Il me semblait que les systèmes qui existent pour craquer des mots de passe par "brute force" fonctionnaient de telle sortie qu'ils privilégiaient d'abord les mots et caractères les plus courants dans les mots de passe, puis ceux qui sont plus rares (comme les caractères spéciaux) ?

marushin a écrit : Il me semblait que les systèmes qui existent pour craquer des mots de passe par "brute force" fonctionnaient de telle sortie qu'ils privilégiaient d'abord les mots et caractères les plus courants dans les mots de passe, puis ceux qui sont plus rares (comme les caractères spéciaux) ? Ça dépend de l'algorithme que tu utilises, de la stratégie que tu veux adopter...
Si tu veux craquer le mot de passe d'un site, il te suffit d’adapter ta recherche à la politique de définition de mot de passe du site.
La plupart des sites limitent la taille du mot de passe (une hérésie) à moins de 30 caractères, parfois même à 10 !
La plupart des sites demandent une majuscule, une minuscule, un chiffre et un caractère spécial.
Une énorme partie des gens vont construire un mot de passe qui correspond à ceci :
1 majuscule, entre 1 et 12 minuscules, entre 1 et 5 chiffres, 1 caractère spécial.
Quelques exemples :
Paris2020!
Nicolas38.
Johnny2017*
Grenoble38100-
Les possibilités sont grandement limitées !
Encore une fois, tout dépend de ta stratégie, tout est possible.
--> Tu cherches à craquer le mot de passe d'une personne en particulier (espionnage, usurpation d'identité, chantage...), ou tu cherches à trouver un maximum de comptes rapidement (escroquerie à grande échelle, vol de données personnelles, compte bancaire...) ?
--> Tu attaques un site comme Se Coucher Moins Bête, ou un site comme Pro Hacker ?
--> Tu attaques un mot de passe créé manuellement ou automatiquement (comme celui de ta box internet ?

marushin a écrit : Il me semblait que les systèmes qui existent pour craquer des mots de passe par "brute force" fonctionnaient de telle sortie qu'ils privilégiaient d'abord les mots et caractères les plus courants dans les mots de passe, puis ceux qui sont plus rares (comme les caractères spéciaux) ? Il me semble que tu parles là du craquage par catalogue. La force brute est caractère par caractère...

ShaeGal a écrit : Tu as fait une erreur de calcul pour ta combinaison de 8 chiffres, minuscules, majuscules et lettres accentuées.
Il fallait écrire ceci : (10+26+26+4)^8 ~ 3,6x10^14, ce qui fait quand même environ 8×10^20 fois moins que ton résultat.

Pour le reste, j'ajouterai qu'on n'est plus aujourd'hui limité ou obligé à un nombre de caractères et que les mdp enregistrés sont d'abord chiffrés, ce qui complique encore la tâche des hackers... Afficher tout Tu serais surpris du nombre de sites encore aujourd’hui qui stockent les mots de passe en clair ou avec simplement des hashs non salés !

MarcJohnson a écrit : Ça dépend de l'algorithme que tu utilises, de la stratégie que tu veux adopter...
Si tu veux craquer le mot de passe d'un site, il te suffit d’adapter ta recherche à la politique de définition de mot de passe du site.
La plupart des sites limitent la taille du mot de passe (une hérésie) à moins de 30 caractères, parfois même à 10 !
La plupart des sites demandent une majuscule, une minuscule, un chiffre et un caractère spécial.
Une énorme partie des gens vont construire un mot de passe qui correspond à ceci :
1 majuscule, entre 1 et 12 minuscules, entre 1 et 5 chiffres, 1 caractère spécial.
Quelques exemples :
Paris2020!
Nicolas38.
Johnny2017*
Grenoble38100-
Les possibilités sont grandement limitées !
Encore une fois, tout dépend de ta stratégie, tout est possible.
--> Tu cherches à craquer le mot de passe d'une personne en particulier (espionnage, usurpation d'identité, chantage...), ou tu cherches à trouver un maximum de comptes rapidement (escroquerie à grande échelle, vol de données personnelles, compte bancaire...) ?
--> Tu attaques un site comme Se Coucher Moins Bête, ou un site comme Pro Hacker ?
--> Tu attaques un mot de passe créé manuellement ou automatiquement (comme celui de ta box internet ? Afficher tout En fait, avec un salage de mot de passe avec un sel assez long, la longueur du mot de passe initial importe peu.

Et pour éviter la brut force depuis l’interface de connexion, il suffit de bloquer le compte au bout d’un certain nombre d’erreurs, ou de rajouter un délai obligatoire de plus en plus grand entre les essais. Je t’accorde que ça n’est pas toujours le cas.