|
Bon, expliquons comment estimer le temps qu'il faudrait à un ordinateur pour déchiffrer un mot de passe à 4 caractères.
Hypothèses que nous devons formuler :
* Jeu de caractères : Le facteur le plus crucial concerne les caractères autorisés dans le mot de passe. Nous examinerons quelques scénarios courants :
* Lettres minuscules uniquement (a-z) : 26 personnages possibles.
* Lettres minuscules et majuscules (a-z, A-Z) : 52 caractères possibles.
* Lettres et chiffres (a-z, A-Z, 0-9) : 62 caractères possibles.
* Lettres, chiffres et symboles (a-z, A-Z, 0-9 et ~!@#$%^&*()_+=-`) : Cela peut varier en fonction des symboles spécifiques autorisés, mais supposons environ 95 caractères.
* Attaque par force brute : Nous supposons que l'ordinateur essaie toutes les combinaisons possibles dans l'ordre. C'est l'attaque la plus basique.
* Vitesse de piratage des mots de passe : La vitesse à laquelle un ordinateur peut essayer les mots de passe varie considérablement en fonction du matériel (CPU, GPU), du logiciel de piratage utilisé et de l'algorithme utilisé pour hacher le mot de passe. Nous évaluerons une plage de vitesses. Considérons les opérations par seconde :
* Lent : 1 000 mots de passe/seconde (un système très ancien ou faible)
* Modéré : 1 000 000 de mots de passe/seconde (un processeur moderne et décent)
* Rapide : 10 000 000 000 de mots de passe/seconde (une configuration GPU puissante)
Calculs
1. Total des combinaisons possibles :
Le nombre de mots de passe possibles est calculé comme suit :
`Taille du jeu de caractères ^ Longueur du mot de passe`
Donc:
* Minuscule (26) :26
4
=456 976
* Lettres (52) :52
4
=7 311 616
* Lettres et chiffres (62) :62
4
=14 776 336
* Lettres, chiffres et symboles (95) :95
4
=81 450 625
2. Délai moyen pour craquer :
Lors d’une attaque par force brute, l’ordinateur trouvera en moyenne le mot de passe correct à mi-chemin dans la liste des possibilités. Ainsi, nous divisons le nombre total de combinaisons par 2, puis divisons par la vitesse de craquage.
`Temps moyen =(Combinaisons totales / 2) / Vitesse de craquage`
Résultats (en secondes) :
| Jeu de caractères | Combinaisons totales | Lent (1 000/sec) | Modéré (1 000 000/sec) | Rapide (10 000 000 000/s) |
|-----------------------|----------|----------|-----------------------|------------------------------|
| Minuscules (26) | 456 976 | 228 secondes | 0,228 s | 0,0000228 s |
| Lettres (52) | 7 311 616 | 3656 secondes | 3,65 secondes | 0,000365 s |
| Lettres et chiffres (62) | 14 776 336 | 7388 secondes | 7,38 secondes | 0,000738 s |
| Lettres, etc. (95) | 81 450 625 | 40725 s | 40,72 secondes | 0,00407 s |
Conversion vers des unités plus compréhensibles
* Secondes / 60 =Minutes
* Minutes / 60 =Heures
* Heures / 24 =Jours
| Jeu de caractères | Lent (1 000/sec) | Modéré (1 000 000/sec) |
|-----------------------|----------|-----------------------|
| Minuscules (26) | 3,8 minutes | 0,228 millisecondes |
| Lettres (52) | 1,01 heures | 3,65 microsecondes |
| Lettres et chiffres (62) | 2,05 heures | 7,38 microsecondes |
| Lettres, etc. (95) | 11,3 heures | 40,72 microsecondes |
Considérations importantes :
* Algorithmes de hachage : Le type d’algorithme de hachage utilisé pour stocker le mot de passe a un impact significatif sur le temps de craquage. Les algorithmes de salage et de hachage puissants comme bcrypt, Argon2 ou scrypt rendent le piratage beaucoup plus difficile, même avec du matériel puissant. Les calculs ci-dessus supposent que l'attaquant peut tester directement les mots de passe. Si le mot de passe est bien haché, ils doivent effectuer le calcul de hachage pour chaque supposition, ce qui ralentit considérablement les choses.
* Attaques par dictionnaire : Au lieu de forcer brutalement, les attaquants essaient souvent d’abord des mots, des noms et des modèles courants. Cela peut être beaucoup plus rapide.
* Tableaux arc-en-ciel : Les tables de hachage précalculées peuvent accélérer le craquage, en particulier pour les algorithmes de hachage les plus faibles.
* Limitation du débit : De nombreux systèmes mettent en œuvre une limitation de débit, qui limite le nombre de tentatives de mot de passe autorisées sur une période donnée. Cela ralentit efficacement les attaques par force brute.
En conclusion :
Un mot de passe à 4 caractères peut être déchiffré très rapidement avec du matériel moderne, surtout s'il utilise un petit jeu de caractères (comme des lettres minuscules uniquement) et/ou si le hachage du mot de passe est faible. Un mot de passe comportant un jeu de caractères plus important (y compris des chiffres et des symboles) prendra plus de temps, mais peut néanmoins être vulnérable. C’est pourquoi les recommandations modernes en matière de mots de passe concernent des mots de passe beaucoup plus longs et l’utilisation d’algorithmes de hachage forts et bien salés.
|
