Créer un mot de passe quasiment inviolable.

4

Il existe de nombreuses idées reçues quant à la création d’un mot de passe difficilement craquable.

Les attaques des pirates informatiques ne sont pas réservées uniquement aux grandes institutions, mais peuvent également toucher les particuliers. C’est pour cela qu’il est très important de connaitre les principes de base en matière de protection informatique.

Les attaques informatiques sont généralement tournées vers les gros sites web. C’est à partir de là, que les hackers se lancent dans le piratage des comptes en masse.

La plupart des mots de passe utilisés au quotidien par monsieur et madame tout le monde sont d’une simplicité déconcertante.

Il ne sert à rien de changer fréquemment de mot de passe sauf si vous êtes capable de le retenir sans le noter.

Il est indispensable de concevoir un mot de passe en ne respectant aucune forme de logique, car le principe même du cracking de mot de passe consiste à mettre à jour sa cohérence interne. Plus votre mot de passe est structuré de façon logique, plus vous serez vulnérable.

Pour craquer les mots de passe les pirates peuvent, par exemple, utiliser une carte graphique du style de la Radeon RX 580 Armor 8G OC de MSI (environ 300 euros). L’un des algorithmes les plus répandus pour le chiffrement de mots de passes est SHA1. Pour cet algorithme, la RX 580 peut créer environ 4,3 milliards de combinaisons de mots de passes par seconde. Je vous laisse imaginer les résultats avec un RIG de 6 x R580 normalement dédié au minage d’Ethereum…
Un mot de passe du style MartinZ9 serait craqué en 14 heures en moyenne.
Il est possible pour les pirates de laisser tourner leurs machines pendant plusieurs heures pour essayer de cracker un mot de passe.

Un mot de passe presque inviolable devra comporter 16 caractères, dont des caractères spéciaux, des majuscules, des minuscules et des chiffres. Il ne devra avoir aucune logique ni sens. Il ne devra pas être noté ni transmis sans chiffrement, ni être composé sur un site non sécurisé. Votre mot de passe doit rester dans votre tête.

Aucun mot de passe n’est inviolable. C’est un peu comme une porte de maison. Des personnes malveillantes finiraient toujours par entrer. Votre protection augmentera juste le délai avant qu’ils ne puissent y parvenir.

Il est possible d’évaluer la solidité d’un mot de passe. Il suffit de prendre le nombre de caractères et de le factoriser avec la longueur du mot de passe.
Par exemple, le mot de passe « azerty » ne contient que des minuscules. 26 puissance 6 (le nombre de caractères), soit 309 millions de possibilités. Avec des majuscules, on passe à 52 caractères possibles (a à z, A à Z). « AzeRTy » contient donc 52 puissance 6 possibilités, ce qui fait environ 19,8 milliards de combinaisons possibles.

Il suffit ensuite de comparer le nombre obtenu avec les performances du matériel des hackers. Une carte graphique RX 580 armor 8G OC, produit environ 4,3 milliards d’attaques par seconde, il serait donc possible de craquer « azerty » en 0,07 seconde et « AzeRTy » en 4,6 secondes. Plus le nombre de caractères possibles est important, plus le mot de passe est long et plus les pirates mettront du temps à le casser.

Il n’existe donc pas de mot de passe inviolable, uniquement des mots de passe qui tiennent plus ou moins longtemps face à des attaques par brute force*.

Top 25 des mots de passe les plus utilisés en 2016 :

• 123456
• 123456789
• qwerty
• 12345678
• 111111
• 1234567890
• 1234567
• password
• 123123
• 987654321
• qwertyuiop
• mynoob
• 123321
• 666666
• 18atcskd2w
• 7777777
• 1q2w3e4r
• 654321
• 555555
• 3rjs1la7qe
• google
• 1q2w3e4r5t
• 123qwe
• zxcvbnm
• 1q2w3e

*L’attaque par force brute est une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé. Il s’agit de tester, une à une, toutes les combinaisons possibles.

Source : Vice / Metro