IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La force globale d'un mot de passe augmente de manière exponentielle à l'ajout d'un caractère supplémentaire
Il faudrait 34.000 ans pour craquer un code à 12 caractères différents

Le , par Sandra Coret

27PARTAGES

22  0 
La société de recherche de données en ligne Statista a partagé un graphique, basé sur les données de SecurityOrg, sur la façon dont l'ajout de différentes lettres à un mot de passe peut le rendre presque impossible à craquer.

Selon les données, les mots de passe tels que 123456 ou "qwerty", qui sont deux des mots de passe les plus utilisés dans le monde, ne devraient plus être privilégiés par personne. Les chercheurs ont ajouté qu'en comparaison avec ces deux mots de passe, si un utilisateur décide de créer un code d'accès unique et fort, celui-ci pourrait même être craqué par un ordinateur programmé travaillant systématiquement dans le seul but de le casser.

Les spécialistes de SecurityOrg ont partagé quelques informations utiles. D'après leurs données, si un utilisateur ajoute une seule lettre majuscule à son code d'accès, la force globale de celui-ci peut être modifiée de manière exponentielle. Un code d'accès à 8 chiffres peut être détruit par un ordinateur en 22 minutes seulement. Auparavant, si l'utilisateur n'avait pas utilisé la lettre majuscule, l'ordinateur aurait pu accomplir la tâche en une seconde seulement. De se faire craquer en une seconde à ajouter 22 minutes au temps, voilà ce que peut faire une majuscule supplémentaire.

Même un délai de 22 minutes est inacceptable, et un tel mot de passe n'est pas considéré comme fiable. Si une minuscule est ajoutée au mot de passe, la force est à nouveau multipliée, et maintenant le temps est étiré de 22 minutes à 60 minutes. Si un symbole supplémentaire est également ajouté, le temps nécessaire augmentera de 8 heures.


L'ajout de lettres majuscules et minuscules, de chiffres et de symboles pourrait prendre des années pour être craqué par un système programmé. Un mot de passe basé sur 12 caractères et comportant tous ces caractères différents pourrait prendre près de 34 000 ans à être craqué.

Avec chaque caractère supplémentaire du mot de passe, le nombre de combinaisons change à un rythme exponentiel. Un code à 8 chiffres avec des lettres minuscules comporte deux cent neuf combinaisons différentes, et si une majuscule est ajoutée, le mot de passe compte désormais 53 400 milliards de possibilités différentes. Ensuite, si un chiffre est ajouté, la possibilité est maintenant de 1 sur 218 000 milliards de cas. Enfin, si un utilisateur décide d'ajouter également un symbole, le mot de passe aura 430 000 milliards de possibilités différentes.

Source : Statista

Et vous ?

Que pensez-vous de ces données ? sont-elles pertinentes ?
Selon vous, quel est le moyen le plus sûr pour conserver ses mots de passe en toute sécurité, sans avoir à tous les mémoriser ?

Voir aussi :

Six personnes sur dix se fient à leur mémoire pour gérer efficacement leurs mots de passe, une approche incorrecte et préoccupante, selon une étude menée par Bitwarden

Pourquoi les outils d'analyse de mot de passe sont inefficaces face aux comportements humains ? Par Patrick Tilley, Product Security Engineer, chez Pathwire

Plus de la moitié des employés écrivent leurs mots de passe liés au travail sur des post-it, ce qui entraîne un risque important pour la cybersécurité, selon Keeper Security

Cybersécurité : 66 statistiques sur les mots de passe qui vont changer vos habitudes en ligne, par Panda Security

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de JPLAROCHE
Membre éprouvé https://www.developpez.com
Le 30/12/2021 à 10:03
bonjour, ce n'est qu'une remarque.

Un jour, on a voulu sécuriser un peu plus les mots de passe AS400, en conséquence nous avons à la base d'un algorithme généré des mots passe plus complexe.
Résultat, ils ont copié les mots de passe sur divers supports et mis dans leurs tiroirs.
Cela m'a laissé dubitatif.
3  0 
Avatar de 23JFK
Membre émérite https://www.developpez.com
Le 29/12/2021 à 16:56
J'aime bien passer des plombes à saisir mes mots-de-passe, et c'est encore mieux quand je fais une erreur. C'est pourquoi ils ne font jamais moins de 17 caractères parfois 40 pour l'interface des systèmes qui le permettent (trop rarement).
3  1 
Avatar de ijk-ref
Membre confirmé https://www.developpez.com
Le 30/12/2021 à 0:20
Citation Envoyé par Anselme45 Voir le message
C'est faux! Il faudrait 34.000 ans pour tester tous les cas possibles, nuance importante!
... avec la technologie actuelle.

Dans 25 ans il suffira de 4 mois pour faire un calcul demandant 34 000 ans aujourd'hui (loi de Moore)
2  0 
Avatar de vanquish
Membre expérimenté https://www.developpez.com
Le 30/12/2021 à 9:21
La sécurité tient autant au mot de passe qu'au système qui le vérifie.
Pour rappel, un code carte bleu c'est 4 caractères et que des chiffres.

Donc en plus des 12 caractères, il faut - à chaque fois que c'est possible - imposer une durée entre 2 essais.
Déjà bloquer l'accès 1h ou 2h après 25 tentatives : soit c'est une attaques, soit il vaut mieux laisser l'utilisateur laisser reposer son cerveau (il va se rappeler tout seul qu'il a a changé son mot de passe avant-hier ou qu'il réalise qu'il est en majuscules).

Mais même avant : le temps de réaliser qu'il y a eu un refus, de remettre le focus sur le champs de saisie, de taper son mot de passe, de cliquer sur valider, même un Jedi va mettre plus de 2 secondes. Obliger à une pause de 2 secondes entre 2 tentatives va être totalement transparente pour l'utilisateur, mais empêchera une attaque par force brut.

Je ne comprend pas que ce genre de mesure ne soit pas systématique, partout où c'est possible.

Citation Envoyé par 23JFK Voir le message
J'aime bien passer des plombes à saisir mes mots-de-passe, et c'est encore mieux quand je fais une erreur. C'est pourquoi ils ne font jamais moins de 17 caractères parfois 40 pour l'interface des systèmes qui le permettent (trop rarement).
C'est la quantité le problème.
Pour certaines choses hyper sensible, comme mon e-mail principal qui permet de ré-initialiser tous les autres mots de passe , j'ai des mots de passe très long que je n'ai aucun mal à mémoriser ni à taper, même si je n'ai pas mon gestionnaire de mdp.

A l'instant, je sors au hasard une BD de la bibliothèque qui est derrière moi : c'est un Thorgal : Les yeux de Tanatloc par Rosinski et Van Hamme.
J'en fait
TGL:LydT-R0V@
14 caractères.
Quand je les tape je récite mentalement le nom de la BD.
Ca marche avec des romans, des films, le vers d'une chanson, une réplique culte (Lcçht.C'emàçq'olr).
2  0 
Avatar de tabouret
Membre confirmé https://www.developpez.com
Le 30/12/2021 à 11:31
Citation Envoyé par 23JFK Voir le message
J'aime bien passer des plombes à saisir mes mots-de-passe, et c'est encore mieux quand je fais une erreur. C'est pourquoi ils ne font jamais moins de 17 caractères parfois 40 pour l'interface des systèmes qui le permettent (trop rarement).
Mot de passe aléatoire j’espère

Déjà la longueur d'un mot de passe seul ça ne veut rien dire. Mets moi du 12 caractères aléatoire avec NTLM et je te craque ça en 5 minutes chrono via une bonne EC2 (j'avais craqué une base NTDS Active directory entière en quelques minutes sur AWS).

Ce même mot de passe aléatoire en AES-256 et la c'est même pas la peine d'y penser. 34000 ans ou 1 milliards d'années ou 10 secondes, tout dépend de l'algorithme qu'il y a derrière, la longueur d'un mot de passe seul ne veut rien dire.

Ensuite le mieux est de passer par un gestionnaire de mot de passe avec double authentification, avec un mot de passe maître de 14/16 caractères pas degueu.
2  0 
Avatar de ijk-ref
Membre confirmé https://www.developpez.com
Le 30/12/2021 à 14:53
Citation Envoyé par JPLAROCHE Voir le message
(...) Résultat, ils ont copié les mots de passe sur divers supports et mis dans leurs tiroirs.
Ne pas s'attendre à ce résultat c'est méconnaître grandement l'humain. Aucunes solutions laissant taper les mots de passe par des humains ne peuvent être viables car ça finit toujours par quelque chose de similaire.
2  0 
Avatar de tabouret
Membre confirmé https://www.developpez.com
Le 30/12/2021 à 11:31
Citation Envoyé par JPLAROCHE Voir le message
bonjour, ce n'est qu'une remarque.

Un jour, on a voulu sécuriser un peu plus les mots de passe AS400, en conséquence nous avons à la base d'un algorithme généré des mots passe plus complexe.
Résultat, ils ont copié les mots de passe sur divers supports et mis dans leurs tiroirs.
Cela m'a laissé dubitatif.
Si je vois ça je pète un plomb
1  0 
Avatar de sanderbe
Membre régulier https://www.developpez.com
Le 29/12/2021 à 20:22
Bonjour,

Que pensez-vous de ces données ?
Chiffres interessants. C'est vertigineux comme proba.

Selon vous, quel est le moyen le plus sûr pour conserver ses mots de passe en toute sécurité, sans avoir à tous les mémoriser ?
La passphrase . Retenir 2 à 5 passphrases, puis pour les autres mdp "moins sensible", c'est que les applis ne sont pas utilisables depuis l’extérieur. Il reste le bloc note partagé

Je dirai plutôt qu'il n'y a pas de politique "unique" .

Le mieux étant de compléter les systèmes avec des tempos et séquençages d'essais. Au délà on se fait jeter après X essais infructueux.
0  0 
Avatar de JP CASSOU
Membre averti https://www.developpez.com
Le 30/12/2021 à 12:56
La solution: Une clef physique (lecteur de carte, clé USB)
0  0 
Avatar de 23JFK
Membre émérite https://www.developpez.com
Le 30/12/2021 à 23:30
Citation Envoyé par tabouret Voir le message
Mot de passe aléatoire j’espère ...
Bien sûr, faut bien faire travailler sa mémoire. La longueur d'un mot de passe peut par ailleurs empêcher quelqu'un de retenir votre séquence en regardant par dessus votre épaule. Pour ce qui concerne leur crackage, cela dépend de l'algo employé, mais si le code de validation prend en compte la longueur du mot de passe ou plusieurs hashcodes de recombinaisons du mdp ,et pas seulement un hashcode unique, il vous faudra une bonne cafetière pour tenir les milliers d'années nécessaire au crackage.
0  0