Tester la force de votre mot de passe
Aujourd'hui, on nous demande de changer nos mots de passe. Comment créer un mot de passe fort et le retenir facilement ?
J'ai été amené récemment à me pencher sur les problèmes de sécurité (merci guizm0). Après plusieurs études et tests, il s'avère la force d'un mot de passe ne réside pas dans un mélange de lettres et de chiffres comme on pourrait le croire, mais dans sa longueur !.
En effet, il existe des dictionnaires qui recensent toutes les combinaisons possible de lettres et de chiffres, ainsi que des caractères spéciaux. En moins de 10 minutes, votre mots de passe est trouvé.
Exemple : polo02! - ( 7 caractères tout mouillé )
Temps pour le décrypter (avec un pc équipé de 4 processeurs) :
- Cryptage MD5: 3 minutes
- Cryptage SHA1: 11 minutes
- Cryptage MD5Crypt: 18 jours
- Cryptage Bcrypt: 48 ans
C'est relativement rapide, ( imaginez avec une dizaine de pc en parallèle ... )
Là où le problème se complique, c'est quand le mot de passe est trés long. Il est pratiquement impossible de stocker toutes les combinaisons de lettres et chiffres de plus de 15 caractères. Cela demanderai plusieurs milliers de gigaoctets d'espace de stockage, ce qui n'est pas à la disposition de tout le monde.
Certains diront "oui mais il existe les rainbow tables ...". En effet, les "raindow tables" permettent grace à une fonction de réduction de limiter l'espace de stockage des combinaisons. Toutefois cela représente quand même plusieurs centaines de Gigaoctets pour des petits mots de passe de 1 à 7 caractères.
Alors comment retenir un mot de passe très long ?
La meilleure méthode ?
Utiliser une phrase en guise de mot de passe.
Exemple :
"Je m'appelle Laurent et j'habite dans le 02400" ( = 48 caractères )
Temps nécessaire pour le cracker (selon la methode utilisée lors de son enregistrement ) :
MD5 : 5,0 277 715 841 940 936 (+76 zéros) années
SHA1: 1,6 203 045 555 596 024 (+77 zéros) années
MD5Crypt: 3,9 408 570 101 304 287 (+80 zéros) années
Bcrypt: 3, 727 740 086 576 171 (+83 zéros) années
On s'aperçoit tout de suite de l'intérêt d'un mot de passe long
(Le pirate n'aura pas assez de sa vie pour le cracker).
Voilà, simple et efficace
PS : Utilisez des majuscules et chiffres dans votre "phrase mot de passe", car de plus en plus de sites les imposes lors de la création d'un compte.
Lien utile
>> Tester la robustesse de vos mot de passe >>
Autres liens
Fonctionnement des rainbow tables
Rainbow tables en téléchargement