C'est tellement commun maintenant, que nous le faisons tous sans même y penser: créez un mot de passe d'au moins x caractères, au moins un chiffre et un symbole et ce n'est pas votre prénom ou votre nom de famille. Que vous soyez au travail ou que vous créiez un identifiant Apple, ces exigences de mot de passe «fort» sont partout requises.
Après avoir créé un nouveau mot de passe sur un site, j'ai commencé à réfléchir à la différence étaient. Certains sites veulent des mots de passe d'au moins 3 caractères et d'autres un minimum de 8. Certains veulent des symboles, d'autres pas. Certains se soucient de votre nom et des mots de passe précédents, d'autres ne le font pas. Alors quel mot de passe est vraiment fort?
J'ai fait quelques recherches et découvert deux choses quand vous parlez de quelqu'un qui "craque" votre mot de passe: d'abord, il y a la force de votre mot de passe. force du cryptage qui hache le mot de passe dans le charabia lorsqu'il est stocké.
Je me suis vite rendu compte que tout le concept d'un mot de passe fort est très mathématique et de nombreuses études ont été faites sur ce sujet. Celui qui a attiré mon attention et que je vais mentionner dans ce post est d'un Étude Carnegie-Mellon 2011.
Testez votre mot de passe d'abord
Avant de nous lancer dans un mot de passe fort est, voyons combien de temps il faudrait pour casser votre mot de passe supposé fort. Pour vérifier cela, nous allons utiliser un outil sur le site PassFault:
https://passfault.appspot.com/password_strength.html
Voici comment cela fonctionne. Vous tapez votre mot de passe et cliquez sur Analyser. Deux options sont masquées par défaut, mais vous pouvez cliquer sur Afficher les options. Expliquons ce qu'ils signifient.
Cracking Hardware utilise par défaut un attaquant de mot de passe à 900 $, ce qui serait possible pour un pirate légitime. Ils ont également la possibilité de choisir un attaquant par mot de passe de $ 180,000, que les Chinois pourraient utiliser si c'est si cher. La liste déroulante Protection par mot de passe vous donne quelques options pour le type de cryptage utilisé pour stocker le mot de passe. Microsoft Windows System est le plus faible, pas de surprise là-bas. Vous avez ensuite un point d'accès sans fil WPA, UNIX SHA1, UNIX Blowfish et 100 tours de SHA1.
J'ai essayé mon mot de passe fort que j'utilise sur plusieurs sites et j'ai été choqué de voir qu'il pouvait être craqué en 1 jour!
Wow, c'est plutôt mauvais. Alors j'ai choisi les options de cryptage plus fortes (Unix Blowfish et 100 rounds de SHA1) et j'ai été plus heureux de voir que les résultats prendraient plus d'un jour: 1 an et 7 mois pour Unix Blowfish et 2 mois et 2 jours avec 100 rounds de SHA1 . Cependant, avec l'attaquant de mot de passe $ 180 000, il est tombé à 11 jours et 3 jours, respectivement. Pas acceptable je pensais! Je veux que mon mot de passe prenne des années à se fissurer même avec un pirate de mot de passe super cher. Mais quelle est la meilleure façon d'utiliser un mot de passe de 9 caractères avec des chiffres et un symbole?
Qu'est-ce qui rend un mot de passe fort?
C'est là que l'étude Carnegie-Mellon fait la lumière sur le tout. Fondamentalement, ce qu'ils ont trouvé est que plus le mot de passe que vous utilisez est long, plus il est fort. Cela ne signifie pas nécessairement que le mot de passe doit avoir beaucoup de symboles ou de chiffres, il doit juste être long. À 16 caractères, tout ce que vous devez éviter est d'utiliser des mots de dictionnaire super faciles.
Pas convaincu que c'est possible? Dans le site PassFault, utilisez le mot de passe suivant, qui est seulement de 15 caractères et facile à retenir:
ilovemywifealot
Ensuite, pour les options, choisissez l'attaquant de $ 180,000 mot de passe et choisissez cryptage le plus faible (Microsoft Windows) et voici ce que vous obtenez:
1 mois et 7 jours! C'est bien mieux que mon mot de passe est craqué en 1 jour. Alors, quel est le problème avec mon mot de passe? Eh bien, apparemment, si votre mot de passe est plus court, vous devez utiliser plus de symboles, de lettres aléatoires et de chiffres pour le renforcer. Si c'est plus long, comme plus de 15 à 16 caractères, vous n'avez pas à vous soucier d'ajouter toutes sortes de chiffres et de symboles. Avec un mot de passe plus long, vous pouvez même utiliser plus de mots du dictionnaire et ce sera toujours très sécurisé. De toute évidence, un mot de passe comme hellohellohelloserait encore sucer même si c'est 15 caractères:
Ça craint parce que ça va être dans le dictionnaire et c'est le même mot trois fois. Dans mon premier mot de passe où je professe mon amour pour ma femme, la phrase commence rapidement à ressembler à du charabia à un ordinateur et aucun dictionnaire de craquage n'a cette phrase de 15 caractères comme un mot. Les dictionnaires ont des mots du dictionnaire, aussi longtemps que vous évitez les mots du dictionnaire, vous serez prêt à partir. Mon mot de passe aurait pu être encore meilleur si j'avais utilisé le nom de ma femme ou un surnom pour elle à la place du mot «femme». Obtenez l'idée?
Évidemment, si vous pouvez ajouter un nombre de symboles dans un mot de passe long, le mot de passe devient encore plus ridiculement fort. Par exemple, disons que j'ai mis un point d'exclamation devant le mot de passe de ma femme et ajouté un chiffre à la fin. Alors combien de temps faudrait-il pour casser avec les mêmes options:
La vache sacrée! Donc, il est passé de 1 mois 7 jours à un énorme 4 siècles et 1 décennie !!! Oui, des siècles !! Maintenant, c'est un mot de passe sécurisé et ce n'est pas très difficile à retenir. Alors vérifiez votre mot de passe en utilisant cet outil en ligne gratuit et si votre mot de passe se fissure dans quelques jours, il pourrait être temps de penser à quelque chose de nouveau, en particulier pour vos informations sensibles comme les mots de passe bancaires, etc.
Rappelez-vous, beaucoup de ces sites en ligne sont piratés tout le temps, donc votre mot de passe n'est jamais sûr. Cependant, si vous utilisez un mot de passe vraiment fort, même si le cryptage est très faible, il faudrait une éternité pour qu'un super ordinateur le craque! Si vous avez essayé votre mot de passe sur le site en lisant ce post, faites-nous savoir dans les commentaires combien de temps il faudrait pour le casser. Profitez-en!