Les mots de passe courts et simples peuvent être craqués en quelques secondes. Des mots de passe longs et compliqués ? Des trillions d'années.
C'est ce qui ressort d'une étude récente de Hive Systems, une société de cybersécurité basée à Richmond, en Virginie, qui détermine le temps qu'il faudrait à un pirate moyen pour déchiffrer les mots de passe protégeant vos comptes en ligne les plus importants.
Les résultats suggèrent que même un mot de passe de huit caractères - avec un bon mélange de chiffres, de lettres majuscules, de lettres minuscules et de symboles - peut être craqué en huit heures par le pirate moyen. Tout mot de passe plus court ou moins complexe pourrait être craqué instantanément, ou en quelques minutes, par un pirate qui sait ce qu'il fait, même s'il n'utilise qu'un équipement assez basique.
En revanche, selon Hive Systems, un mot de passe de 18 caractères utilisant un mélange de chiffres, de lettres minuscules et majuscules et de symboles pourrait prendre jusqu'à 438 trillions d'années à un pirate moyen.
L'entreprise a compilé un graphique à code couleur pour illustrer la rapidité avec laquelle différents mots de passe pourraient être piratés, en fonction de leur longueur et de l'utilisation de caractères variés, et comment ces temps se sont accélérés depuis 2020 grâce à une technologie plus rapide :
The 🟪 Purple Wave 🟪 is here! Check out how the Hive Systems Password Table changed from 2020 to 2022, and then go download the latest version of it at https://t.co/Hy1hklW66d pic.twitter.com/JRofSJZygE
— Hive Systems (@hivesystems) March 4, 2022
Ces résultats confirment les conseils d'experts tels que le National Institute of Standards and Technology, qui suggère également de choisir des mots de passe longs et complexes comportant au moins huit caractères.
Pour déterminer le temps nécessaire pour craquer vos mots de passe, Hive Systems a utilisé les données de l'outil HowSecureIsMyPassword de Security.org afin de déterminer la vitesse à laquelle un pirate moyen - c'est-à-dire une personne utilisant un équipement grand public, notamment un ordinateur de bureau équipé d'une "carte graphique de premier choix" - peut craquer des mots de passe de différentes longueurs et complexités.
Dans un billet de blog, les chercheurs de la société expliquent comment le processus de craquage de vos mots de passe peut fonctionner. Cela commence par un processus appelé "hachage", un processus algorithmique que les sites Web utilisent pour dissimuler vos mots de passe stockés aux pirates.
Si vous insérez le mot "mot de passe" dans un logiciel de hachage couramment utilisé, appelé MD5, vous obtiendrez cette chaîne de caractères : “5f4dcc3b5aa765d61d8327deb882cf99.” Ainsi, si des pirates pénètrent dans le serveur d'un site Web pour y trouver des listes de mots de passe enregistrés, ils ne verront que des lettres et des chiffres hachés.
Bien entendu, vous ne devriez pas utiliser "password" comme mot de passe. En fait, c'est l'un des mots de passe les plus courants qui finissent par être divulgués sur le dark web.
Les mots de passe hachés sont inviolables, car ils sont créés avec des algorithmes à sens unique. Mais les pirates peuvent établir des listes de toutes les combinaisons possibles de caractères sur votre clavier, puis hacher eux-mêmes ces combinaisons à l'aide des logiciels les plus courants. À ce stade, les pirates n'ont plus qu'à rechercher les correspondances entre les mots de passe hachés de leur liste pour déterminer vos mots de passe originaux.
Il s'agit d'un processus compliqué, mais qui peut être facilement mis en œuvre par n'importe quel pirate expérimenté disposant d'un équipement grand public, note Hive Systems. C'est pourquoi votre meilleure défense consiste à utiliser des mots de passe longs et compliqués qui sont les plus longs à craquer.
Le rapport recommande également vivement de ne pas recycler les mots de passe pour plusieurs sites Web. Si vous le faites et que les pirates parviennent à craquer votre mot de passe pour un site Web, "vous risquez de passer un mauvais quart d'heure", écrit la société.
Il est compréhensible que vous ne souhaitiez pas vous souvenir de mots de passe à 18 caractères chaque fois que vous vous connectez à un compte en ligne. Après tout, un mot de passe qui prend des billions d'années à craquer n'est pas très utile s'il vous faut également quelques millions d'années pour le retenir.
Selon Hive Systems, même un mot de passe de 11 caractères, composé de chiffres, de lettres majuscules et minuscules et de symboles, pourrait mettre 34 ans à être craqué par des pirates. Et c'est certainement mieux que huit heures ou moins.
source :
https://www.cnbc.com/2022/03/20/study-if-your-passwords-are-less-than-8-characters-long-change-them.html