Mot de passe : combien de temps résiste-t-il ?

Wilfrid
Modifié (December 2021) dans Vie du Forum et de ses membres

Bonjour

D'après un sondage datant de 2019, 69 % des internautes utilisent le même mot de passe sur tous les sites sur lesquels ils sont enregistrés, et 27 % forment leur mot de passe à partir de données personnelles, telles que leur date de naissance. Ces pratiques facilitent grandement le piratage de leur(s) compte(s), avec toutes les conséquences désastreuses que ça peut avoir et que la plupart des gens ignorent.

Pour donner une idée de la facilité avec laquelle un cybercriminel peut obtenir un mot de passe, en voici quelques uns complètement inventés et testés sur la page How secure is my password? (la page s'affichera en français). Elle répond à la question "combien de temps faudra-t-il à un ordinateur pour casser mon mot de passe ?"

123456 : immédiatement
08091990 : 2 ms (date)
Julie : 9 ms
DPSlcKw : 25 sec (7 lettres)
PKXYjBee : 22 min (8 lettres)
gVVvyyJKh : 19 h (9 lettres)
EBojmskNxX : 1 mois (10 lettres)
GrandMaman, GrAnDmAmAn, etc. : 1 mois
5l0givF9Ia : 7 mois (10 car. alphanumériques)
S5*8:yzN7v : 52 ans (idem, incluant des caractères spéciaux &?:#!§* ...)
HpdPOst5BJ61bo : 9 millions d'années (14 car. alphanumériques)
HpdPOst5BJ6*bo : 200 millions d'années (idem, incluant un caractère spécial)

Pour ceux qui désireraient en changer, voici un générateur de mot de passe.

Réponses

  • Les gens qui tentent de casser les mots de passe n’y vont pas non plus en explorant toutes les possibilités, ils ont des dictionnaires de mots de passe connus (déjà piratés par un autre moyen).
    En fait, c’est souvent plus simple de voler la base de données entière que de voler un seul mot de passe, quand le site est affaibli par une faille.
    Tu peux donc essayer « 123456789123456789123456789 », il va être vite cassé, au contraire de « L3s_/\/\aThémàt1Qu35 ».
    The real danger is not that computers will begin to think like men, but that men will begin to think like computers.
            -- Harris, Sidney J.
  • A part, le compte bancaire auquel je fais très attention, j'ai des mots de passes absolument minables.  Je n'arrive sans doute pas à réaliser les conséquences désastreuses que j'ignore. Si quelqu'un pique mon compte ici ou ailleurs, j'ai vraiment l'impression que ça ne changera pas ma vie d'un iota.
    Comme me l'a appris ma maîtresse de CE2, tata Suzanne, dite Susu, $\{l,é,o\} \cap \{t,o,t,o\}=\{o\}$
  • Ludwig
    Modifié (December 2021)
    Récemment je me suis fait arnaqué : fraude avec ma carte bancaire. Il y a bien plus important qu'un mot de passe, et plus grave : les banques ont la possibilité de réduire la fraude à néant (il suffit d'interdire les transactions si les codes supplémentaires (envois SMS, etc.) ne sont pas donnés). Pourtant elles ne le font pas. Pourquoi ? Une question naïve sans doute, car il faut bien faire marcher le commerce (cette fraude c'est 500 millions d'euros en France en 2020). Les mafia-banque (= banques-mafia) mettent de l'huile dans les rouages.
  • Georges Abitbol
    Modifié (December 2021)
    Moi, je pense à autre chose. Avec tous ces sites qui demandent tous des conditions différentes pour les mots de passe (majuscules ou non, chiffres ou non, symboles spéciaux ou non) je vois mal quelqu'un se débrouiller sans noter ses mots de passe quelque part.
    En plus, le fait que le moindre site d'achat vous force à créer un compte accentue ce phénomène. Il existe bien des systèmes qui permettent de garder ses mots de passe bien cryptés, mais tout le monde ne les utilise pas.
    Et que dire des sites où le mot de passe doit contenir un symbole spécial, une majuscule, une minuscule, un chiffre et où le système de récupération de mot de passe ne demande que le nom de jeune fille de votre mère...
    Je crois que j'avais lu qu'il y avait un truc assez simple à mettre en place, côté site : on empêche des tentatives de connexion trop rapprochées pour le même login.
  • Ludwig
    Le nouveau protocole DSP2 ou authentification forte doit (normalement) limiter fortement les risques de piratage de la carte bancaire. Les envois de SMS ne vont plus exister normalement pour cette authentification. Pour ma part je refuse d’avoir un smartphone (mais cela commence à devenir compliqué de vivre sans) et ma banque a été obligé de me fournir un boîtier spécial pour faire mes opérations en ligne (sans doute beaucoup plus sûr qu’un smartphone d’ailleurs). Si je ne dis pas de bêtises ce nouveau protocole va pouvoir décharger les banques de remboursement en cas de piratages sur des opérations bancaires...Pour certains sites de ’’confiance’’ ou pour des montants inférieurs à 20 euros ce protocole ne s’applique pas forcément mais peut-être est-il possible de demander à sa banque de l’imposer dans tous les cas.
    ’’Auparavant le monde était dirigé par des intelligents. C’était cruel. Les intelligents forçaient les imbéciles à apprendre. C’était difficile pour les imbéciles. Aujourd'hui le monde est dirigé par des imbéciles. C’est juste, car les imbéciles sont beaucoup plus nombreux. Aujourd'hui les intelligents apprennent à s’exprimer afin que les imbéciles puissent comprendre. Si un imbécile ne comprend pas c’est un problème d’intelligents. Auparavant souffraient les imbéciles. Aujourd'hui souffrent les intelligents. La souffrance diminue car les intelligents sont de moins en moins nombreux.’’
    Mikhaïl Jvanetski.

  • Ludwig
    Modifié (December 2021)
    Mais biely certains sites ou entreprises qui ont pignon sur rue (UBER par exemple) permettent les transactions sans cette authentification forte. Les banques le savent bien cela. Alors mot de passe ou pas mot de passe qu'est-ce que ça change ? Il suffit qu'une personne mal intentionnée ait récupéré ton numéro de carte et c'est la fête ! Un banquier n'à qu'à cocher une case pour empêcher les fraudes, alors quoi ?? L'homme est un loup pour l'homme c'est bien connu.
  • Il existe bien des systèmes qui permettent de garder ses mots de passe bien cryptés, mais tout le monde ne les utilise pas.
    C’est une protection supplémentaire mais qui ne suffit pas forcément : une fonction à sens unique peut être faible.
    Ludwig a dit :
    L'homme est un loup pour l'homme c'est bien connu.
    Non, pas du tout. C’est un gros mensonge, ça.
    The real danger is not that computers will begin to think like men, but that men will begin to think like computers.
            -- Harris, Sidney J.
  • Fly7
    Modifié (December 2021)
    Je m’était dis que l'idéal serait de ne faire confiance qu'a soi même et encore.
    Faire comme maman.
    Un petit carnet et tout noter.
    A chaque site son mot de passe.
    Encore faut-il prendre le temps.
  • raoul.S
    Modifié (December 2021)
    Personnellement j'en avais marre de mémoriser des mots de passes qui augmentaient continûment en nombre. J'ai finalement opté pour un gestionnaire de mots de passe.

    Un mot de passe pour les gouverner tous...
  • Renart
    Modifié (December 2021)
    Ça n'a pas été dit mais il est peu recommandé de taper un vrai mot de passe dans un site de type "à quel point mon mot de passe est sécurisé".
  • Wilfrid
    Modifié (December 2021)
    @Renart, ce qu'il faut éviter c'est tester le mot de passe "motDePasseUtiliseSurLes-Mathematiques.netAvecLemailMachin@free.fr"
  • Deux vidéos à regarder : 



    et




  • Dreamer
    Modifié (December 2021)
    Bonjour.
    J'ai des doutes, des mots de passe similaires à ceux que j'emploie étant cassables entre 8 millions d'années et 4 quadrillions d'années, alors qu'ils ne sont pas très compliqués (de mon point de vue).
    Sait-on sur quelle base ce site établit ses estimations ?
    Cordialement.

    Cherche livres et objets du domaine mathématique :

    Intégraphes, règles log et calculateurs électromécaniques.

  • Bah, ça ne veut pas dire grand-chose. La plupart des endroits où un mot de passe est utilisé n’acceptent pas les attaques par force brute. 

  • @dreamer : Sait-on sur quelle base ce site établit ses estimations ?

    Non, rien vu de tel, mais je pense que le site security.org sait de quoi il parle.

    @Sato : La plupart des endroits où un mot de passe est utilisé n’acceptent pas les attaques par force brute.
    Voici l'attaque par force brute d'un site Wordpress (en français) :

    On trouve des tas de vidéos sur les différents types d'attaque.
  • Autre vidéo assez informative :


    Pour résumer, il faut des mots de passe longs (quelque chose comme 14 caractères), qui ne veulent rien dire, et les laisser gérer par le navigateur, ce qui évite d'installer un logiciel tiers comme dans cette vidéo. A chaque fois qu'on se connecte sur un site, le navigateur remplit automatiquement les champs requis. Dans ces conditions, augmenter notre sécurité ne requiert aucun effort de notre part.
  • Sauf quand on a besoin de se connecter à les-maths.net à partir du boulot.
    The real danger is not that computers will begin to think like men, but that men will begin to think like computers.
            -- Harris, Sidney J.
  • Je ne vois pas en quoi le navigateur du boulot est différent de celui que tu utilises à domicile ! Il te suffit d'exporter les mots de passe mémorisés par l'un sur une clé USB et de charger ce fichier depuis l'autre.
  • Bémol : le logiciel tiers est sans doute préférable à celui inclus dans le navigateur, pour la simple raison que ce dernier ne demande pas de s'identifier avant d'accéder à l'ensemble des mots de passe enregistrés. Au boulot, n'importe qui pourrait pirater tous tes mots de passe pendant que tu déjeunes, par exemple, sauf si le démarrage et le réveil de ton ordi sont protégés par un code pin ou un mot de passe. Dans ce cas, toujours penser à le mettre en veille avant de s'absenter.
  • Dreamer
    Modifié (December 2021)
    Moi, je ne vois pas la plus value de se connecter sur les-mathématiques.net du boulot, c'est mieux de le faire à 2 heures du matin, pendant une insomnie.

    Merci pour ces présentations de force brute.

    À bientôt.

    Cherche livres et objets du domaine mathématique :

    Intégraphes, règles log et calculateurs électromécaniques.

  • Fly7
    Modifié (December 2021)
    A propos, vous devez être au courant qu'il y a un gros bug sur les-mathematiques.net.
    Perso je suis connecté automatiquement avec google qui en connait plus de ma vie que moi même.
    Enfin dés que je souhaite me connecter alors que je le suis déjà, les-mathematiques.net me demande un nom d'utilisateur  Fly7 et un mot de passe que je ne connait pas comme d'habitude.
    Lorsque je souhaite faire une demande de renouvellement de mot de passe par mail.
    Je ne reçois pas de notification par mail même dans "tous les messages" de Gmail.
    Cela ne me pose pas de problème dans l'immédiat mais on sent qu'il y a quelque chose qui ne fonctionne pas correctement.
  • nicolas.patrois
    Modifié (December 2021)
    Le travail n’a pas besoin de connaître mes autres mots de passe, notamment ceux de sites de mytiliculteurs du dimanche que je fréquente parfois.
    The real danger is not that computers will begin to think like men, but that men will begin to think like computers.
            -- Harris, Sidney J.
  • J’utilise pass (« passwordstore ») sur Gnu/Linux. J’en suis très content et j’ai accès à ces mots de passe et notes diverses sur mon téléphone. 

  • MrJ
    MrJ
    Modifié (December 2021)
    @Fly7 : Je te conseille de vérifier tes spams.
    S’ils n’y sont pas : je ne sais pas si c’est vrai, mais j’avais entendu récemment que Gmail bloque les mails provenant de petits serveurs qu’ils ne connait pas, c’est-à-dire que les mails envoyés par ces derniers n’arrivent même pas jusqu’à toi, même dans tes spams…
  • Fly7
    Modifié (December 2021)
    Si pas de mail dans  "tous les messages" forcément pas dans "spam".
    J'ai quand même vérifié au cas où.
    Sans aucun doute rien dans "spam" ni dans "tous les messages".
    Attends deux secondes j'ai une idée.
    Ha non je ne peux même pas me déconnecter.
    PS. Je suis connecté puisque je peux écrire sur le forum mais le site dit que je ne suis pas connecté puis qu'il y a le lien notifiant "se connecter" en haut à droite.
    Attends j'ai une autre idée.
  • Firefox non connecté.
    Google Chrome connecté.
  • Fly7
    Modifié (December 2021)
    C'est bon j'ai compris.
    il Faut être déconnecté puis cliquer sur l'onglet "forum" pour voir apparaître "connexion".
    À partir de la vous pouvez demander un nouveau mot de passe par Email.
    Non pas à partir de "se connecter".

  • jelobreuil
    Modifié (December 2021)
    Bonsoir Fly7,
    Je ne sais pas vraiment, mais je subodore que "se connecter", là où il est placé, soit entre "contact" et "s'inscrire", s'adresse aux visiteurs occasionnels, non inscrits ...
    Personnellement, j'ai décidé de "rester connecté", donc il me suffit de cliquer sur le marque-pages correspondant au site.
    Bien cordialement JLB
  • Wilfrid
    Modifié (December 2021)
    @Dreamer : Sait-on sur quelle base ce site établit ses estimations ?

    Si le sujet t'intéresse, voici la page GitHub de l'algorithme zxcvbn, utilisé par de nombreuses plateformes pour estimer la complexité d'un mot de passe. En descendant un peu dans la page tu trouveras son implémentation dans une flopée de langages, dont Python. En étudiant le code tu devrais te faire une bonne idée de la manière dont l'algorithme fonctionne.

    Début 2020 j'avais installé l'extension "Password Strength", qui utilise cet algorithme, sur un forum phpBB. Voici la page de démonstration de cette extension. Si tu reprends les exemples de mots de passe que j'ai utilisés dans mon message initial, tu constateras que les résultats sont équivalents (surtout le premier champ. Les deux champs n'utilisent pas le même algorithme).

  • Aldo
    Modifié (December 2021)
    Le mot de passe le plus important est celui du courrier. En effet, il suffit ensuite de cliquer sur "mot de passe oublié" pour avoir accès à tous les sites.
    Donc, choisir un mot de passe difficile pour le courrier et le changer régulièrement, c'est une bonne méthode de protection.
    Aldo
  • Wilfrid
    Modifié (December 2021)
    @Aldo : Le mot de passe le plus important est celui du courrier.

    Pour un membre peut-être, mais pour la santé du forum ce sont les comptes administrateurs et modérateurs qui devraient changer leur mot de passe pour un d'une bonne quinzaine de caractères (voir adresse d'un générateur dans mon premier message). Si quelqu'un se connecte après avoir volé mes identifiants ou les tiens, il ne pourra que supprimer nos messages respectifs, injurier tout le monde, poster des vidéos pornos, etc. Mais s'il vole les identifiants d'un compte administrateur, les dégâts qu'il pourra occasionner seront beaucoup plus graves, et également, mais dans une moindre mesure, si c'est un compte modérateur.

  • Merci pour le lien, je vais aller voir comment certains de mes mots de passes peuvent tenir 4 quadrillions d'années.

    À bientôt.

    Cherche livres et objets du domaine mathématique :

    Intégraphes, règles log et calculateurs électromécaniques.

  • Je pense que 50 ans devraient suffire. :)
  • Wilfrid
    Modifié (December 2021)

    Voici comment tester son mot de passe dans les conditions d'un hacker. Mode opératoire :

    1. Choisir un mot de passe et l'encrypter en md5 sur cette page. C'est le genre de matériel sur lequel un hacker travaille.

    2. Faire un copier-coller du md5 dans la zone de texte de cette page, puis cliquer sur "Crack Hashes" (après le reCaptcha). On peut mettre jusqu'à 20 hashes, un par ligne.

    Copiez-collez ceci par exemple :

    f02368945726d5fc2a14eb576f7276c0
    fce76cddc461d6562e6d26537c9c0607
    193f5287eff7d1d5e0a6e66ef769cb49
    531f38ba68fca4cfe249f621263c7521
    4c5f30689e21a8ceb161a3d48148cbfc
    5f7a282b7172ff9c98c5389f0a8daf76
    bef9e439cdd65caac6c3fab200a1bd93
    c612a3a42207a11ac415dd79f1a84e15

    Les trois qui n'ont pas été trouvés sont, dans l'ordre : monmotdepasseestcool, Ei4aQ4, 9gi544zs.

    Dans le paragraphe "How CrackStation Works" on peut lire que 2 bases de données indexées sont utilisées, l'une de 190 Go, 15 millions d'entrées, et l'autre de 19 Go, 1.5 millions d'entrées.

    En jetant un œil à la base de données d'un forum phpBB 3.2, j'ai été étonné de constater que l'encryptage des mots de passe ne se fait plus en md5 comme par le passé, mais en bcrypt (inconnu de CrackStation, mais le principe reste le même). Le md5 vit ses dernières années semble-t-il.

    EDIT : attention ! Si votre mot de passe n'est pas trouvé ça ne veux pas dire qu'aucun hacker ne le trouvera, parce qu'il aura peut-être une base de données incluant des mots de passe encryptés en bcrypt.

  • Bonjour.
    Je savais que le md5 n'était plus considéré comme sûr, mais bcrypt ? Jamais entendu parler.
    Il est grand temps de se re-renseigner.
    Merci et à bientôt. 

    Cherche livres et objets du domaine mathématique :

    Intégraphes, règles log et calculateurs électromécaniques.

  • D'après ce que j'ai lu, bcrypt ajoute des données aléatoires lors du chiffrement, ce qui rend chaque résultat unique et donc résistant à une attaque par dictionnaire.

Connectez-vous ou Inscrivez-vous pour répondre.