Les pirates peuvent craquer les mots de passe de 16 caractères en moins d’une heure

Niveau: Avancé.

Selon un article un peu ancien du Daily Mail Online, les pirates de Ars Technica peuvent casser les mots de passe de 16 caractères en moins d’une heure, y compris des mots de passe comme « qeadzcwrsfxv1331 ».

Les hackers ont publié la façon dont ils ont craqué les mots de passe. La lecture de l’article de Ars Technica révèle que la complexité algorithmique ne suffit pas elle-seule pour déjouer les systèmes de craquages de mots de passe.

Plutôt que d’entrer plusieurs fois les mots de passe sur un site Web, les pirates ont utilisé une liste des mots de passe hachés qu’ils ont réussi à obtenir. Le « hachage » (ou « empreinte » ou « condensat ») consiste à prendre un mot de passe en texte clair et de le transformer en une chaîne unique de chiffres et de lettres.

L’avantage du hachage est de ne pas être obligé de stocker le mot de passe en clair. De plus, l’algorithme de hachage produit des valeurs très différentes même pour deux mots de passe très proches.

Par exemple le hachage md5 de soleil est 23206deb7eba65b3fbc80a2ffbc53c28, celui de Soleil est fb33a4baf12afe0a8338d2a91b23b5a9.

Il est très complexe de déduire le mot de passe à partir de la valeur du hachage. Cela signifie qu’à partir de la liste des valeurs de hachages, les mots de passe en texte clair ne peuvent pas être obtenus facilement, bien que ces algorithmes soient connus.

Toutefois, la démonstration de Ars Technica a mis en évidence que ce n’était pas impossible. En effet, Jeremi Gosney a réussi à casser en 16 minutes les 10233 premiers mots de passe, soit 62% de la liste.

Pour cela, il a utilisé une méthode d’attaque par force brute. Une attaque par force brute consiste à essayer toutes les combinaisons possibles de caractères.

Il a commencé par chercher tous les mots de passe de un à six caractères. Cela lui a permis de trouver 1316 mots de passe en texte clair en moins de 3 minutes. Ensuite, il a cherché les mots de passe de sept à huit caractères et formés uniquement de lettres minuscules (1618 mots de passe trouvés) puis formés uniquement de lettres majuscules (708 mots de passe trouvés).

Il a aussi utilisé d’énormes listes de mots de passe où le calcul du code de hachage est déjà réalisé.

Ces listes se nomment des tables arc-en-ciel. Il suffit alors de comparer les valeurs de hachage entre la liste volée et les tables arc-en-ciel. Bien sûr cela ne suffit pas toujours, et il faut jouer aussi sur des permutations de caractères, des insertions de caractères spéciaux, etc.

Toutes ces techniques sont classiques. Elles réussissent car des moyens importants sont mis en oeuvre et surtout parce que les mots de passe sont beaucoup trop court.

La complexité aléatoire et, surtout, une longueur élevée restent toujours un sérieux obstacle.

La question est « Pour combien de temps ? ».

Lire aussi (pour développeurs)

Serious Security How to store your users’ passwords safely de Naked Security

Password Storage Cheat Sheet de OWASP

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *