[ Résolu ] Un mot de passe fort, comment le définir ?

bruno · Le 07/02/2014, à 16:04

Aucune garantie c'est pourquoi il ne faut jamais y placer de mot de passe que l'on utilise réellement.

Sur la fiabilité des sites, effectivement c'est très variables. Mais un bon site de ce genre devrait se baser sur un calcul d'entropie des mots de passe (cf http://tomroud.owni.fr/2011/08/15/entro … de-passe/)

cristobal78 · Le 07/02/2014, à 17:43

petite erreur de lien, le bon c'est :
tomroud.owni.fr/2011/08/15/entropie-des-mots-de-passe/
il ne faut pas de ")" à la fin !!

Autre test de site
-----------------------------
Je n'avais pas testé l'outil proposé au post #16 c'est à dire celui du site web assiste.com créé par Pierre Pinard un spécialiste de la protection de la vie privée qui s'était vu décerné fort justement un Bugbrother award en 2003
http://assiste.free.fr/Assiste/Mots_de_ … idite.html

Résultats :
10 fois le chiffre 0
10 fois a
10 fois A
même résultat = fiabilité du mdp est de 0% ce qui est normal,

10 fois le signe =
10 fois le signe &
fiabilité du mdp est de 19% ce qui me parait bien "payé",

a2z3s8d7k6
fiabilité de 78% ce qui me parait correct,

et enfin ma phrase de passe avec le Maitre corbeau ... de la fable Monsieur Jean de la Fontaine
Mcsuaptdsbuf1950!
fiabilité de ... 100%

Dernière modification par cristobal78 (Le 07/02/2014, à 18:05)

cristobal78 · Le 07/02/2014, à 20:44

sinbad83 a écrit :

Un truc simple pour se faire une idée, grandeur nature (mieux vaut avoir un multi-processeur pour pouvoir faire autre chose)
sudo apt-get install john
sudo john /etc/shadow
On ne peut pas toujours aller jusqu'au bout, mais on peut laisser tourner pour voir.

salut sinbad83

j'ai regardé sur ton site pour voir comment ça fonctionne en pratique, espèrant des explication mais au final tu n'en dis pas plus qu'ici et .... je n'ai pas tout compris.

Que se passe t il qd on lance

sudo john /etc/shadow

?

compte supprimé · Le 08/02/2014, à 04:25

cristobal78 a écrit :

sinbad83 a écrit :
Un truc simple pour se faire une idée, grandeur nature (mieux vaut avoir un multi-processeur pour pouvoir faire autre chose)
sudo apt-get install john
sudo john /etc/shadow
On ne peut pas toujours aller jusqu'au bout, mais on peut laisser tourner pour voir.
salut sinbad83
j'ai regardé sur ton site pour voir comment ça fonctionne en pratique, espèrant des explication mais au final tu n'en dis pas plus qu'ici et .... je n'ai pas tout compris.
Que se passe t il qd on lance
sudo john /etc/shadow
?

Hello !

J'ai regardé aussi sur le site dont tu parles et j'ai vu qu'il n'est plus à jour depuis longtemps, et qu'il est incomplet. Si tu veux en savoir plus sur comment John fonctionne rendez-vous ici (en espérant que celui-ci est toujours d'actualité, car il date de 2007) :

http://korben.info/comment-cracker-un-m … linux.html

Au lien au dessus en fin de son petit tutoriel il y a cette phrase : En ce qui concerne John, il est paramétrable dans tous les sens donc si vous voulez aller un peu plus loin dans le truc, je vous recommande ce site.

Et si tu cliques sur "ce site", ça amène bien au bon site sur "John The Ripper" (le nom complet du logiciel "John"), c'est déjà un bon point.

Et un article un peu plus récent (2012) sur le logiciel John ici : http://www.crazyws.fr/hacking/john-the- … XJ03R.html

Un autre de ses articles de 2012 : http://www.crazyws.fr/securite/mot-de-p … JWQ6F.html

Et sa page concernant la sécurité avec ses articles le splus récents, je susi en train de tout remonter, c'est un des meilleurs blogs français sur la sécurité que j'ai trouvé ces derniers temps :

http://www.crazyws.fr/cat/securite/

Dernière modification par -pascal34- (Le 08/02/2014, à 06:15)

Caribou22 · Le 08/02/2014, à 04:42

Bonjour,

Une astuce pour se faire un mot de passe fiable : En générer un aléatoirement (donc très sur et sans aucune signification pour vous)
Vous pouvez en générer sur ce site : http://www.generateurdemotdepasse.com/
Je vous conseille de cocher tous les caractères, et plus c'est long, mieux c'est (le mot de passe hein)
Une fois que vous en avez généré un que vous sentez bien, vous l'apprenez par coeur et à force de le taper vous le connaîtrez

compte supprimé · Le 08/02/2014, à 06:23

Celui de Norton est le même apparemment : https://identitysafe.norton.com/fr/password-generator#

J'ai fait quelques essais, les mots de passe générés sont pile-poil dans les constructions qui sont identifiées comme "à risque" par le site que nous avons cité au dessus, celui-ci :

http://assiste.free.fr/Assiste/Mots_de_ … idite.html

Dommage.

pires57 · Le 08/02/2014, à 12:19

Bonjour,
Une astuce pour se faire un mot de passe fiable : En générer un aléatoirement (donc très sur et sans aucune signification pour vous)
Vous pouvez en générer sur ce site : http://www.generateurdemotdepasse.com/
Je vous conseille de cocher tous les caractères, et plus c'est long, mieux c'est (le mot de passe hein)
Une fois que vous en avez généré un que vous sentez bien, vous l'apprenez par coeur et à force de le taper vous le connaîtrez smile

Le mieux reste encore de coder toi même l'appli qui sera censé te retourner le mot de passe sécurisé, au moins tu seras sur d'une chose, tu n'alimenteras pas un dictionnaire.

cristobal78 · Le 08/02/2014, à 13:51

@ pascal, post # 29

j'ai été voir le post de korben mais il me semble que "John" ne s'applique pas ici, c'est à dire au problème général consistant à créer un MdP robuste (post initial).

En effet je lis :

"...Pour trouver le mot de passe linux d'une machine, ..."

ce qui à mon sens signifie retrouver le mot de passe "sudo" et non un MdP quelconque qu'on veut utiliser pour protéger un fichier ou un MdP de connexion à un site web ou un webmail.

compte supprimé · Le 08/02/2014, à 15:43

Merci, j'ai du mal m'exprimer précédemment, mais je suis d'accord avec toi dans ce que tu viens de dire.

compte supprimé · Le 14/02/2014, à 20:50

Peut-être un générateur à ajouter à la liste ? :

http://www.zerobug.fr/Generateur_mots_de_passe.php

Il peut être perfectible, mais son approche est pas mal intéressante j'ai trouvé, sauf que, je ne suis pas spécialiste du tout.

cristobal78 · Le 15/02/2014, à 01:51

salut pascal

j'ai regardé le fonctionnement de ce nouveau générateur.

1- d'abord c'est bien un générateur de mdp : il ne fait que cela.
En particulier il ne mesure pas la robustesse d'un mdp perso, ce n'est pas sa fonction, donc rien à lui reprocher de ce côté là.

2- que penser des mdp générés par lui ?
J'ai commencé par cocher toutes les options pour avoir les mdp les plus solides et je remarque que

a) si on fixe la longueur à une valeur de 0 à 7 inclus le mdp généré par le système est de sécurité faible,

b) de 8 à 13 inclus = le mdp généré par le système est de sécurité élevée,

c) pour 14 et plus = le mdp généré par le système est de sécurité optimale.

Ce qui me conduit à 2 remarques :
- seule la longueur semble jouer un rôle dans l'estimation de la robustesse,
- la meilleure estimation fournie n'est pas "maximale" mais "optimale" (??)
L'optimum c'est le mieux qu'on puisse faire avec ce qu'on a.
Comme si la robustesse d'un mdp était le résultat d'un compromis. Curieux.

Ma conclusion
---------------------
Comme personne n'a pu me démontrer jusqu'ici que l'introduction de signes cabalistiques impossible à retenir et insérés dans un mdp le rendaient plus robuste, je reste - à tort ???- persuadé que seule la longueur et le caractère totalement aléatoire de l'apparition des lettres et des chiffres dans un mdp lui confère sa robustesse.

Donc un mdp doté d'une structure similaire à celui que je postais plus haut à savoir Mcsuaptdsbuf1950! me parait quasiment incassable ou alors en un temps tellement long que cela suffit amplement à protéger mes données jusqu'à ma mort.

J'aimerais bien que quelqu'un me contredise, de façon argumentée évidemment : je le lirai avec plaisir.

Dernière modification par cristobal78 (Le 15/02/2014, à 01:54)

compte supprimé · Le 15/02/2014, à 13:21

Salut cristobal78, très bonnes remarques, et questionnement (ce qui va faire avancer le débat )

Pour ta remarque qui dit : - la meilleure estimation fournie n'est pas "maximale" mais "optimale" (??)

Je crois que là ce n'est qu'un choix entre deux mots dans un dictionnaire de la langue française, il aurait pu choisir "maximale" comme tu l'indiques aucun soucis.

Ensuite tu as remarqué ce que j'ai remarqué hier aussi, si on choisit de cocher toutes les cases (dans le générateur de mot de passe du site de Zerobug), et si on choisit de lui faire créer des mots de passe de 13 caractères, il reste en "sécurité élevée" mais dès qu'on passe à 14 caractères (en laissant toutes les cases du dessus cochées), il passe en "sécurité optimale", ce qui est un indicateur sur le minimum de longueur de mot de passe que le logiciel a jugé (le concepteur du logiciel a jugé) pour indiquer à l'utilisateur qu'il passe maintenant en "sécurité optimale".

Et en dernier point, cela fait deux fois que tu l'indiques sur le forum, et dès la première fois, j'ai trouvé cela assez dangereux de dire en clair ici comment tu construis tes mots de passe, ce n'est peut-être pas très bien de l'indiquer, en fouillant à gauche à droite, on apprend que moins on en dit sur la conception de nos mots de passe (sur Facebook, sur Twitter, sur les forums en clair comme ici), mais même en message privé ici ou ailleurs c'est aussi dangereux, mais peut-être un peu moins car tu n'auras indiqué la façon dont tu construis tes mot de passe qu'à une seule personne, mais sera-t-elle une personne "sympa" ou sera-t-elle une personne "intéressée" au plus haut point" ? difficile à définir sur un forum et en message privé, alors dans le doute..... Mais bon quand c'est en clair comme ici sur les forums, il ne faut pas, car moins tu donnes d'indication précises sur la conception de tes mots de passe, leur longueur, moins tu seras facilement crackable par une personne mal intentionnée. Là aussi ce n'est que mon avis. Une autre personne de cette discussion nous indiquait aussi choisir ces mot de passe de cette façon :

gigiair a écrit :

CM63 a écrit :
Bonjour,
Pour compléter sur la méthode de la phrase mnémotechnique dont on prend la première lettre ou les deux premières lettre de chaque mot, puis on rajoute des caractères spéciaux(1):
- comment trouver cette fameuse phrase? Prendre dans les souvenirs d'enfance, qu'on ne risque pas d'oublier, moi j'en ai pris une relative à mon premier cadeau de Noël.
Je suis bénévole dans une association qui édite un journal interne. J'applique cette méthode au titre de l'éditorial.
comme ce n'est pas moi qui utilise les machines, ça me permet de changer le MDP tous les mois et de le communiquer aux usagers. Ils sont au courant, la revue est toujours sur le bureau, c'est mieux que le post-it sur l'écran.

Et là aussi, avec de l'ingénire sociale, certaines personnes mal intentionnées pourraient réussir à trouver où travail cette personne et lors d'attaque pour trouver les mots de passe, elles partiraient déjà avec le bon titre, du bon éditorial.

Mais pour en revenir à ton cas, ces personnes mal intentionnées auraient trouvé ici sur ce forum qu'elle est la façon dont tu construis tes mots de passe, et ça, ce c'est pas bon, pas du tout....

Mais je ferme cette parenthèse. Vous ne verrez peut-être pas de la même façon les choses, je précise tout de suite que je ne répondrais pas aux questions du genre "Ben vas-y trouve mon mot de passe, où je vis etc..." Cela ne m'intéresse pas évidement, je n'en ai pas le temps, ni les moyens, car je n'ai pas connaissance des techniques précises pour en arriver là, mais je sais que c'est un risque potentiel, certains y arrivent, l'ingénierie sociale existe et elle est grandement facilité par tout Facebook Twitter, votre blog etc.... Ne pas donner la façon de construire ses mot de passe est vraiment je pense le premier reflex concernant, leur sécurité

Je passe donc au dernier point, je vais analyser le dernier mot de passe que tu nous as donné cristobal (donc ce mot de passe : Mcsuaptdsbuf1950! ), et je vais le passer dans le site assez complexe que l'on nous a donné au dessus, celui ci :

http://assiste.free.fr/Assiste/Mots_de_ … idite.html

Et voir ce que le site va dire (perso je savais déjà que les lettres minuscules consécutives allaient apporter un gros gros "malus", et on va le voir, il est à -20 tout de même, ce qui n'est vraiment pas bon, car cela facilite les recherches informatiques via les logiciels que les pirates utilisent ou autres institutions.... pour obtenir les mots de passe des gens, il suffit de paramétrer le logiciel pour..... la technique de construction de la phrase en ne retenant que la première lettre est ultra connue, en cryptanalyse, cette façon de construire les mots de passe (suite de lettres majuscules ou minuscules comme ton mot de passe ici) fait partie depuis longtemps des logiciels chargés de trouver les mots de passe des gens j’imagine ! Tout le monde fait cela, tout le monde fait ce "schéma" (lettres minuscules à la suite ou majuscules provenant d'une phrase complète et intelligible) ! Ce n'est pas très difficile je pense de dire à un logiciel de faire aussi ses recherches dans ce sens là, la cryptanalyse a aussi remarqué que les gens aimait mettre un symbole en fin de mot de passe ou en début, ou d'en mettre un à la fin et un au début, avec une suite de chiffres ajoutée, toutes ces constructions de mot de passe sont dangereuses et attendues par certains attaquants aguerris... ).

Mais cela dit tu obtiens quand même sur le tableau de points positifs (partie appelée "Bonus Additionnels") des cases vertes et bleues partout, ce qui est très bon). Mais ce n'est pas son seul point faible cette histoire de minuscules consécutives. Tu as aussi un malus de -6 pour "chiffres consécutifs" et -1pour caractères répétés" (ici la lettre minuscules "u" que l'on trouve deux fois dans ton mot de passe et qui constitue donc un "caractère répété"), tout cela peut aider un logiciel de crackage de mot de passe bien paramétré, à trouver ton mot de passe, tu peux vérifier tout ce que je dis en copier-collant ton mot de passe d'exemple dans le site de Free donné au dessus, je mets une photo du résultat de ton mot de passe (pour les copains qui ont pas le temps de se déplacer de site en site), et voilà ce que donne un copié-collé de ton mot de passe d'exple sur le site de Free :

Maintenant je suis passé par le générateur de mot de passe suivant : http://www.zerobug.fr/Generateur_mots_de_passe.php

Je lui ai fait créer un mot de passe de même longueur que le tiens, soit 17 caractères, il a généré celui ci : /]!1jJ,THZPl_pV?S

J'insère ce mot de passe dans le site de free : http://assiste.free.fr/Assiste/Mots_de_ … idite.html

Et là il ne trouve qu'un seul malus "chiffres consécutifs" (au nombre de 3, qui porte ce malus à -6), mais attention, dans la partie appelées "Bonus additionnels" on est seulement en "vert" pour la partie appelée "Bonus nombre de chiffres".

Voilà le résultat en image de ce mot de passe généré :

Et sur le site de Free il faut comprendre cette légende aussi et comprendre que la partie appelée "Pénalités" ne sera jamais en "Bleue" mais toujours en "Vert" lorsque le mot de passe sera construit de la meilleure façon possible et donc sans malus, mais que par contre la partie appelée " Bonus additionnels" sera elle en "Bleue" ou en "Vert" lorsque la sécurité de construction de ton mot de passe sera jugée "Dépassante les minimas universellement reconnus." ou Juste correcte en "Ayant atteint les minimas universellement reconnus", et quand on voit à quelle rapidité et de quelles façons exponentielles les ressources matérielles augmentent et servent à cracker nos mots de passe, on se dit que peut-être aller "chercher" la couleur bleue au lieu de verte pour nos mots de passe n'est peut-être pas si irraisonnée, pour rappel, un article qui a un peu plus d'un an, donc pas si vieux finalement, est toujours présent ici : http://www.crazyws.fr/securite/mot-de-p … JWQ6F.html ).

En tout dernier, la construction d'un mot de passe très fort et sans "Malus" peut être un mot de passe comme celui-ci par exemple :

îpP8/rR\A~6:Ff

Que vous pouvez copier-coller ici : http://assiste.free.fr/Assiste/Mots_de_ … idite.html

Ce qui vous donnera aucun malus et vous donnera d'excellents Bonus dans la colonne "Bonus" de la partie "Bonus additionnels", voir son résultat en image :

Ce dernier mot de passe ne fait que 14 caractères comparés aux 17 caractères des mots de passe précédents, mais il a été construit de façon à éviter les malus du site de Free indiqué dans leur partie appelée : "Pénalités".

Voilou

Ah oui, cette vidéo est aussi intéressante, notamment sur la technique de "la clé usb" ! : http://www.youtube.com/watch?v=pPscawXgXSw

En complément : http://www.youtube.com/watch?v=24HlriEA … gu0A88FGEj

Dernière modification par -pascal34- (Le 15/02/2014, à 16:01)

cristobal78 · Le 15/02/2014, à 20:55

Merci Pascal pour cette très longue intervention. J'aime.

Puisque à l'évidence nous sommes intéressés par ce sujet j'aimerais apporter un autre (encore !!??) éclairage.
Tout d'abord je connais très bien le site http://assiste.free.fr/ et depuis 2007 j'y contribue à l'occasion. Enfin je suis un ami perso de son créateur.
Ce site est une mine d'or (confirmé d'ailleurs entre autres par un blogueur très connu Sébastien Sauvage). Il regorge d'info, de mise en garde et de conseils.

Ceci posé j'ai repris le bulletin consacré aux MdP du site d'assiste ( http://assiste.free.fr/Assiste/Mots_de_ … idite.html ) sur son test de solidité des mdp.

Je cite :

"Tester la solidité d'un mot de passe.
----------------------------------------------------
Cette application est conçue pour évaluer la résistance des mots de passe.
La rétroaction visuelle instantanée, caractère par caractère, donne à l'utilisateur un moyen d'améliorer la force de ses mots de passe, en montrant, par les bonus, l'incidence d'une bonne pratique et par les malus, la pénalisation des mauvaises habitudes typiques dans la formulation des mots de passe.
Étant donné qu'aucun système de pondération officiel n'existe, nous avons créé nos propres formules pour évaluer la force globale d'un mot de passe. "

Fin de citation.

C'est bien là le bât blesse (pas le "bas" hein) :

".. aucun système de pondération officiel n'existe, nous avons créé nos propres formules pour évaluer la force ..."
Admettons ce point.
Le solidité au sens d'assiste.free dépend donc :
- de paramètres choisis et qualifié par "assiste" comme importants, essentiels, ou mineurs tels que : longueur, majuscules ou minuscules, chiffres, signes cabalistiques, non répétition de caractères, etc ...
- du poids que assiste a décidé de façon arbitraire d'associer à un paramètre donné. Le mot arbitraire n'est pas péjoratif, il décrit simplement que Assiste a souverainement décidé.

Mais, et c'est bien ce que dit Assiste : personne ne peut affirmer sans contestation ni que ces paramètres sont les meilleurs, ni que la pondération qui leur est associée est adéquate.
Un contre exemple sera plus parlant.
Si l'on donne le poids 10 à la lettre "A" et le poids 20 au caractère @ alors AA@ pèsera 10+10+20=40 mais A@@ pèsera 10+20+20=50
Or nous serons vite d'accord pour dire que ces 2 mdp présentent la même robustesse ou plutôt la même faiblesse.

Attaque par force brute
---------------------------------
En cas d'attaque force brute contre un mdp aléatoire, c-à-d par définition absent de tout dictionnaire, l'attaquant devra de toute façon tester toutes les possibilités.
Or ces possibilités quelles sont elles ?

Devant moi mon clavier me permet 100 possibilités :
ab...zAB...Z012...9&é~"#'{([-|è`_\ç^à@)]=+}£$ù%*µ,?;.:/!§* (je ne compte pa les äëê et suivants car 100 caractères sont suffisants pour mon explication).

L'attaquant qui ne sait rigoureusement rien de mon mdp, ni de sa longueur, ni des caractères qu'il contient, va d'abord tester tous ses dictionnaires. En pure perte évidemment.
Puis il va se résoudre à essayer toutes les combinaisons possibles à savoir : a, b, c,....* soit 100 essais pour le 1-er caractère de mon mdp.
Voyant que cela n'a pas suffi il va maintenant essayer de voir si mon mdp a 2 caractères : aa, ab, ac,...a* soit 100 puissance 2 = 100x100 = 10000 essais.
Et ainsi de suite.

Pour arriver à tester un mdp de "n" caractères il lui faudra tester :
100 + 100 puissance 2 + 100 puissance 3 + ... 100 puissance n = [100 puissance (n+1)] - 2 possibilités.
Arrondissons à 100 puissance (n+1).

Si le mdp fait 10 caractères l'attaquant devra faire (100 puissance 11) essais ce qui s'exprime aussi par 10 puissance 22 nombre qui est représenté par le chiffre 1 suivi de 22 zéros.
Comme l'attaquant a une chance sur 2 de trouver le dernier caractère à mi course de sa recherche on peut estimer qu'il fera en moyenne la moitié de (10 puissance 22) essais.
Ce nombre reste colossal.

Conclusion
-----------------
La présence ou non de caractères cabalistiques, de majuscules ou non, de caractères répétés (*) ou non, n'a à mon sens aucune espèce d'importance face à une attaque force brute.
La seule chose qui compte c'est la longueur et des caractères, quelqu'ils soient, à condition d'être disposés de façon aléatoire.

_______________
(*) la suite des décimales du nombre PI (3.1415926...) se présentent de façon aléatoire car PI est irrationnel et même transcendant. Pourtant on y trouve des séquences de chiffres identiques consécutifs. Ce qui veut bien dire que la présence de 2 fois la même lettre, contiguës ou non, dans un mdp n'enlève rien au caractère aléatoire de la suite de caractères.
Cela dit je ne prendrai cependant pas les 16 premières décimales de PI comme mdp car elles ont de fortes chances de se trouver dans un dictionnaire !

compte supprimé · Le 15/02/2014, à 21:19

De rien cristobal et merci aussi à toi pour ton message explicatif, et ton aide.

Je voulais préciser que je me suis basé sur le site Assistefree pour parfaire la conception de mes mots de passe, ainsi que sur d'autres infos trouvées à gauche à droite mais je me suis basé aussi sur ce qu'il y a dans ma tête pour construire mes mots de passe, et cela je ne l'expliquerai pas ici pour les raisons que chacune et chacun auront compris. Merci pour la partie calcul où il est expliqué que si le mot de passe fait 10 caractères (avec une base de 100 caractères différents pour construire le mot de passe de 10 caractères), il faudrait à un attaquant le chiffre 1 suivi de 22 zéros "tentatives" pour arriver à trouver le mot de passe de 10 caractères.

Je ne suis pas fort en calcul du tout, je ne comprends pas comment fonctionnent les calculatrices en mode scientifique, je ne sais faire que + * et - et / avec ma calculette c'est tout. Mais j'ai remarqué cette phrase sur le site Wikipédia consacré à l'article sur une attaque par brute force (attaque dont nous parlons ici), ils y est dit dans la partie appelée "Complexité théorique de l'attaque" qu'un ordinateur personnel peut arriver à tester plusieurs millions de mots de passe par seconde.

Article Wiki :

http://fr.wikipedia.org/wiki/Attaque_par_force_brute

Et comme je ne sais pas faire le calcul de 1 avec 22 zéros derrière divisé par 4 millions et ensuite avec ce résultat le transformer en secondes puis minutes puis heure, je ne sais donc pas combien de temps un ordinateur personnel capable de tester 4 millions de mot de passe par seconde mettra à trouver mon mot de passe de 10 caractères (donc construit avec une base de 100 caractères différents). Merci à celui qui sait s'il peut nous aider.

PS : un sac comprenant tous les caractères possibles et imaginables sur un clavier français et une pioche dans celui-ci pourrait créer des mots de passe complètement aléatoires et du nombre que vous désirez, et de ce fait, si vous piochez 9 fois et que ça forme 1 2 3 4 5 6 7 8 9 , je vous conseille d'aller dès le premier jour ouvrable, faire un ticket de loto

Dernière modification par -pascal34- (Le 15/02/2014, à 21:35)

cristobal78 · Le 15/02/2014, à 22:01

-pascal34- a écrit :

... Mais j'ai remarqué cette phrase sur le site Wikipédia consacré à l'article sur une attaque par brute force (attaque dont nous parlons ici), ils y est dit dans la partie appelée "Complexité théorique de l'attaque" qu'un ordinateur personnel peut arriver à tester plusieurs millions de mots de passe par seconde.
...
Et comme je ne sais pas faire le calcul de 1 avec 22 zéros derrière divisé par 4 millions et ensuite avec ce résultat le transformer en secondes puis minutes puis heure, je ne sais donc pas combien de temps un ordinateur personnel capable de tester 4 millions de mot de passe par seconde mettra à trouver mon mot de passe de 10 caractères (donc construit avec une base de 100 caractères différents). Merci à celui qui sait s'il peut nous aider....

Soyons fous.
Au lieu de dire plusieurs millions disons carrément 1 milliard (en notation exponentielle ça s'écrit 10 puissance 9) de tests par secondes !!!
En un jour il y a 86400 secondes donc en un an il y a 31 536 000 sec.
Arrondissons à 31 millions soit 31 x (10 puissance 6).

A raison de 1 milliard de tests par seconde (hypothèse optimiste prise plus haut) il sera effectué en un an :
31 x (10 puiss 6) x (10 puiss 9) = 31 x (10 puiss 15)
donc en disant que 31 = 100/3 (environ) on peut écrire que le nbre d'essais en un an est de :

100/3 x (10 puiss 15) = 1/3 (10 puiss 17)

Wouah !
Pour l'instant après un an on est encore très loin d'avoir épuisé les (10 puiss 22) tests à faire !!!!

En effet pour aller jusqu'à (10 puiss 22) essais il faut multiplier le nbre d'essais faits en un an par (3 x 10 puiss 5) = 300 000. (*)
Comme j'ai aussi dit que l'attaquant a une chance sur 2 de trouver le mdp à mi course je divise 300000 par 2 = 150 000.
En d'autres termes il faudrait continuer pendant 150 000 ans à raison d'un milliard d'essais par seconde pour casser un mdp de 10 caractères pris selon les conditions définies plus haut dans le fil.

J'espère que mon calcul a été clair. L'écriture des puissance est un peu lourdingue.
Le pb c'est que je ne sais pas si sur le forum on peut écrire des exposants

_________________
(*) car 1/3 (10 puiss 17) x (3 x 10 puiss 5) = (10 puiss 22)

Dernière modification par cristobal78 (Le 15/02/2014, à 22:08)

compte supprimé · Le 15/02/2014, à 22:15

Les calculs deviennent clairs quand tu parles en terme d'opération par seconde (quand tu dis un milliard, je pense que tout le monde a compris, et c'est précisément en parlant de cette façon aux gens qu'on devient intelligible sur des sujets complexes car 10 puissance 9 on ne sait pas tous ce que c'est si on a pas suivi un cursus scolaire un petit peu poussé), donc pour te répondre, non je n'ai rien compris dès que c'est reparti dans des calculs écrits comme ça ----->>> 10 puiss 15 etc....

Et j'ai repris la compréhension de tes explications quand tu t'es ré-éxprimé en terme de temps ! Précisément quand tu as dit 300 000 ans, là j'ai compris.

Au final j'ai compris qu'un ordinateur faisant 1 milliard d'opérations à la seconde pourrait mettre 300 000 ans à trouver un mot de passe de 10 caractères (un mot de passe de 10 caractères fait avec un dictionnaire de 100 caractères différents). Mais un supercalculateur (ou appelé aussi superordinateur) comme Titan : http://fr.wikipedia.org/wiki/Titan_%28s … ulateur%29 possède + de 18 000 processeurs ! Il faudrait donc diviser par exemple 300 000 ans par 18 000, ce qui donnerait 16,6 années. Ou 150 000 (une chance sur 2) donnerait 8.3 ans.

Boudiou, ça fera longtemps que le mec aura changer de mot de passe, mais cela seulement s'il suit scrupuleusement la règle de changer ses mots de passe souvent pour éviter la brute force.... Bon, ça prend forme.

ps : cela dit comment annoncer des chiffres intelligibles par tous si on ne les accompagne pas de leur calculs ( de leurs calculs même s'ils sont exprimés en 10 puissance 15 ce que je n'aime pas pfff), donc tu as bien fait de faire les deux, merci cristobal).

Dernière modification par -pascal34- (Le 15/02/2014, à 22:27)

cristobal78 · Le 16/02/2014, à 02:07

salut pascal

la notation avec des puissances de 10 n'est pas en soit compliquée mais si on ne la connaît pas c'est sur que ça n'est pas facile à suivre.
Son gros avantage c'est qu'elle permet de manipuler des nbres gigantesques avec peu de moyens.
Certes écrire "un milliard" c'est plus plus facile que d'écrire 1 000 000 000 et écrire "un trillion" c'est plus plus facile que d'écrire 1 000 000 000 000
etc..
Le pb est justement dans le etc... car au bout d'un moment on ne sait plus trop quoi utiliser.

C'est la qu'intervient la notation dite "en puissance de 10"
Ainsi :
10 c'est pareil que 10 puiss 1 ou encore un "1" suivi de 1 zéro
100 c'est pareil que 10 puiss 2 ou encore un "1" suivi de 2 zéros
1000 c'est pareil que 10 puiss 3 ou encore un "1" suivi de 3 zéros.
Tu me diras jusque là autant utiliser 10, 100 ou 1000. Je suis d'accord. D'ailleurs je dis qu'il y a 1000 km de Paris à Nice et pas (10 puiss 3) km
Mais qd le nbre devient trop grand seule la notation en puissance de 10 est efficace.

Exemple
cent mille milliard c'est 100 000 x 1000 000 000 = 100 000 000 000 000 ce que je note 10 puiss 14 ce qui est plus simple.
Pour multiplier les 2 nombres cent mille et un milliard on peut compter les zéros mais il est plus simple d'additionner les puissances.
Cent mille c'est 10 puiss 5
un milliard c'est 10 puiss 9

donc pour la multiplication des 2 j'additionne les puissances : 5+9 = 14
donc le résultat s'écrit 10 puiss 14.

Pour diviser les 2 nombres 1 milliard par cent mille on soustrait les puissances.
Donc pour trouver le résultat 1 milliard divisé par cent mille je soustrait les puissance 9-5 =4 et le résultat est 10 puiss 4 ou encore 10 000.
Ce que tu pourra vérifier avec ou sans calculette.

En résumé
- pour multiplier je me contente d'additionner les puissances de 10
- pour diviser je soustrait les puissance de 10.

L'idée de remplacer des multiplications par des additions et des divisions par des soustractions est un progrès fantastique qui a donné naissance au Logarithmes et aux tables de logarithmes à la fin du 16-ème siècle. Sans ces tables, Képler n'aurait jamais pu venir à bout des calculs qui lui ont permis finalement d' établir les 3 lois qui portent son nom et qui régissent l'orbite de Mars autour du soleil dans un premier temps et de le généraliser à toutes les planètes ensuite.

Il n'est pas facile de trouver des explications hyper simples sur ces notions mais tu peux tout de même trouver une approche pas trop difficile ici :
http://villemin.gerard.free.fr/Wwwgvmm/ … gaDebu.htm
http://www.mathematiquesfaciles.com/log … _48843.htm

A noter que ce qui est vrai pour 10 l'est aussi pour n'importe quel nombre par exemple 2.
Les puissance de 2 te sont familières car tu as forcément rencontré les termes : 32 bit (2 puiss 5), 512 bit (2 puiss 9), 1024 bit (2 puiss 10), etc...

Dernière modification par cristobal78 (Le 16/02/2014, à 02:10)

Brunod · Le 16/02/2014, à 10:41

Juste un mot parce que je n'ai pas vu mention de pwgen :

bruno@solydx-fs:~$ pwgen -s -y 8 
TGc8{D9* T4DX]fZ; \K]^3`kb EJL]+!2^ W7p0#zp} &N<H7')4 1<j<;^QR ?V;pX^81
Le5.Qm~I g8VXt#(z KFPJ5-"7 85O<^_OY &K4xH09_ T\~c1)*s '$Dl:$%3 x"~Cz}F3
p9|V}cNC B2#Qu8?p 7RPK<W&Q $guGzMX7 xBa_(@<0 6txpEo/i T_5oa|Qr A\<LS3/Y
ve|eZ1Dc 4fa`}FfK @F21I/P1 =R8iSGR/ JpZ+?0`! /+d-3zVF :3HMuN]O j34zB,U=
1{nHz!jm bGs`6Z-T ^m-G5Y~l B^Jr.C~7 =G&]}CD4 3v_GX:0r Za2\d@9/ p|9PG0T1
E&1@aaFB )~~37Fl1 Q)']{O#5 [r1BEY>= t0zJ];s, fSv@2C[0 b(2YDl:O uAd}tk;1
?@ei1V^R J~0`6Z|M 6E$6jWhC B6p;/Nen :z'z8K,Z !+!<O5f0 ?C5piU@P .TH3Yube
G*K3L#Kn F4Dl*O>6 `NOnrS9j E-NY/8@X ',G~e2|* 11{i3HcC '2b|)6%I #}VH50**
_3>MOxv@ V[HI84_) [X/UtM:4 Sz]vX'8I kMI5Hm~k }qdiR-L4 4W_2}XPY h/<AI@2W
enVW1|Fy g"{4m;LG \PENI]?1 By/J9~gh y40?ZgS> r&HMY6#k x8&9KC8j DN$&>53%
[5X?z3CZ WYb)],A6 XI1}#7@V 2nT&-He{ 2WW_~`ug Kcb:7}C) c#zHI]6r TLC&jB0_
yI71!>Tn pa"'M1)p `1TwF8\w S7Gz{#u| >^;Q3uS6 ;5"?.Yae %E23Dct$ =NTD=UC1
{H2\4"=[ @r1+M(1A OWn{>0=8 `IV9anDJ YA9]M='& P4!o'<<p )6z(OsVw FCG[E9kX
1}W?9mZR XqtV9=Y_ iT2Xb[D| RVs<K02| }9lT#7}h )RP4l:-| ;;(1ZU]? Q2WZ==*y
M1hb>WgJ 7@Ch;rWh M16,KwF, 1F29ygb/ 7<m+pT`R xxK'3VAT 2{F4aWI& PXeZ3.qU
`_yNNd7f <D"1&p#v T0ZB-|)b UxnJ)'_8 H=c,C<7| u&"'Gr1l t./5/SIH 84RGg+^z
\0x?ObTs <2NP:JM[ A0^rxIAg J_ic@\3s 5qmJKHO\ Qc.?A3pI %H)7MKF| =4:tV*eo
wJgMto6| O7MD%Q<+ P*5?Ds/< -&k_;7Ty @s9P'w0c $]l;!XO0 2oS!+z6# "|sFCi4c
v0zM`hy@ D]5,X<>; n9:z)W]) ^]rX0Vu0 )llM=5iG mWi[mY?3 1:D]/h;^ JMWga1](
U4t-7i.m K?8{d>E* T7}_\m|o P86TW|S@ @9'-aImR iK2;PP|z ;n}Nd73K R$x4AI`L
bruno@solydx-fs:~$

Ou j'ai lu trop vite
Ça évite de demander un mdp sur un site dont on ignore le sérieux ou l'utilisation qu'ils peuvent en faire.

compte supprimé · Le 16/02/2014, à 17:33

Salut Cristobal, merci pour les explications, c'est plus clair maintenant pour moi, j'ai compris :- ))

compte supprimé · Le 16/02/2014, à 18:37

J'ai essayé de faire un calcul en vitesse, mais il ne sera pas basé sur la réalité car je ne sais pas combien de mot de passe peut calculer le processeur que je prends en exemple, j'ai choisi la marque Intel, un i5-3470@3,5 Ghz, et selon un site de Bench, il arrive à une puissance de calcul de 85 gigaflops. Titan, le supercalculateur arrive à 27 pétaflops. Si j'ai bien compris ça donnerai cela comme différences :

Le processeur Intel a une puissance de : 8,5X10 puiss 9

Le supercalculateur Titan est à : 27X10 puiss 15

Pour trouver combien de fois Titan est plus rapide que le processeur Intel je divise la puissance de Titan par celle d'intel, ce qui donne :

27X10 puiss 15 / 8,5X10 puiss 9 = 3 176 470

Ce qui fait que Titan est 3 million (et quelques) de fois plus puissant que le processeur Intel.

Imaginons que le processeur Intel puisse tester 1 milliard (10X puiss 9) de mots de passe à la seconde, combien pourrait en tester Titan en une seconde ?

Multiplions 1 milliard par 3 millions et quelques :

10X puis 9 X 3 176 470 = 3,17647X 10 puiss 15 ( soit en chiffres simples : 3 176 470 000 000 000 de mots de passe par seconde calculés pour Titan, ça devient intéressant ! )

Si je choisi de créer un mot de passe d'une longueur de 14 caractères, et réalisé à partir d'un choix de 100 caractères différents, j'obtiens ce chiffre de possibilités différentes : 10X puiss 28

Il y a aussi une chance sur 2 que Titan trouve mon mot de passe avant.

Là je prends le nombre de secondes par an multiplié par le nombre de mots de passe par seconde que fait Titan :

31 536 000 X 3 176 470 000 000 000 = 1,001731579X 10 puiss 23, ce qui fait en chiffres simples : 100 173 157 900 000 000 000 000 mot de passe calculé par an !

On est loin des 10X puiss 28 que notre mot de passe de 14 caractères nous donne comme possibilités.

Mais je n'arrive pas à poursuivre le calcul que tu as fait hier Cristobal (au post #40) J'aimerai savoir combien de temps il faudrait à Titan pour craquer notre mot de passe, avec bien sur la règle des "une chance sur deux qu'il le trouve plus vite", merci de tes explications.

Dernière modification par -pascal34- (Le 16/02/2014, à 18:50)

compte supprimé · Le 17/02/2014, à 00:01

Je tente une approche mais ne sais pas si elle est bonne.

J'en suis arrêté à trouver que Titan arrive à tester (en arrondissant à l'inférieur) 10 puiss 23 mots de passe par an. Pour rappel, le mot de passe en question fait 14 caractères, ceux-ci piochés dans un panel de 100 caractères différents, ce qui nous donne 10 puiss 28 possibilités de mots de passe.

Si je déduis ces 10 puiss 28 aux 10 puiss 23 de Titan, j'en arrive à 10 puiss 5, soit le nombre 100 000 ! Et en ayant une chance sur 2 que Titan trouve le mot de passe avant on passe ce chiffre à 50 000.

Est-ce à dire qu'il faudrait 50 000 ans de calculs à Titan ( à son rythme de 100 173 157 900 000 000 000 000 mots de passe calculés par an) pour trouver un mot de passe de 14 caractères avec une attaque de type brute force svp ? Si c'est cela, on a de la marge c'est vrai..

cristobal78 · Le 17/02/2014, à 23:42

1/- l y a une petite erreur. Rappelle toi :
Un mdp de "n" caractères (choisis parmi les 100 possibles du clavier) nécessite un nbre de tests égal à :
100 + (100 puissance 2) + (100 puissance 3) + ... (100 puissance n) = [100 puissance (n+1)] - 2 possibilités qu'on arrondit évidemment à 100 puissance (n+1).
donc avec 14 caractères il faut (100 puiss (14+1) ) = 100 puiss 15 ou encore 10 puiss 30 (un "1" suivi de 30 zéros)

alors qu'avec 10 caract on avait trouvé (100 puiss 11) ou encore (10 puiss 22).

2/- Pour passer de 10 à 14 caractères on passe de (10 puiss 22) à (10 puiss 30) soit (10 puiss 8) fois plus ou encore 100 million de fois plus (10 puiss 8 = 100 millions)

Or j'estimais dans un post précédent que :
"En d'autres termes il faudrait continuer pendant 150 000 ans à raison d'un milliard d'essais par seconde pour casser un mdp de 10 caractères pris selon les conditions définies plus haut dans le fil."

Tu me parles d'un processeur qui est 3 millions de fois plus puissant donc on peut estimer qu'il mettra 3 millions de fois moins de temps que 150 000 ans c'est à dire :

150 000 / 3 000 000 = 1/20 d'année donc15 jours. Aïe là c'est court !!!

Mais avec un mdp a 14 caract il faut faire (100 puiss (14+1)) = (100 puiss 15) = (10 puiss 30) essais (au lieu de 10 puiss 22) donc on multiplie le temps par 10 puiss (30-22) = 10 puiss 8
Le temps total sera donc de 3 jours x (10 puiss 8) = 300 millions de jours soit environ 1 millions d'années

Et même si je me suis trompé en allant un peu vite d'un rapport 10 ça fait encore bcp d'années !!!!

compte supprimé · Le 17/02/2014, à 23:48

Salut Cristobal, je m'étais rendu compte de mon erreur de 10 puiss 28 au lieu de 10 puiss 30 ce matin, j'avais la flemme d'éditer pffff ! Merci pour les nouveaux calculs, là on voit que la taille du mot de passe va devoir être de plus en plus longue, mais on va finir ça comment ? On ne va pas pouvoir retenir un mot de passe de 155 caractères, surtout pour lancer un sudo iptables -L

fffffffffffffffffffffffffff

compte supprimé · Le 17/02/2014, à 23:52

Mouais en fait on sera mort d'ici là. Vive le 14 caractères en attendant !

Dernière modification par -pascal34- (Le 17/02/2014, à 23:52)

compte supprimé · Le 18/02/2014, à 00:20

cristobal78 a écrit :

Tu me parles d'un processeur qui est 3 millions de fois plus puissant donc on peut estimer qu'il mettra 3 millions de fois moins de temps que 150 000 ans c'est à dire :
150 000 / 3 000 000 = 1/20 d'année donc15 jours. Aïe là c'est court !!!
Mais avec un mdp a 14 caract il faut faire (100 puiss (14+1)) = (100 puiss 15) = (10 puiss 30) essais (au lieu de 10 puiss 22) donc on multiplie le temps par 10 puiss (30-22) = 10 puiss 8
Le temps total sera donc de 3 jours x (10 puiss 8) = 300 millions de jours soit environ 1 millions d'années

Pardon Cristobal, je viens de me rendre compte que tu avais répondu à ma question, donc, merci et aussi pour tes calculs, bonne soirée.

(avec la chance sur deux ça fait 500 000 ans, de quoi redevenir des dinosaures )

Dernière modification par -pascal34- (Le 18/02/2014, à 00:33)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#26 Le 07/02/2014, à 16:04

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#27 Le 07/02/2014, à 17:43

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#28 Le 07/02/2014, à 20:44

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#29 Le 08/02/2014, à 04:25

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#30 Le 08/02/2014, à 04:42

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#31 Le 08/02/2014, à 06:23

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#32 Le 08/02/2014, à 12:19

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#33 Le 08/02/2014, à 13:51

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#34 Le 08/02/2014, à 15:43

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#35 Le 14/02/2014, à 20:50

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#36 Le 15/02/2014, à 01:51

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#37 Le 15/02/2014, à 13:21

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#38 Le 15/02/2014, à 20:55

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#39 Le 15/02/2014, à 21:19

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#40 Le 15/02/2014, à 22:01

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#41 Le 15/02/2014, à 22:15

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#42 Le 16/02/2014, à 02:07

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#43 Le 16/02/2014, à 10:41

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#44 Le 16/02/2014, à 17:33

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#45 Le 16/02/2014, à 18:37

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#46 Le 17/02/2014, à 00:01

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#47 Le 17/02/2014, à 23:42

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#48 Le 17/02/2014, à 23:48

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#49 Le 17/02/2014, à 23:52

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

#50 Le 18/02/2014, à 00:20

Re : [ Résolu ] Un mot de passe fort, comment le définir ?

Pied de page des forums