25/08/2010 @ 14:34:17: Sécurité - Les mots de passe de 8 caractères ne sont pas assez sécurisés
Selon une étude menée par l'institut de technologie de Géorgie, il ne suffit que de deux heures pour trouver un mot de passe de huit caractères. Par contre, un password de douze caractères demande quant à lui 17.134 années pour être percée. Les experts en sécurité suggèrent donc d'utiliser des mots de passes plus longs, voire des phrases complètes.
Lien: http://www.gtri.gatech.edu/casestudy/Teraflop-Troubles-Power-Graphics-Processing-Units-GPUs-Password-Security-System
2h pour 8 caractères? Il faut une sacrée bécanne...
Rien que générer la liste des mots de 8 caractères de [A-Za-z0-9], ca prend un temps bête (bon ce qui prend le plus de temps reste l'affichage ou l'écriture dans un fichier) mais tout de même :s
Oui puis euh, en 2h tu les génères, mais il faut aussi que le système auquel tu veux accéder t'autorises à tester le mot de passe autant de fois, un tel brute force ça doit sonner de partout dans les logs ou tuer un site web.
Alors c'est tout relatif comme étude.
euh en fait si on est bien préparé on peut tenter une attaque sur le hashing du mot de passe (qui peut généralement être obtenus via une autre attaque du genre cross site scripting). Le hashing n'est pas mathématiquement réversible...mais il l'est logiquement ! il suffit donc de générér une db contenant toute les possibilité de combinaison de caractères possible, pour une longueur donnée, et d'y associer leurs valeurs de hashing (md5 et autre). une fois ce gros (énorme) boulot terminé, il est possible de cracker un hashing en moins de temps qu'il n'en faut pour dire : "select * from..." ! vous aller dire qu'il suffit donc d'utiliser des mot de passe plus long... et bien non! car ces mots de passe plus long augmente le risque de "collision" avec de hashing de mots plus court. la sécurité informatique est un mythe.... le concept s'appelle "rainbow tables".
Euh, mais ma réflexion reste la même, tu dois avoir le hash donc un accès au système
Quelqu'un à au moins cliqué sur le lien et lu l'article qui s'y réfère ?
L'article met l'accent sur l'utilisation des GPU actuels (facilitée depuis que nvidia a sorti son SDK) pour casser du mot de passe.
Les test sont fait sur des password hash
J'aurai changé le titre en " Les GPU menacent la sécurité des mots de passe"