La vérité qui dérange au sujet de votre mot de passe à huit caractères
dans

La vérité qui dérange au sujet de votre mot de passe à huit caractères

À l’ère d’Internet, presque tout le monde utilise des mots de passe. Cependant, même les recommandations les plus récentes en matière de sécurité des mots de passe ne les rendent pas plus forts.

Cette année, la recommandation était de huit caractères, mais combien de personnes pensent qu’un mot de passe de huit caractères est suffisamment sécurisé ? La majorité d’entre eux n’en utilisent probablement qu’un seul parce qu’on leur a dit qu’un mot de passe de huit caractères est plus fort qu’un mot de passe de six caractères.

Désolé d’être porteur de mauvaises nouvelles, mais la vérité est que huit caractères ne suffisent pas.

Savez-vous où votre mot de passe a été utilisé ?

Lorsque les mots de passe sont stockés, ils ne sont pas stockés en texte clair.

Ils sont transformés par une fonction unidirectionnelle appelée hachage qui, en théorie, ne devrait pas être réversible. Le mot de passe « hashcat », par exemple, devient « b4b9b02e6f09a9bd760f388b67351e2b ».

Lorsque vous vous connectez à un site Web, vous ne savez jamais comment votre mot de passe est stocké dans le back-end, par exemple dans une base de données ou un fichier texte, ou si quelque chose a été fait pour le protéger.

Les bases de données de mots de passe divulguées ou piratées sont appelées des « DUMPS » (ou « décharges » en Français). Les hackeurs volent souvent des informations dans les bases de données et les utilisent pour accéder à d’autres systèmes, ou bien ils échangent leurs dumps avec d’autres acteurs contre d’autres base de données volées.

Ces base de données volées peuvent inclure votre nom, votre adresse électronique, votre mot de passe haché, votre mot de passe en texte clair et les réponses à vos questions sur la réinitialisation de mot de passe.

Les hackeurs, les professionnels de la sécurité et les amateurs craquent maintenant les mots de passe pour le plaisir ou par profit personnel. Ils prennent des milliards de mots de passe possibles, les convertissent en une forme hachée et les comparent au hachage de la base de données.

S’il y a une correspondance, ils stockent le mot de passe en texte clair et le hachage correspondant.

Ce processus est possible parce que les cartes graphiques (GPU) peuvent être utilisées pour des tâches de calcul générales et sont beaucoup plus rapides qu’un ordinateur moyen, ce qui leur permet d’essayer de cracker des centaines de milliards de mots de passe chaque seconde.

En d’autres termes, une machine très coûteuse avec huit cartes graphiques peut craquer un mot de passe de huit caractères en 24 heures environ, en supposant qu’un attaquant puisse obtenir le hachage via un logiciel malveillant, pirater le réseau ou le système qui a le hachage.

Pourquoi votre mot de passe de huit caractères n’est pas aussi fort que vous le pensez

X-Force Red, l’équipe de hackers expérimentés d’IBM Security, s’est récemment associée à IBM Cloud pour voir à quelle vitesse ils pouvaient pirater un mot de passe à huit caractères.

Les personnes étaient invitées à s’inscrire à un site Web qui demandait un nom, une adresse électronique et un mot de passe. Le mot de passe a ensuite été haché avec le format de hachage NT LAN Manager (NTLM), le même format que celui utilisé sous Windows, avant d’être distribué aux GPU et craqué avec le hashcat du logiciel open source.

Les mots de passe ont tous été craqués en un minimum de 30 secondes et un maximum de neuf minutes, la moyenne prenant environ trois minutes.

Ces mots de passe se composaient de caractères majuscules et minuscules, de chiffres et de caractères spéciaux (! @ # $ % ^ & * () – + ?).

Lorsque on autorise « espace » avec les caractères spéciaux, les temps ont augmenté jusqu’à un maximum d’une heure et demie et une moyenne de 45 minutes.

Alors n’hésitez pas à faire un véritable nettoyage dans vos mots de passe et pensez avant tout à votre sécurité ! Pour vous aider dans votre tâche, n’hésitez pas à utiliser un service type : https://strongpasswordgenerator.com/

Sources :

https://securityintelligence.com/the-inconvenient-truth-about-your-eight-character-password/

https://malwaretips.com/threads/the-inconvenient-truth-about-your-eight-character-password.87365/

https://cybersecurityminute.com/security-blogs/the-inconvenient-truth-about-your-eight-character-password/

https://en.wikipedia.org/wiki/Password_policy

Écrit par Jeff

Wordpress Junkie - Security Enthusiast - Digital Strategy Consultant - Pizzas Lover.

Faites appel à une agence de rédaction web pour améliorer votre visibilité

4 conseils clés pour choisir un traducteur adapté à votre besoin