Ceci est une ancienne révision du document !
Les mots de passe sont souvent compromis hors ligne en cassant leur hachage. Pratiquement tous les mois, un énorme site Web avec des millions d'utilisateurs se fait piraté et ça base de données rendue publique ou vendue au plus offrant. La plus grande base de données à ce jour de mot de passe est RockYou.
Les crackers utiliseront leurs outils qui généreront des milliers d'essais par seconde contre les mots de passe hachés pour les démasquer. À partir de ça, ils vont apprendre plusieurs choses:
Une fois que les mots de passe de la base de données sont démasqués, les crackers ont désormais une vision plus précise dans la façon dont les utilisateurs choisissent leurs mots de passe, et donc, adapté une meilleure stratégie pour compromettre encore plus de mots de passe.
Une technique courante pour démasquer les mots de passe consiste à effectuer une attaque par dictionnaire, qui tentera chaque entrée d'une liste de mots personnalisée ( «dictionnaire»). Cela pourrait être le Dictionnaire anglais d'Oxford, une liste de mot les plus recherché dans Google, une liste de mot de passe précédemment démasqué dans une autre base de donnée, ou n'importe quoi d'autre… les dictionnaires sont bien, car souvent constituer de:
Il existe deux types de mots de passe:
Les meilleures phrases secrètes sont générées avec Diceware qui consiste à rouler un dé pour sélectionner des mots aléatoires qui construiront une longue phrase secrète. Cela produit des phrases secrètes que vous pouvez mémoriser, et que les attaquants ne peuvent pas deviner (facilement).
Le reste de vos mots de passe, dont la plupart seront pour des sites web, doivent être générés et stockés dans un gestionnaire de mot de passe.
1> Notez que pour que ce soit le cas, le gestionnaire doit vraiment être hors ligne (contrairement, par exemple a LastPass qui est en ligne).
Certains gestionnaires stockent vos mots de passe dans le cloud, ce qui en fait une cible colossale pour les hackers, laisser reposer votre confiance dans les compétences de l'administrateur de ses services n'est pas une bonne idée. Quelques exemples de site non recommandé incluent LastPass et 1Password.
Ne faites pas ça:
Ou ça:
Si vous êtes sceptique sur l'habileté des passcrackers, unhash est un discours fait fin 2014 expliquant l'état actuel du cassage des mots de passe.
Interview d'Hydraze, passcracker depuis 4 ans.
« Les cordonniers sont toujours les plus mal chaussés »