Calculez en combien de temps peut être cracké votre mot de passe
Par Korben le 12 novembre 2008
Pour savoir combien de temps prendrait votre super mot de passe de la mort qui tue, à être cracké via bruteforce (test de toutes les combinaisons possibles), rien de plus simple…
Vous indiquez le nombre de lettres minuscules, majuscules, de chiffres de caractères spéciaux sur ce site…etc et vous saurez alors combien d’heures il faudra à un PC standard pour mettre à genoux votre mot de passe.
Exemple :
Your password is 16 characters long and has 16,772,593,422,857,259,712,512 combinations.
It takes 61,018,339,412.32 hours or 2,542,430,808.85 days to crack your password on computer that tries 137,438,953,472 passwords per hour. This is based on a typical PC processor in 2008 and that the processor is under 10% load.
Pas mal hein ? C’est par ici que ça se passe…
Je vous recommande aussi la lecture des sujets suivants
- Générateurs…partie 14/24
- Des mots de passe simples à retenir avec PasswordBird
- Changez les mots de passe de vos site enregistrés dans Firefox en une seule fois
- Comment changer le mot de passe root perdu de MySQL
- Timeout pour le “Master password” de firefox
zeplintor
bien, mais c’est pas une manœuvre pour stocker le mot de passe en question dans la BDD du brute force ? et le réutiliser après ? ça prendra nettement moins de temps pour le cracker quand le caractère complet existe
encore faut il collecter tout les mot de passe du web 
Merci KORBEN
Posté le 12 novembre 2008 à 10:52:37
seb
si tu as été voir le site tu verras qu’il te demande pas d’y mettre ton mot de passe mais uniquement le nombre de caractère en majuscule, minuscule, et caractère spéciaux.
pour le mien ça donne ça
2,542,430,808,846.69 days ^^
Posté le 12 novembre 2008 à 10:55:48
Manu
Non ils demandent juste le nombre de minuscules, de majuscules… Ils ne te demandent pas d’entrer ton mot de passe. Mais effectivement s’ils le faisaient il se trouverait encore des gens pour tomber dans le panneau!!!
Posté le 12 novembre 2008 à 10:57:30
snash
Je vais devoir revoir tous mes mots de passes. Ils sont tous a ZERO day et ZERO hour.
Posté le 12 novembre 2008 à 11:09:26
borkmadjai
je connaissais http://www.passwordmeter.com/ et un autre dont j’ai plus l’url.. plus explicite, mais sympa
Posté le 12 novembre 2008 à 11:27:53
plop
Cracké un mot de passe de quoi ?
C’est marrant mais ça na aucun sens, le temps pour cracker un mot de passe ne dépend pas que de sa complexité, il faut prendre en compte le timming possible entre chaque essais, le temps de validation d’un essai ect …. cracker un “simple zip” chiffré avec 8 caractères low case ne prend pas 45 minutes ….
Et puis qu’importe un mot de passe fort, si l’algorithme a une faille de conception ?
Parce que entre un réseau chiffré selon wep avec un code à 13 caractères et un autre chiffré en wpa2 avec ces mêmes 13 caractères …
Posté le 12 novembre 2008 à 11:49:34
Laurent
Et puis le hacker ne connaît que très rarement la longueur, et jamais la composition du mot de passe !
Posté le 12 novembre 2008 à 12:57:57
Brakbabord
C’est sûr que ça ne veut pas dire grand chose mais ça donne une idée. En même temps j’ai pas envie d’avoir un mot de passe hyper compliqué à entrer à chaque fois que je je veux entrer dans ma boite mail.
En plus c’est un cercle vicieux :
- Mot de passe simple -> Crackable
- Mot de passe compliqué -> obligé de le noter sur un papier -> non sécurisé
Posté le 12 novembre 2008 à 13:32:42
seb
Tu peux aussi avoir un mot de passe simple à retenir mais sécurisé. Toute personne ayant suivis des cours officiel microsoft connaissent les mots de passe admin de leurs vm qui sont soit “P@ssw0rd” soit “Pa$$w0rd”. Le mot “password” n’a rien de bien compliqué à retenir mais il est sécurisé puisqu’il a majuscule, minuscule, chiffre et caractère spéciaux.
Posté le 12 novembre 2008 à 13:54:03
Manu
@Laurent : qu’il connaisse ou pas la composition ne change rien, le site te la demande juste pour estimer le temps qu’il faudra pour casser le mot de passe. Enfin en toute logique c’est comme ça qu’ils ont dû procéder.
Posté le 12 novembre 2008 à 14:38:48
jacob
Je blinderais à mort mon de passe lorsque je n’aurais plus qu’un seul login unique sur le web (typ OpenId).
Pour l’heure, je dois avoir un 20aine de comptes plus ou moins inutiles (je ne parle même pas des sites ringards qui vous forcent à créer un (n-ième) compte pour tester un soft à 2 sous).
Je suis à court d’imagination pour produire de nouveaux mots de passe sans les oublier…
Posté le 12 novembre 2008 à 15:58:33
Lain
” 3.17 days ”
Arf !
Posté le 12 novembre 2008 à 17:20:05
SnakeMAR
28,851,984,222,566,954,582,508,134,465,536.00 days to crack your password
Posté le 12 novembre 2008 à 17:29:51
MatC
Une version online de Cain & Abel quoi :p
Posté le 12 novembre 2008 à 18:43:12
Tuxargon
@SnakeMAR: à mon avis ton mpd est incrackable
Posté le 12 novembre 2008 à 18:44:34
David Vortex
Jacob:
Moi j’utilise une formule assez simple pour les sites web “à la con”.
Disons, que mon mot de passe de base est ToT0 (avec un zero et un petit o).
Je vais sur Gmail. Je prends les 2 premieres lettres du site. GM que j’ajoute.
et voila mon password pour gmail : GmToT0 (c’est un exemple:) ).
Je vais sur Yahoo : YaToT0
Du coup ,j’ai un mot de passe que les admin des sites bidons (autres que Gmail et yahoo
) ne peuvent pas se refiler (combien du User utilisent les memes mots de passe pour tout les sites web), et je suis rarement pris a court.
Apres tu amenages ta regle comme tu veux: 2 premieres lettres, 2 dernieres, , le cumul des 2 etc….
Si ca peut t’aider
David.
Posté le 12 novembre 2008 à 19:34:07
SnakeMAR
@Tuxargon: J’en ai bien l’impression… et j’en suis fier
Posté le 12 novembre 2008 à 20:57:36
borkmadjai
@David Vortex
terrible ta méthode, j’en prend bonne note
Posté le 12 novembre 2008 à 21:27:42
Nono71C
Une chose est de faire défiler une liste de variation de combinaison sur un format connu mon login en 0.71j selon hackosis
ou au moins avoir changer plusieurs fois de mots de passe. 8*)
Une autre chose est de faire défiler la moitié* des 4,679,434,240,000 combinaison sur un serveur sans que personne ne s’en rende compte si on compte 1seconde par tentative mon mot de passe lâchera entre la première tentative soit une seconde et la dernière dans 622 266 606 ans 8 mois 25 jours et environ 6 heures d’ici là je ne pense plus avoir de login
Posté le 12 novembre 2008 à 21:38:29
Hebdo
Ah bon, c’est utile un mot de passe?
Posté le 12 novembre 2008 à 23:22:46
ladalle
une chose que je comprend pas , c’est ca
”Phrase or word subject to dictionary attack”
si on met 1, sa augmente le temps (oui, je voulais essayer pour voir), pourtant, ca devrait simplifier, donc diminuer non ? (ou alors , je ne comprend pas bien, ce qui est surement le cas
Posté le 13 novembre 2008 à 08:05:57
Shagshag
Pour avoir un mot de passe incrackable et facile à retenir ma méthode est de pas avoir de mot de passe
mais une phrase de passe.
Genre : Je suis né de 12 février 1903
Il y a des chiffres, des lettres, espace et majuscules et je suis pas près de l’oublier.
Problème : marche pas partout :’(
Posté le 13 novembre 2008 à 12:15:34
Aldian
1£ ¥ 4 4µ$$1 £4 $0£µ710n Ð’é(r1r3 $0n m07 Ð3 p4$$3 3n £337 $p34|{
(Il y a aussi la solution d’écrire son mot de passe en Leet speak :))
Posté le 13 novembre 2008 à 12:30:12
Baloo
Ok le site ne prend pas directement le mdp mais il sait de quoi il est fait.
Si tu lui dis que ton mdp fait 8 lowercase + 3 numbers ben il a plus qu’à essayer toutes les combinaisons possibles de 8 caractères + 3 chiffres, et c’est beaucoup plus rapide que s’il ne savait rien. (Comment ça parano ? :D)
J’aime bien la méthode Shagshag + David Vortex. Mot de passe facile à retenir + ’spécifique’ à chaque appli/site.
Posté le 13 novembre 2008 à 16:36:11
sddsfg
C’est du grand n’importe quoi…
Des mots de passe chiffrés en quoi ? DES, MD5, RIPE-MD, SHA1, SHA256, FreeBSD-MD5, Blowfish, Twofish ?
Parce que d’un algo à un autre on multiplie bien le temps de chiffrement par 20…
Bref des estimations qui n’ont aucun intérêt
Posté le 13 novembre 2008 à 18:50:13
hide
Des mots de passe chiffrés en rien, neuneu.
Posté le 17 novembre 2008 à 00:26:10
XoraX
euh moi je suis pas d’accord !
137,438,953,472 password / heure ça me semble vraiment beaucoup…
un calcul simple, nos pc sont au maxi à 3GHz (on va dire), même avec 4 core cela fait 4 x 3.000.000.000 opérations / seconde.
Donc 12.000.000.000 x 60 x 60 = 43.200.000.000.000 opérations / heure.
Générer un mot de passe ça doit bien prendre 15 instructions. Par contre le vérifier beaucoup plus et puis ça dépends de l’algo de chiffrement.
Cela dit le doc linké par le site fait référence au distributed.net, un projet de décryptage de données DES qui a d’ailleur gagner plusieurs challenge du RSA. Mais c’est pas avec votre Quad Xeon que vous allez rivallisé, et puis DES c’est pour les enfants ^^
Posté le 19 novembre 2008 à 04:06:51