Votre mot de passe craqué en 3 minutes ou en 3 siècles ? Entre pirates heureux et pirates découragés:
En combien de temps un mot de passe serait décrypté ? Nous n’avons pas fait l’exercice au complet, mais utilisé des modèles inspirés des craquages par force brute, des craquages avec IA ( PassGan) , ou avec logiciel ( John the Ri…. )
Voici comment fonctionnent les principaux outils pour cracker les mots de passe :
Des bases de données de centaines de millions de mots de passe déjà utilisés servent de référence. Elles renseignent sur les tendances, les habitudes, les mots de passe fréquents.
Mais dans le cas de notre exercice, il n’y avait ni ingénierie sociale, ni recherches spécifiques, ni attaque par opportunité, mais seulement en combien de temps un mot de passe est craquable.
En mai 2023, la réponse est : moins de 6 minutes par PassGAN ( Une IA spécifique ) pour des mots de passe de 7 caractères ou moins. Mais dès que l’on franchit la limite de 7 caractères, alors la durée passe en semaines et en mois, voir en siècles si 18 caractères.
La combinaison d'au moins 15 chiffres, caractères spéciaux+ lettres totalement aléatoires, sans signification dans aucune langue ni aucun dictionnaire linguistique ou technique, ni aucune proximité des touches sur un clavier qwerty ou azerty , devient alors une bonne solution .
Jack l’éventreur:
John the R----- est un outil populaire de craquage de mots de passe qui ne date pas d’aujourd’hui.
Il est relié à une bibliothèque de dictionnaires et compare instantanément ses progrès avec des listes courantes afin de gagner du temps.
Il reconnaît le type de hachage, génère spontanément des hachages qui lui semblent pertinents à partir de ses dictionnaires et s’arrête quand il trouve un match.
Maintenant qu’est-ce qu’un bon mot de passe et est-ce que le problème du mot de passe parfait peut être résolu ?
Oui, par l’indentification double facteur et par un minimum de 14 caractères totalement aléatoires et il est vrai que les générateurs de mots de passe sont très bien conçus … sauf que pour accéder au générateur et gestionnaire de mots de passe , vous avez peut-être conçu un mot de passe maître facile et là … tout s’écroule ….
D’où la surexcitation des pirates pour craquer les mots de passe des gestionnaires de mots de passe.
Notre agence d’enquête effectue des tests d’intrusions (pentest) pour les PME, alors évidemment nous nous intéressons à la culture et aux outils des pirates. Il est impossible de leur faire face sans s’intéresser à eux et apprendre en même temps qu’eux.
Nos hackers travaillent sous notre responsabilité légale, mais surtout leur éthique a été testée. Nous ne sommes pas allé les chercher ni accepté ceux qui nous contactaient, ce fut toute une histoire humaine qui fera un prochain post.