Un tableau provenant du livre Troubleshooting Windows 7 nous montre combien de temps cela prendrait pour un PC classique de cracker un mot de passe suivant sa longueur et sa complexité.
Ce livre ayant été écrit en Novembre 2010, les temps de traitement rapportés dans ce tableau doivent maintenant être plus courts mais il reste tout de même un bon indicateur. Par exemple un mot de passe de 8 caractères composé d'au moins une lettre majuscule et minuscule, de nombres et de symboles prenait à l'époque 2,25 ans à cracker. Le même mot de passe aujourd'hui ne prendrait que 57 jours à cracker.
ghacks nous propose ici son tableau avec des zones de chaleurs en rouge, jaune et vert suivant si le mot de passe est sécurisé ou non sécurisé.
k - mille - 1.000
m - million - 1.000.000
bn - milliard - 1.000.000.000
tn - trillion - 1.000.000.000.000
qd - quadrillion - 1.000.000.000.000.000
qt - quintillion - 1.000.000.000.000.000.000
Comme ils l'expliquent dans leur article, la loi de Moore a beaucoup à voir avec les durées plus courtes qu'il faut faut pour cracker un mot de passe aujourd'hui. En 1975, Moore réévalua sa prédiction en posant que le nombre de transistors des microprocesseurs sur une puce de silicium double tous les deux ans. Et aujourd'hui avec les quad core et l'utilisation du GPU pour des calculs encore plus poussés, nous pouvons voir que nos mots de passe que nous considérions comme sécurisés ne le sont tout simplement pas.
Pour avoir un mot de passe sécurisé, il faut faire en sorte que celui-ci contienne des lettres majuscules et minuscules, des chiffres et des caractères spéciaux avec une longueur entre 10 et 14 caractères. Évitez aussi les mots de passe connus utilisés par la majorité des dictionnaires comme God par exemple et votre date de naissance qui peut être facile à deviner.
Pour savoir si votre mot de passe est sécurisé, vous avez des sites comme How Secure Is My Password qui vous permettront de rentrer votre mot de passe afin de savoir le temps que cela peut prendre pour un PC de bureau à le cracker.
Toutes les requêtes qui sont faites au moment où vous entrez votre mot de passe sont faites en Javascript (côté client). Aucune requête de type POST ou XHR (ajax si vous préférez) ne sont effectuées. Il n'y a donc aucun risque que votre mot de passe soit envoyé vers le serveur. Au niveau de la connexion qui n'est pas HTTPS, c'est normal car aucune donnée chiffrée ne circule.
Pour plus d'infos, allez lire la partie Privacy Policy du site.
MISES A JOUR DE L'ARTICLE |
Arff, je crois que tous mes mots de passe sont à 1 quintillion minimum...
Le plus gros problème, c'est de s'en souvenir après ! Du coup, j'ai un petit fichier crypté qui les recense tous, lui-même protégé par un mot de passe un peu plus user friendly
Par contre, je n'essaierai jamais un site qui teste ton mpd. Et puis quoi encore
Certains te diront que "How Secure Is My Password" sert à récupérer tous les mots de passes que les gens viendront tester. C'est ce que l'on m'a dit quand je l'ai évoqué avec des amis ... Quand penses tu CrazyMax ?
Par rapport à "How Secure Is My Password", si je l'ai proposé, c'est que j'ai quand même pris le soin de vérifier comment il fonctionnait. On m'a d'ailleurs posé la même question sur Google+.
Alors pour faire simple vous pouvez déjà aller jeter un oeil à la partie Privacy Policy du site. Dessus le concepteur du site indique que le traitement se fait en Javascript (dcôté client) et donc votre mot de passe n'est pas envoyé sur le serveur. Il n'y a pas de requêtes POST ou XHR (ajax si vous préférez). Au niveau de la connexion qui n'est pas HTTPS, c'est normal car aucune donnée cryptée ne circule.
J'espère vous avoir bien aiguillé. Je vais d'ailleurs éditer l'article pour le préciser