelque chose d'un peu plus aléatoire pour un mot de passe de 7 chiffres.

    Ce qui va déterminer la force du mot de passe reste le nombre de tentative qu'un attaquant idéal devra faire pour espérer casser le mot de passe. La longueur du mot de passe ne donne aucune réelle indication à ce niveau. Pour un mot de passe purement aléatoire, le nombre de tentative est longueur * nb_caractères_possibles, c'est à dire qu'il y a deux paramètres. Un seul paramètre n'est donc pas suffisant.

    Mais ce n'est pas non plus la seule manière de générer un mot de passe. Par exemple, si on veut un mot de passe avec une contrainte de mémorisation, toujours considérant le mot de passe purement aléatoire, le nombre de tentative sera nombre_mots * nb_mots_possibles, or les mots n'ont pas tous la même longueur. C'est un dire qu'un mot de passe plus sûr de 7 mots pourra être plus petit qu'un mot de passe moins sûr de 6 mots.

    Quand on commence à estimer que les candidats ne sont plus équiprobables, cela devient plus compliqué.
    Déjà, "p4ssw0rd!" est un mot de passe très peu sûr, sachant que c'est l'un des plus utilisé, donc qu'il sera l'un des premiers à être testé, et sera bien moins sûr qu'un mot de passe de 8 caractères purement aléatoire.

    C'est comme pour l’ébullition de l'eau, il faut prendre en compte la température, et la pression, en même temps. C'est à dire que l'indicateur pertinent est le couple (température, pression), la température à elle seule ne sert à rien. Pour les mots de passes, c'est plus compliqué car la formule change en fonction de la manière dont il aura été construit.

Discussions similaires

  1. Utilisez-vous les API Windows et de quelle façon ?
    Par jdsetls dans le forum WinDev
    Réponses: 103
    Dernier message: 24/06/2014, 19h43
  2. Réponses: 1
    Dernier message: 12/06/2012, 16h40
  3. Modifier les mots de passe dans Windows
    Par Blizz4rd dans le forum API, COM et SDKs
    Réponses: 1
    Dernier message: 09/02/2010, 14h40
  4. Réponses: 59
    Dernier message: 10/11/2007, 12h49
  5. Idientifier les fichiers avec mot de passe Windows
    Par p_12345 dans le forum Macros et VBA Excel
    Réponses: 10
    Dernier message: 11/10/2007, 16h31

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo