Facebook Twitter Google Plus Linkedin Instagram YouTube Pinterest Tumblr VK RSS
Close
Les bonnes pratiques de sécurité / Sécurité

0.00089 de une seconde pour se faire avoir (suite)

Jean-Pierre CarriereLeave a comment

Si vous trouvez ce poste utile,  SVP Partager

CL_Screenshot Nous avons constaté, dans un article précédent, comment il était facile pour les cybercriminels de déchiffrer un mot de passe composé de peu de caractères. Avouer que la surprise est totale lorsque nous apprenons que cela prenait aussi peu que 0.00089 de une seconde pour défoncer un mot de passe de 5 unités (caractères).Study-256x256 Une stratégie très active pour les particuliers actuellement est de vous demander une rançon pour avoir accès à vos données entreposées sur vos disques durs, vos clés USB ou autres, maintenant cryptées, c.a.d. misent dans un  coffre-fort que eux seuls ont la combine. La moyenne de bitcoins demandés pour vos données prises en otage est  habituellement de 10 Bitcoins (2013) pour recevoir une clé privée nécessaire à décrypter les fichiers sous clé, un processus qui peut prendre plus de 24 heures. Le  message à l’écran annonce aussi que l’utilisateur infecté a 72 heures seulement pour payer.

Habituellement,  la rançon est payable en Bitcoin et sur un site totalement secret, comme de raison. Vous avez ci-dessus, un convertisseur en temps réel et en en dollars US de cette devise. Il reste seulement qu’à convertir le dollar Us en votre devise, pour vous faire une idée du montant de la rançon potentielle demandée dans votre région. Une des raisons de notre hésitation à augmenter le nombre d’unités composant nos mots de passe est que nous avons de la difficulté à les mémoriser. C’est surtout vrai si nous nous servons d’un logiciel spécialisé pour les composer.technoargia_Bulle_droite_question En effet, ces logiciels nous proposent des mots de passe très fort, mais ils ne nous font aucun sens et notre cerveau est habitué à emmagasiner de l’information en se servant de liens. Ne vous en faites pas, il y a toujours une solution, comme celle à venir plus loin, suggérée par une connaissance. Mais avant d’en arriver là, voyons dans un premier temps, les effets sur l’ordinateur de monsieur Gosney et ses 348 milliards d’essais seconds, le simple fait d’augmenter graduellement le nombre d’unités d’un mot de passe. Par la suite nous allons identifier quelques conseils pour la composition d’un mot de passe plus fort et en dernier, après avoir démontré clairement les bénéfices pour nous d’un mot de passe alphanumérique plus les symboles d’une longueur minimale, je vais vous expliquer la technique que m’a donné un de mes amis, prise dans une info-lettre de sécurité chez Red Hat Enterprise®.

Voici l’outil pour nous voler 

En 2012, un ordinateur bâti par Jeremi M. Gosney, fait de pièces disponibles sur le marché, avait la puissance de réaliser des essais à la vitesse de

348 milliards de possibilités/sec (350000000000). Serveurs  

 Être soi-même la source de bonnes nouvelles

Au fur et à mesure que vous rajouter des unités à votre mot de passe, voici les effets sur leur temps de travail. Le but étant de les décourager à continuer dans le temps.

     7 unités: ça passe de 0.00089 sec à  41.8  secondes  soit 7595% plus de temps. 

     8 unités: nous somme à  53  minutes 

     9 unités: voila des résultats prometteurs avec  67.12 heures

    10 unités: nous parlons maintenant de jours avec  212.6  jours

    11 unités:  nous parlons enfin d’années avec  44.27  années

    12 unités:  de milliers d’années avec  3364.25  années (minimum recommandé)

    13 unités:  de centaines de milliers d’années avec  255.7  milliers d’années (acceptable)

    14 unités: ici nous atteignons les millions avec  19.44  millions d’années (recommandé)

Dans les faits, ils vont prioriser les efforts les plus payants versus le temps, ils vont automatiquement se mettre des limites de temps à ne pas dépasser.

Attention !voleur Tous ces chiffres peuvent nous redonner un certain espoir, surtout les derniers. Mais, ces temps ont été réalisés en mettant en réseaux quatre serveurs ayant en leur bord 25  cartes GPU chacun, pour un total de plus de 100 GPU.  En 2020, sune puissance de décryptage décuplée peut-être atteinte avec un seul serveur.  Le tout pour le prix d’un serveur d’une PME moyenne . Imaginer maintenant les ressources déployées par le crime organisé afin de subtiliser vos informations personnelles.

Ils connaissent et profitent de nos comportementsconfident-icon

Bien sure, les pirates professionnels ont inventé des moyens plus efficaces pour deviner nos mots de passe. La méthode de la force brute est utilisée avec celle dite du « dictionnaire » et toutes les autres disponibles au moment de l’attaque.  C’est principalement pour ces raisons que vous devriez suivre les recommandations élémentaires suivantes:

Directives minimales pour un mot de passe plus fort

  • Ne jamais sous-estimer la détermination des cybercriminels du crime organisé à vouloir vos informations personnelles car elles valent un prix d’or.
  • Changer nos mot de passe régulièrement.
  • Si le système le permet, limiter le nombre maximum d’essais consécutifs permis.
  • Vos mots de passe ne devraient  jamais être entreposés dans un ordinateur.
  • Si le système le permet, utilisez un mot de passe ayant au minimum de 12 à 14 caractères, composé par des nombres + minuscules + minuscules + symboles
  • Si le système le permet, avoir des mots de passe ayant des une séquence d’unités aléatoire.
  • Évitez absolument d’utiliser deux fois le même.
  • Évitez de mettre en majuscule le premier caractère.
  • Évitez la répétition d’un même caractère.
  • Évitez une reproduction d’une suite du clavier genre 1 2 3 , a b c .
  • Évitez des mots connus du dictionnaire: géographiques, de personnes, d’animaux , d’œuvres artistiques ou endroits personnels surtout s’ils sont publiés sur les médias sociaux.
  • Éviter d’utiliser toutes les informations qui sont ou pourraient devenir publiques.

N.B. Les temps calculés ci-haut vont êtres de beaucoup diminués si l’un de ces conseils a été omis.

Ce que mon amis m’a recommandé de faire

Voici, étape par étape, la méthode qu’il à choisi pour construire un mot de passe fort facile à reconstituer. Pour le besoin de la démonstration, je me sert d’un exemple quel qu’oncle, que vous pouvez modifiez à votre guise.

1.  Vouloir un minimum d’unités (12 a 14)

2.  Composer une phrase facile à retenir et qui a un sens pour vous, Voici un exemple:

j‘ai couru un marathon en quatre heures quinze minutes a quarante six ans .

– Récupérer les premières lettres des mots principaux:  jcumeqhqmaqsa  

         – Se donner un truc pour savoir quelles de celles-ci transformer en majuscules.  Ici,  je choisis mon age (46) donc la 6e et la 8e unités:   jcumeQhQmaqsa     

        –  Transformer les a en @: jcumeQhQm@qs@      6. 

        –  Insérer les nombres juste après les lettres correspondantes : jcumeQ4hQ15m@qs46@

Il vous suffit maintenant de retenir une phrase et des éléments déterminants (conventions). Dans mon cas, je me suis servi de 4 et 6, mon âge lors de cet événement. Vous pouvez aussi bien prendre la même phrase et cette fois-ci choisir les dernières lettres de chaque mot.

Vous voulez vous donner un moyen de l’appliquer à un endroit spécifique, comme Facebook ? Alors, ajouter un F: FjcumeQ4hQ15m@qs46@. Pour un compte Google comme GmailGjcumeQ4hQ15m@qs46@

Ou encore, décider de subsister à la place le premier les « E » de la séquence par « 3 » ou les « j » par « ! ». Il faut simplement mémoriser quelques éléments de vos conventions. Avec ce truc, il vous sera possible d’avoir des données personnelles plus sécures.

C’est pas compliqué, vraiment pas si vous choisissez une phrase vraie et facile à répéter par cœur dans votre tete  !

En conclusion… Précisons que pouvoir tenter une quelconque méthode de décryptage de mot de passe, il faut avoir le droit (Root) de lire le fichier dans lequel sont logés ceux-ci, par exemple avec Linux : /etc/shadow. En fait, de façon incontournable, il faut que le cybervoleur se donne les moyens de devenir root (racine), exploit plus difficile à réaliser avec les nouveaux systèmes d’opérations Microsoft, mais encore beaucoup plus difficile à faire sous les systèmes d’opération bâtis autour du cœur Linux; à moins d’une faille logicielle naturellement. De là l’importance d’avoir au mois un mot de passe administrateur très fort. De plus, il faut aussi que le pirate ait la capacité de faire des tentatives consécutives en nombres suffisants sans que le système le bloque. Avec Linux , on peu paramétrer cette fonction avec Pam et le module libpam-cracklib. De toute façon, on peut mieux se protéger des voleurs en ayant de bonnes pratiques de sécurité, comme se doter de mots de passe plus difficile et plus longue à défoncer.

 JP1-1024x768_001

Jean-Pierre Carrière technoequitable.com

Si vous trouvez ce poste utile,  SVP Partager

Leave a Reply

Your email address will not be published.