Les mots de passe restent le maillon faible de nos données. Et si aucun d'entre eux n'est infaillible, une étude montre combien il est important de les rendre le plus complexes et robustes possible. Il ne faut en effet que quelques secondes pour pirater le mot de passe le plus utilisé, « 123456 ».
Cela va sans dire, mais c'est mieux en le disant : plus un mot de passe est court et simple, comme une suite de 4 lettres dans l'ordre alphabétique ou de chiffres, plus rapidement il sera craqué. Pourtant, en 2023, « 123456 » était le mot de passe le plus utilisé par les Français.
Et même si, dans l'absolu, aucun mot de passe ne sera jamais assez long ni assez complexe pour être inviolable, autant ralentir la tâche des hackers, qui pourront mettre jusqu'à des milliards d'années pour cracker les plus forts. C'est en tout cas ce qu'a mesuré le dernier rapport de chez Hive Systems. Entre quelques secondes et plusieurs dizaines de billions d'années sont nécessaires pour pirater un mot de passe, en fonction de sa longueur et de sa complexité.
L'attaque par force brute pour cracker les mots de passe
Comme Hive Systems le montre dans un tableau publié sur son compte X.com, il ne faut par exemple que 3 secondes à un pirate pour trouver un mot de passe de 4 caractères composé de majuscules et minuscules, contre… 19 quintillions (avec 30 zéros) d'années pour décoder 18 caractères composés de chiffres, de lettres en minuscules et majuscules, et de symboles différents. Autant dire qu'il n'est pas encore né, celui qui saura le cracker.
En revanche, leurs outils et méthodes, eux, sont bien là. Et pour réaliser de telles performances, les chercheurs de Hive Systems ont enfilé leurs cagoules de cyberpirates et utilisé du matériel plutôt robuste, à savoir 12 GPU GeForce RTX 4090 de NVIDIA ainsi que des processeurs généralement utilisés dans les data centers. Pour la technique, ils ont utilisé la bonne vieille attaque par force brute, qui consiste à saisir toutes les combinaisons possibles les unes après les autres. Un peu long, certes, mais efficace.
Et pour contourner le système de hachage des mots de passe, utilisé par les entreprises pour « chiffrer » les mots de passe, ils ont tout simplement listé toutes les combinaisons de caractères du clavier avant de les hacher. Il leur a ensuite suffi de dénicher les correspondances entre cette liste et la base de données des mots de passe hachés, piratée sur le site concerné.
Comment renforcer vos mots de passe
Bien sûr, des alternatives aux mots de passe existent, souvent plus simples et efficaces pour protéger vos données, et éviter le piratage des mots de passe. Microsoft vient de généraliser l'usage des passkeys, ou clés de sécurité, pour tous ses produits au grand public. Les clés de sécurité physiques permettent une sécurité supplémentaire en externalisant l'authentification.
Mais pour les irréductibles du mot de passe manuel, il reste la solution du renforcement de la sécurité. Clubic vous indique quelques bonnes pratiques pour vous aider à rendre vos mots de passe si complexes et sûrs qu'il faudra bien quelques milliards d'années aux hackers avant de les cracker.
La règle d'or est de ne jamais utiliser le même mot de passe pour des comptes différents. De la même façon, évitez de vous connecter sur un compte avec les identifiants d'autres comptes, tels que Google ou Facebook, pour accéder à un site de e-commerce.
Ensuite, même si la tentation de stocker ses mots de passe sur son navigateur, de les consigner dans un document de son ordinateur ou même sur le cloud est grande, en cas de piratage, vous perdrez tout. N'hésitez donc pas à opter pour le chiffrement.
Pour renforcer la sécurité de vos mots de passe, rien de tel qu'une couche supplémentaire. L'authentification à deux facteurs ou plus, bien que parfois pénible, vous garantit qu'en cas de piratage, le hacker ne pourra pas aller plus loin que votre login et votre mot de passe.
Enfin, le gestionnaire de mots de passe reste un allié de choix, il fait tout à votre place. Ou presque. Il vous demandera juste… un mot de passe maître pour accéder à tous les autres, qu'il aura déterminés, chiffrés et stockés pour vous.
29 novembre 2024 à 08h50
Source : Hive Systems