Votre mot de passe est-il sécurisant ?

A la lecture de l’article paru sur Coding Horror, je pense qu’on peut répondre par la négative. En effet, l’outil Ophcrack a permis à l’auteur de briser le mot de passe Fgpyyih804423 en seulement 160 secondes. L’article est très intéressant et explique le principe de fonctionnement de l’outil dans les grandes lignes.

Concrètement, comment ça marche ? Les mots de passe ne sont jamais stockés tel que sur votre système. Ils sont en quelque sorte codés (ou hashés). Avec juste la version hashée d’un mot de passe, il est impossible de reconstituer le mot de passe (je vous invite d’ailleurs à lire cet autre article sur le fonctionnement d’un hash).

Pour cracker un mot de passe de façon classique, il faut donc essayer toutes les combinaisons possibles qui seront préalablement converties dans leurs versions hashées avant d’être envoyées pour vérification. Ca fonctionne, mais c’est très long. Ophcrack propose lui des tables de hashs pré-calculées pour toutes les combinaisons possibles de caractères. Ce qui rend le process beaucoup plus rapide et efficace.

Evidemment, ces tables sont énormes. Pour info, celle utilisée par l’auteur pour cracker son mot de passe fait 388Mo et couvre 99,9% de toutes les possibilités alphanumériques jusqu’à 14 caractères en seulement 11 minutes. Les plus grandes tables disponibles font presque 9Go… ça fait peur! Autrement dit, le nom de votre copin(e) + la date de votre rencontre, c’est très insuffisant comme moyen de protection.

Et si la lecture de l’article sur Coding Horror vous a fait flipper, évitez de lire les commentaires qui regorgent de trucs du genre:

At this point, it doesn’t matter if your password is 1 character or 14 random characters, if I have your hashes, you’re toast. Cracking the passwords is simply an academic exercise at that point.