Les attaques par force brute

Les attaques par force brute sont menées par des pirates qui tentent de craquer un mot de passe en essayant simplement différentes combinaisons de caractères en succession rapide. L'algorithme est très simple et se limite à essayer autant de combinaisons de caractères que possible, c'est pourquoi il est également appelé "recherche exhaustive". L'attaquant utilise généralement un ordinateur très performant, qui effectue un grand nombre de calculs par seconde et, par conséquent, peut tester un grand nombre de combinaisons dans le temps le plus court possible.

Cette méthode est souvent utilisée avec succès dans la pratique, car de nombreux utilisateurs utilisent des mots de passe courts, qui ne sont souvent composés que des lettres de l'alphabet, ce qui réduit considérablement le nombre de combinaisons possibles et facilite la découverte du mot de passe.

Décryptage des mots de passe

Le projet RC5-72 de l'organisation Distributed.net montre à quelle vitesse les mots de passe peuvent être décryptés. Le but du projet est le décryptage d'un message, qui a été chiffré avec une clé de 72 bits. À cette fin, toutes les clés possibles sont testées jusqu'à ce que la clé appropriée soit trouvée. Comme plusieurs utilisateurs mettent leurs capacités informatiques à disposition pour ce projet, actuellement (au 8 mai 2012) plus de 800 milliards de clés par seconde peuvent être générées. Des projets plus anciens de cette organisation ont permis de cracker une clé de 56 bits en 250 jours et une clé de 64 bits en 1 757 jours.

Combinaison et longueur du mot de passe

Quelques exemples de calcul illustreront l'interaction entre la longueur et les caractères utilisés pour la sécurité d'un mot de passe. Dans les exemples de calcul, on s'attend à une génération de 2 milliards de clés par seconde, car cela correspond approximativement à la vitesse d'un ordinateur unique très puissant.

Lors de la création d'un mot de passe, les caractères suivants sont généralement disponibles :

  • Des numéros (10 différents : 0-9)
  • Lettres (52 différentes : AZ et az)
  • Caractères spéciaux (32 différents).

Le nombre de combinaisons possibles est calculé à l'aide de la formule suivante :

Combinaisons possibles = nombre de caractèrespossiblesLongueurdu mot de passe

Il en résulte les exemples de calcul suivants, sans tenir compte d'autres facteurs, tels que les attaques de dictionnaires: :

Le mot de passe consiste enCombinaisons possiblesTemps nécessaire au décryptage

5 caractères
(3 lettres minuscules,
2 chiffres)

365=60,466,176

60 466 176 / 2
000 000 000 =
0,03 seconde

7 caractères
(1 lettre majuscule,
6 lettres minuscules)

527= 1,028,071,702,528

1 028 071 702 528 / 2
000 000 000 =
514 Secondes =
environ 9 minutes

8 caractères
(4 lettres minuscules,
2 caractères spéciaux,
2 chiffres)

688= 457,163,239,653,376

457 163 239 653 376 / 2
000 000 000 =
228 581 Secondes =
environ 2,6 jours

9 caractères
(2 lettres majuscules,
3 lettres minuscules,
2 chiffres,
2 caractères spéciaux)

949= 572,994,802,228,616,704

572 994 802 228 616 704 /
2 000 000 000 =
286 497 401 Secondes =
environ 9,1 ans

12 caractères
(3 lettres majuscules,
4 lettres minuscules,
3 caractères spéciaux,
2 chiffres)

9412= 475,920,314,814,253,376,475,136

475 920 314 814 253 376 475 136 /
2 000 000 000 =
237 960 157 407 127 Secondes =
environ 7,5 millions d'années

Vous pouvez voir très clairement l'impact de la longueur du mot de passe et de l'utilisation de différents groupes de caractères sur la sécurité d'un mot de passe.

Protection contre les attaques par force brute

La seule façon de vous défendre contre les attaques par la force brute est d'utiliser un mot de passe complexe , suffisamment long et composé d'une combinaison de lettres, de caractères spéciaux, de chiffres et d'éléments en majuscules et en minuscules. Plus votre mot de passe est complexe et long, moins il est probable que le logiciel utilisé "devine" la combinaison que vous avez choisie par hasard, comme vous pouvez le voir dans les exemples de calcul ci-dessus.

Lorsque vous créez un nouveau mot de passe dans Password Depot ou que vous le faites générer automatiquement à l'aide du générateur de mots de passe, vous verrez combien de temps il vous faudra pour le craquer. Password Depot ne tient pas seulement compte des facteurs ci-dessus, comme le nombre de caractères, mais aussi d'autres vulnérabilités, comme la vulnérabilité aux attaques de dictionnaires.

Une autre façon de rendre les attaques par la force brute plus difficiles consiste à allonger le délai entre deux tentatives de connexion (après avoir entré un mot de passe incorrect). En conséquence, l'ordinateur à haute performance du pirate peut être ralenti malgré les nombreux calculs par seconde dont il serait théoriquement capable. C'est pourquoi, dans Password Depot, la boîte de dialogue du mot de passe principal est verrouillée pendant quelques secondes si vous entrez un mot de passe principal incorrect. Ce temps d'attente augmente également en raison de la fréquence croissante de la saisie de mots de passe erronés.