Peut-on casser un mot de passe avec une carte graphique ?
Quand on n’utilise pas le même mot de passe sur tous les sites/programmes, il n’est pas facile de tous les connaître par cœur. Fort heureusement, il existe presque toujours une procédure de récupération relativement facile lorsque l’on a un trou de mémoire, ce qui n’est malheureusement pas le cas des fichiers numériques et notamment les archives comme nous en avons récemment fait l’expérience.
Rappelons qu’il y a de nombreux moyens de protéger ses données : TrueCrypt est par exemple un excellent logiciel libre pour chiffrer des informations, d’autant plus qu’il supporte maintenant les instructions AES-NI. Pourtant, le chiffrement des archives est encore la solution la plus répandue.
Le niveau de sécurité est parfois mal compris : pour peu que l’on soit paranoïaque en matière de protection, on choisit le chiffrement le plus complexe en pensant que c’est aussi le plus sûr. L’AES-256 devrait donc être supérieur à l’AES-128 et pourtant, le problème est plus subtil. On peut représenter le chiffrement comme un gros coffre-fort : son épaisseur est gage de sécurité … tout comme la clé qui permet de l’ouvrir. La longueur et la complexité du mot de passe sont donc deux critères à ne surtout pas négliger.
Une majorité de gens estiment qu’un mot de passe contenant huit caractères suffit à tenir les hackers à distance, ce qui n’est pas tout à fait vrai comme nous allons le voir.
Bien se rappeler que la méthode #1 pour cracker n'importe quoi reste le social engineering.
Ça fait froid dans le dos!
À la vue de votre test, l'aes 128 seul n'est plus assez sûr pour une entreprise? Si un simple SLI crake un mot de passe, je n'imagine pas une société concurrente avec un gros budget derrière…
Si l'on agrandi la taille de n, limité à l'ascii, on augmente les combinaisons non? Si les caractères unicode étaient acceptés (et utilisés) cela ferai perdre du temps. █▓▒░→☺←░▒▓█
Les Gpu peuvent faire autre chose que craquer des clés, de la recherche scientifique et médicale, par exemple.
http://folding.stanford.edu/French/Main
http://boinc.berkeley.edu/
@+
*_*
bvorak>L'Unicode ne sert à rien dans un mdp.
Par contre, c'est étrange de déconseiller la répétition d'un caractère.
J'aurais bien vu une carte fermi pur testée moi.... genre une tesla avec 448 cuda core à 1,15 ghz.
250'000$, ça me parait dérisoire comme prix pour un ordi qui test 90 milliards de combinaison par secondes en 1998. Vous ne vous seriez pas trompé d'un ou plusieurs ordre de grandeur?
Car même actuellement, pour mettre en commun des cartes graphiques et se faire une bestiole de course personnalisée, il faut compter pas loin de ça.
Moi ce qui m'aurait interréssé, c'est le crack de WPA avec le logiciel d'elcomsoft en calcul distribué, ou sur du clustering de ps3 linux
Il existe également le programme 7-zip : opensource, gratuit, multilingue, existe en portage multiplate-forme (linux, mac, java, ...), supporte uniquement l'AES-256 avec le cryptage optionnel des noms de fichiers. Les algorithmes de compression LZMA et LZMA2 sont également parmi les meilleurs.
A lire par curiosité concernant l'AES :
> Recommendations de la NSA pour le cryptage AES
> Document source (en anglais)
Moi il y a un truc que je ne comprends pas avec les mots de passe. Pourquoi, on se complique la vie avec des chiffrements toujours plus complexes et que dans le même temps on autorise un programme a tenté des mdp autant de fois qu'il veut par seconde ???
Un simple délai de 200 ms, totalement invisible pour l'utilisateur, rend l'attaque par force brute caduque, quelles que soient les performances de la machine.
Pourquoi ce n'est implémenter de base ? Est-ce contournable si facilement ?
Euh... c'est le logiciel de crackage qui décrypte/ouvre le fichier, pas le logiciel de compression.
Il faut parler de chiffrement (procédé rendant incompréhensible un document sans la clé de (dé)chiffrement) et non de chiffrage (évaluation financière par exemple), et encore moins de cryptage (barbarisme).
Qu'en est-il de la puissance de calcul d'un data center/cloud. Peut on se servir de la puissance de ce genre de machine/hébergement avec un simple abonnement à un service quelconque?
Parce que l’exécution d'un code malicieux au sein de ce genre d'infrastructure doit réduire très grandement le temps de recherche. Admettons encore que le petit code puisse s’exécuter depuis plusieurs infrastructures... Qu'en est-il de la durée de vie du mot de pass?
pas très français : "N’oublions pas non plus oublier qu’à défaut"
en bas de la page : Résistance des mots de passe
Qu'en est-il de la puissance de calcul d'un data center/cloud. Peut on se servir de la puissance de ce genre de machine/hébergement avec un simple abonnement à un service quelconque?Parce que l’exécution d'un code malicieux au sein de ce genre d'infrastructure doit réduire très grandement le temps de recherche. Admettons encore que le petit code puisse s’exécuter depuis plusieurs infrastructures... Qu'en est-il de la durée de vie du mot de pass?
ça existe : WPA cracker
Il faut parler de chiffrement (procédé rendant incompréhensible un document sans la clé de (dé)chiffrement) et non de chiffrage (évaluation financière par exemple), et encore moins de cryptage (barbarisme).
Chiffrage est en effet un contresens. Cryptage, lui, est passé dans la langue : http://www.larousse.fr/dictionnair [...] tage/20841
A moins d'avoir un mot de passe en "langage humain" de plus de 20 caractères converti en hexadécimal, le tout dans un fichier .txt, on dirait bien qu'on est tous vulnérables.
Super article
Bref, je suis vraiment tranquille avec mon mot de passe à 17 caractères ^^
Bon j'imagine que la NASA pourrait quand même le cracker en quelques secondes avec leurs supercalculateurs. xD
Reste le social engineering c'est sur ^^
Je contredis la méthode préconisée en conclusion pour le choix de mot de passe. La seule méthode est de générer un mot de passe aléatoire en mettant en entrée d'une fonction simple les 2 données suivantes : (a) nombre de caractères souhaités, (b) liste des caractères possibles.
(b) pourra contenir toutes les catégories que vous mentionnez (minuscules, majuscules, chiffres, caractères spéciaux ...); MAIS le mot de passe aléatoire qui sortira n'a aucune raison de contenir forcément au moins un caractère de chaque catégorie...
Au moins une majuscule
Au moins une minuscule
Au moins un chiffre
→→→ J'ai la flemme de calculer la diminution du nombre de combinaisons possibles dûe à cette règle. Elle est probablement assez importante pour qu'il puisse être intéressant d'optimiser les logiciels de recherche de mot de passe pour éliminer dans un premier temps de la recherche les combinaisons qui ne les respectent pas.
De plus, elles amènent à des constructions de mots de passe biaisées par la perception de l'utilisateur. Au pire, on aura un mot "normal" où on ajoutera un chiffre, un caractère spécial, et une majuscule; au mieux on construira un pseudo-aléatoire où on aura tendance à éliminer les choses prononçables, certaines lettres ou chiffres courantes ... tout ça pour au final réduire encore les possiblités (mais là c'est plus dûr à programmer dans les logiciels de recherche) → rien ne vaut un mot de passe généré aléatoirement par une machine.
Au moins un caractère spécial comme @ ou !
→ mêmes remarques qu'au dessus, mais ajoutons aussi que les caractères qui seront généralement choisis sont ceux directement disponibles sur le clavier, et généralement utilisés seuls. Le nombre total de caractères ASCII est donc loin du nombre utilisé dans les calculs de l'article, puisqu'on n'ajoute que quelques caractères par rapport aux lettres/chiffres(&#[]{}/!§?%$, plus souvent utilisés que ÉÇ`|ù°~'. à mon avis)
Bref ... ne choisissez jamais un mot de passe "à la main", que ça soit un simple mot du dictionnaire ou un mot de passe "complexe" créé avec les règles qu'on voit trop souvent. Générez un mot de passe aléatoire et retenez le
La réponse d'aze555666 est certes pertinente... sauf qu'un tel mot de passe ne peut pas être mémorisé, le "retenez-le" est une véritable gageure. Va encore pour 1, mais pas pour plusieurs. On retombe alors dans la problématique de cet excellent article : comment réussir à retrouver son mot de passe ? Et avec le conseil donné par aze555666, c'est infaisable... Bien sûr, vous allez écrire votre mot de passe blindé quelque part, et le glisser par exemple sous votre clavier LOL
La meilleure solution pour un mot de passe demeure la création d'une phrase et sa conversion ensuite en un mot de passe, c'est un excellent compromis entre la simplicité de mémorisation et ce qui se rapproche le plus d'un véritable aléatoire.
Par exemple : J'habite à Paris au 22 rue Toto, avec ma femme et mon fils Luc !
Devient : J'hàPa22rT,amfemfL!
Et il est pratiquement impossible à oublier puisqu'on raconte toujours la même phrase à chaque fois, tout en comportant une bonne variété de symboles spéciaux divers (pas systématiquement, mais souvent)
En bonus, pour ceux qui voudraient estimer la puissance de leur mot de passe (Anglais requis) : http://www.mandylionlabs.com/documents/BFTCalc.xls
Article intéressant. Pour approfondir, je sais que l'on peut calculer l'énergie à dépenser pour cracker une clé, énergie lié à l'algorithme utilisé. L'équation complexité de la clé/temps revient en fait à complexité de la clé/énergie dépensée. On pourrait donc avoir une analyse duale qui reviendrait, d'après votre article, non pas à calculer le temps que l'on peut mettre, mais à calculer l'efficacité énergétique réelle des processus multi-GPU vs les processus traditionnels CPU.
Sinon pour votre conseil: "Eviter d’ajouter un chiffre en suffixe", je ne suis pas d'accord, si l'on considère cette règle, on multiplie automatiquement par 10 la durée de recherche, ce qui est toujours mieux que rien. Bien sur, mieux vaut plusieurs chiffres qu'un seul...
+1 sur les commentaires précédents, la conclusion est a nuancer fortement.
Au moins neuf caractères
Au moins une majuscule
Au moins une minuscule
Au moins un caractère spécial comme @ ou !
Au moins un chiffre
+ Au moins une mémoire d'éléphant
ou le cas classique, le post-it avec le mot de passe collé sur l'écran ou dans le tiroir du bureau. Bien joué pour la sécurité!
Un mot de passe de 8 à 12 caractères sera largement suffisant pour toutes les applications courantes. Qu'il contienne des chiffres des majuscules ou des caractères spéciaux c'est pas très important, à la rigueur un ou deux chiffres pour être tranquille, puisque si c'est une force brute derrière qui sera utilisée elle testera forcément toutes les combinaisons après avoir fait choux blanc pendant plusieurs jours avec juste un jeu de base à minuscules (à moins que vous ne lui ayez dit ce que contient votre mot de passe).
Il faut juste éviter les mots dictionnaires (au sens propre comme au sens large, de ceux qui sont utilisés justement pour les attaques avec dictionnaire).
Le truc de la phrase est pas mal mais bonjour pour taper ça sans se planter à l'aveugle
Après tout dépend du niveau de sécurité recherché et de votre paranoïa.
Cette étude est fait à partir d'une supposition qui est qu'on a accès direct au fichier crypté. Cette hypothèse est très particulière.
Dans la plupart des cas, l'attaquant n'a pas accès direct à la base de mot de passe. Il n'y a pas d'autre moyen pour l'attaquant que de passer par l'interface proposée pour tester (par exemple, le webmail, le ssh, la borne WPA, etc.). Dans un tel cas, ce qui limite, c'est les temps de latence d'accès à cette interface. Et dans ce cas, seuls les mots de passe les plus triviaux sont vulnérables.
Ceux qui semblent s'y connaître bien mieux moi pourrait peut-être m'éclairer.
Je cite l'article : "M07d3p@553 n’est pas non plus un bon mot de passe vu que les crackeurs connaissent ce genre de transcription".
Ca veut dire quoi ? J'élimine qu'il faut juste éviter M07d3p@553. Mais plus généralement qu'il faut éviter tout mot de passe en leet speak ? Y a des dictionnaires de leet ? Sachant quand même que c'est, comment dire, flexible le leet, y a moyen de programmer une attaque contre du leet ?
Bon, ben si c'est ça, là j'apprends un truc, et faut que je revois mes mdp.
Et est-il exact qu'on peut, avec le bon matos, électromagnétiquement écouter à distance la frappe d'un clavier, sauf, je suppose, à ce que celui-ci soit protégé par une cage de faraday ?
Je voulais savoir maintenant qu'on est dans cet article j'ai quelques questions :
) 1 coeur calcule les combinaisons de a à f, le second de g à m, le troisième de n à u et le dernier de v à z.
nous sommes d'accord, juste à retrouver ce mot de passe en question
1) Existe-t-il un soft capable d'utiliser simultanément les coeurs de sa mobo simultanément ? Genre par exemple pour 4 coeurs : on suppose que pour une combinaison de 6 minuscules (pour la faire courte
Il me semble que l'on gagnerait beaucoup plus de temps si l'on tirait parti de tous les coeurs profitables non ?
2) Je cherche un soft ou commande sous Linux qui permette de cracker une archive RAR, dont je souhaite retrouver un mot de passe < à 10 caractères composé de lettres minuscules, car je me souviens plus du mot de passe, ni même où j'ai égaré ce fichu post-it.
Edit: le fichier en question date de il y a 2 ans environ.
Edit²: Je ne cherche pas à pirater quoique ce soit hein
Un article sympa sur le sujet 22Milliards de MDP/sec o_O
http://www.tux-planet.fr/comment-c [...] a-seconde/
Je me casse pas trop la tête : http://keepass.info/download.html
Hash de la DB avec AES ... donc peut être transportable sur clé USB (a la condition de ne pas la perdre ...)
Deux password a connaitre/retenir, celui pour ouvrir la session sur mon PC et celui associé a la DB Password.
mieux que le post it , c'est le mot de passe dans le nom du fichier style "compta2009_AzaqSd45!!7nB.zip"
si si y'en a qui font ça ^^
Cette étude est fait à partir d'une supposition qui est qu'on a accès direct au fichier crypté. Cette hypothèse est très particulière.Dans la plupart des cas, l'attaquant n'a pas accès direct à la base de mot de passe.
Dans le cas qui nous intéresse, le décryptage, c'est toujours le cas. C'est aussi le cas pour l'authentification : si tu sais qu'un utilisateur connais le mot de passe pour s'authentifier sur son webmail/ssh, tu peux bruteforcer la clef de session de TLS ou SSH pour piquer son mot de passe. Pour WPA c'est différent, c'est une "preuve sans divulgation", mais c'est quand même bruteforcable.
Très bon dossier.
Pas besoin de grosse machine qui tache, comme pour beaucoup d'américain le mot de passe est souvent: password.
) je comprends dans cette article que le drame serait d'avoir un mot de passe que seul son utilisateur serait en mesure d'utiliser... Mais apparement l'utilisateur étant aussi faillible que les mots de passe cela n'est simplement pas possible (au risque de perdre des données top secréte, ahah), à partir de là, où ce trouve l'utilité d'un mot de passe? Ce qu'on probablement compris les américains ! Il peut quand même nous protéger d'une grand mère un peu folle et très agressive (tout est relatif) fortement équipé de son sac à main, et voulant te voler ta mobylette de compétition chèrement aquise.
M'enfin c'est marrant ce genre de sujet très "Hacker" ou "Craker" comme vous voulez les uns étant un peu les autres (et inversement biensur
Ceux qui ont vraiment besoin de sécuriser leur machine ne viennent pas lire les anneries sur ce genre de forum, mais cela peut évetuellement motivé des gens qui veulent s'amuser bêtement avec les ordinateurs des autres, je ne vois pas l'utilité de ce genre de débat!