On ne remercie pas Bill Burr

Proposé par
le

Bill Burr est un informaticien qui vous a probablement rendu fou sans que vous le sachiez. Il est en effet à l'origine du fait que des sites internet vous demandent des mots de passe dits complexe (lettre, chiffres, caractères spéciaux), suite à un rapport qu'il rendit dans les années 2000 sur les bonnes pratiques à destination de l’administration américaine. Ses recommandations, devenues populaires, ne se basaient sur aucune étude. Il s'est depuis excusé.


Tous les commentaires (45)

Il me semblait que les systèmes qui existent pour craquer des mots de passe par "brute force" fonctionnaient de telle sortie qu'ils privilégiaient d'abord les mots et caractères les plus courants dans les mots de passe, puis ceux qui sont plus rares (comme les caractères spéciaux) ?

Posté le

android

(0)

Répondre

a écrit : Il me semblait que les systèmes qui existent pour craquer des mots de passe par "brute force" fonctionnaient de telle sortie qu'ils privilégiaient d'abord les mots et caractères les plus courants dans les mots de passe, puis ceux qui sont plus rares (comme les caractères spéciaux) ? Ça dépend de l'algorithme que tu utilises, de la stratégie que tu veux adopter...
Si tu veux craquer le mot de passe d'un site, il te suffit d’adapter ta recherche à la politique de définition de mot de passe du site.
La plupart des sites limitent la taille du mot de passe (une hérésie) à moins de 30 caractères, parfois même à 10 !
La plupart des sites demandent une majuscule, une minuscule, un chiffre et un caractère spécial.
Une énorme partie des gens vont construire un mot de passe qui correspond à ceci :
1 majuscule, entre 1 et 12 minuscules, entre 1 et 5 chiffres, 1 caractère spécial.
Quelques exemples :
Paris2020!
Nicolas38.
Johnny2017*
Grenoble38100-
Les possibilités sont grandement limitées !
Encore une fois, tout dépend de ta stratégie, tout est possible.
--> Tu cherches à craquer le mot de passe d'une personne en particulier (espionnage, usurpation d'identité, chantage...), ou tu cherches à trouver un maximum de comptes rapidement (escroquerie à grande échelle, vol de données personnelles, compte bancaire...) ?
--> Tu attaques un site comme Se Coucher Moins Bête, ou un site comme Pro Hacker ?
--> Tu attaques un mot de passe créé manuellement ou automatiquement (comme celui de ta box internet ?

a écrit : Il me semblait que les systèmes qui existent pour craquer des mots de passe par "brute force" fonctionnaient de telle sortie qu'ils privilégiaient d'abord les mots et caractères les plus courants dans les mots de passe, puis ceux qui sont plus rares (comme les caractères spéciaux) ? Il me semble que tu parles là du craquage par catalogue. La force brute est caractère par caractère...

Posté le

android

(0)

Répondre

a écrit : Tu as fait une erreur de calcul pour ta combinaison de 8 chiffres, minuscules, majuscules et lettres accentuées.
Il fallait écrire ceci : (10+26+26+4)^8 ~ 3,6x10^14, ce qui fait quand même environ 8×10^20 fois moins que ton résultat.

Pour le reste, j'ajouterai qu'on n'est plus aujourd&
#039;hui limité ou obligé à un nombre de caractères et que les mdp enregistrés sont d'abord chiffrés, ce qui complique encore la tâche des hackers... Afficher tout
Tu serais surpris du nombre de sites encore aujourd’hui qui stockent les mots de passe en clair ou avec simplement des hashs non salés !

a écrit : Ça dépend de l'algorithme que tu utilises, de la stratégie que tu veux adopter...
Si tu veux craquer le mot de passe d'un site, il te suffit d’adapter ta recherche à la politique de définition de mot de passe du site.
La plupart des sites limitent la taille du mot de passe (une hérésie) à moins de
30 caractères, parfois même à 10 !
La plupart des sites demandent une majuscule, une minuscule, un chiffre et un caractère spécial.
Une énorme partie des gens vont construire un mot de passe qui correspond à ceci :
1 majuscule, entre 1 et 12 minuscules, entre 1 et 5 chiffres, 1 caractère spécial.
Quelques exemples :
Paris2020!
Nicolas38.
Johnny2017*
Grenoble38100-
Les possibilités sont grandement limitées !
Encore une fois, tout dépend de ta stratégie, tout est possible.
--> Tu cherches à craquer le mot de passe d'une personne en particulier (espionnage, usurpation d'identité, chantage...), ou tu cherches à trouver un maximum de comptes rapidement (escroquerie à grande échelle, vol de données personnelles, compte bancaire...) ?
--> Tu attaques un site comme Se Coucher Moins Bête, ou un site comme Pro Hacker ?
--> Tu attaques un mot de passe créé manuellement ou automatiquement (comme celui de ta box internet ?
Afficher tout
En fait, avec un salage de mot de passe avec un sel assez long, la longueur du mot de passe initial importe peu.

Et pour éviter la brut force depuis l’interface de connexion, il suffit de bloquer le compte au bout d’un certain nombre d’erreurs, ou de rajouter un délai obligatoire de plus en plus grand entre les essais. Je t’accorde que ça n’est pas toujours le cas.