Résistance du password.
Un mot de passe de 8 caractères (c’est à dire avec des chiffres, lettres majuscules et minuscules et des caractères spéciaux) est cassable en à peine 39 minutes. Si vous utilisez des mots de passe de cette taille, il est important et même vital de les changer dès que possible pour des mots de passe à partir de 12 caractères…
La société Hive Systems vient de faire paraitre un article sur leur site internet qui traite du temps nécessaire pour casser un mot de passe. Ils ont mesuré le temps nécessaire pour retrouver un mot de passe à partir de son empreinte MD5 (hachage), un algorithme (obsolète aujourd’hui) qui a été cassé il y a plusieurs années et qui est malheureusement encore souvent utilisé par les sites internet.
Le Message Digest 5 (MD5) et le Secure Hash Algorithm (SHA1) sont les deux algorithmes de hachage les plus utilisés au monde à l’heure actuelle en matière d’empreinte numérique et de cryptographie. Leur rôle est multiple, il permet par exemple de vérifier l’intégrité de fichiers ou messages, la vérification de mot de passe ou encore l’identification de fichiers ou données.
Le MD5 a été créé en 1991 par le cryptologue Ronald Rivest, qui est également connu pour être l’un des inventeurs de l’outil de cryptographie à clé publique RSA. Il permet d’obtenir des condensats ou « hash » de 128 bits. Le SHA1 a quant à lui été conçu par la NSA (National Security Agency) en 1995, et a longtemps été considérée par le gouvernement américain comme un standard à appliquer pour le traitement de l’information. Il produit des condensats ou « hash » de 160 bits. Les algorithmes MD5 et SHA1 sont utilisés dans les antivirus, les pare-feu « Firewall », les signatures électroniques ou encore dans tous les systèmes de contrôle d’intégrité. Ces fonctions de hachage ne permettent pas de retrouver les données originales : le hachage ne fonctionne en effet que dans un sens.
Il existe des fonctions de hachage plus complexes qui renforcent la sécurité des informations dans la famille SHA2. Elle se compose des algorithmes SHA-256 et SHA-512, qui opèrent sur des tailles de 256 et 512 bits. Nous avons aussi SHA3, le dernier en date. Elle possède des variantes qui peuvent produire des hachés de 224, 256, 384 et 512 bits. Elle est construite sur un principe tout à fait différent de celui des fonctions MD5, SHA-1 et SHA-2.
Hive Systems a mis à jour leur célèbre table de mots de passe au mois de mars de cette année : une sorte de regard sur les mots de passe… Ils ont employé des cartes graphiques (GPU) qui sont utilisées en général dans les traitements de type imagerie, vidéo, crypto-monnaies et pour le calcul des hachages. Bien plus rapide que les processeurs qui équipent nos pc, serveurs. Ils ont également utilisé une application de hachage assez connue dans le domaine de la cyber « Hashcat ».
Le matériel utilisé :
- RTX 3090 (x1 : carte locale)
- A100 (x8 : cloud Amazon AWS)
Des images valent mieux qu’un long discours…
RTX 3090
Cluster A100
Un tableau de correspondance
En conclusion
Ce que l’on peut dire :
- un mot de passe de 11 caractères minimum qui inclus tout (l’ANSSI préconise au moins 20…)
- Un cluster de GPU (location de 8 GPU chez Amazon coute pas loin de 32.77$ / h), ce qui veut dire que cela est à la portée de tous et même des hackers…
- Bannir définitivement ces algorithmes qui laissent sur le carreau pas mal d’entreprises, de particuliers…
- N’utiliser pas le même mot de passe partout, installer un gestionnaire de mot de passe tel que Keepass (notre prochain post…), préconisé par l’ANSSI. Ce dernier vous permettra de créer des longs mot de passe différents sans besoin de les retenir…
A Bientôt !
Sources : Hive Systems, Anglais-pratique.fr, Wikipedia, ANSSI