Une expérience menée pour « Ars Technica » a démontré que les mots de passe même composés de 16 caractères ne représentent plus de grosse difficulté pour les hackers.
source : http://www.motdepasse.org
Un groupe de hackers a été chargé de « cracker » plus de 14.800 mots de passe d’une liste de 16.449, durant un test fait pour un site web. Le pourcentage de réussite parmi les hackers a varié entre 62% et 90%. Les pirates qui ont déchiffré 90% de mots de passe l’ont fait en moins d’une heure en utilisant un cluster sur leurs ordinateurs. De plus, ils ont réussi à faire face aux mots composés de 16 caractères tels que « qeadzcwrsfxv1331 ».
Ars Technica a publié la façon dont les hackers ont percé les codes et les méthodes traditionnelles utilisées. Plutôt que d’entrer plusieurs fois les mots de passe sur un site web, les pirates ont utilisé une liste de mots de passe « hachés », obtenus tout simplement sur internet. Le processus de « hachage » consiste à prendre les textes bruts de mot de passe de chaque utilisateur et de les faire « fonctionner » à travers le biais d’une fonction mathématique à sens unique. Cela permet de créer une chaîne unique de chiffres et de lettres appelée « le hachage ».
Il devient donc difficile de transformer la chaîne de hachage dans un mot de passe, ce qui permet de garder sur les sites des listes transformées par la fonction de hachage, plutôt que de les stocker comme des mots de passe en texte brut non sécurisé. Cela signifie que si une liste est volée, les mots de passe en textes bruts ne peuvent plus être obtenus aussi facilement. Cependant, cette expérience montre que même si cette opération est difficile à mener, elle n’est pas impossible.
Quand un utilisateur tape un mot de passe dans un formulaire ou un service en ligne, le système « hache » le mot entré et vérifie s’il n’est pas stocké, ce qu’on appelle un mot de passe « pré-haché ». Lorsque les deux hachages correspondent, l’utilisateur est autorisé à accéder à son compte. L’utilisation de cette technique transforme le mot de passe ‘arstechnica’ en « c915e95033e8c69ada58eb784a98b2ed » après le hachage.
