Si vous trouvez ce poste utile, SVP Partager
Nous avons constaté, dans un article précédent, comment il était facile pour les cybercriminels de déchiffrer un mot de passe composé de peu de caractères. Avouer que la surprise est totale lorsque nous apprenons que cela prenait aussi peu que 0.00089 de une seconde pour défoncer un mot de passe de 5 unités (caractères). Une stratégie très active pour les particuliers actuellement est de vous demander une rançon pour avoir accès à vos données entreposées sur vos disques durs, vos clés USB ou autres, maintenant cryptées, c.a.d. misent dans un coffre-fort que eux seuls ont la combine. La moyenne de bitcoins demandés pour vos données prises en otage est habituellement de 10 Bitcoins (2013) pour recevoir une clé privée nécessaire à décrypter les fichiers sous clé, un processus qui peut prendre plus de 24 heures. Le message à l’écran annonce aussi que l’utilisateur infecté a 72 heures seulement pour payer.
Habituellement, la rançon est payable en Bitcoin et sur un site totalement secret, comme de raison. Vous avez ci-dessus, un convertisseur en temps réel et en en dollars US de cette devise. Il reste seulement qu’à convertir le dollar Us en votre devise, pour vous faire une idée du montant de la rançon potentielle demandée dans votre région. Une des raisons de notre hésitation à augmenter le nombre d’unités composant nos mots de passe est que nous avons de la difficulté à les mémoriser. C’est surtout vrai si nous nous servons d’un logiciel spécialisé pour les composer. En effet, ces logiciels nous proposent des mots de passe très fort, mais ils ne nous font aucun sens et notre cerveau est habitué à emmagasiner de l’information en se servant de liens. Ne vous en faites pas, il y a toujours une solution, comme celle à venir plus loin, suggérée par une connaissance. Mais avant d’en arriver là, voyons dans un premier temps, les effets sur l’ordinateur de monsieur Gosney et ses 348 milliards d’essais seconds, le simple fait d’augmenter graduellement le nombre d’unités d’un mot de passe. Par la suite nous allons identifier quelques conseils pour la composition d’un mot de passe plus fort et en dernier, après avoir démontré clairement les bénéfices pour nous d’un mot de passe alphanumérique plus les symboles d’une longueur minimale, je vais vous expliquer la technique que m’a donné un de mes amis, prise dans une info-lettre de sécurité chez Red Hat Enterprise®.
En 2012, un ordinateur bâti par Jeremi M. Gosney, fait de pièces disponibles sur le marché, avait la puissance de réaliser des essais à la vitesse de
348 milliards de possibilités/sec (350000000000). Serveurs
Être soi-même la source de bonnes nouvelles…
Au fur et à mesure que vous rajouter des unités à votre mot de passe, voici les effets sur leur temps de travail. Le but étant de les décourager à continuer dans le temps.
7 unités: ça passe de 0.00089 sec à 41.8 secondes soit 7595% plus de temps.
8 unités: nous somme à 53 minutes
9 unités: voila des résultats prometteurs avec 67.12 heures
10 unités: nous parlons maintenant de jours avec 212.6 jours
11 unités: nous parlons enfin d’années avec 44.27 années
12 unités: de milliers d’années avec 3364.25 années (minimum recommandé)
13 unités: de centaines de milliers d’années avec 255.7 milliers d’années (acceptable)
14 unités: ici nous atteignons les millions avec 19.44 millions d’années (recommandé)
Dans les faits, ils vont prioriser les efforts les plus payants versus le temps, ils vont automatiquement se mettre des limites de temps à ne pas dépasser.
Attention ! Tous ces chiffres peuvent nous redonner un certain espoir, surtout les derniers. Mais, ces temps ont été réalisés en mettant en réseaux quatre serveurs ayant en leur bord 25 cartes GPU chacun, pour un total de plus de 100 GPU. En 2020, sune puissance de décryptage décuplée peut-être atteinte avec un seul serveur. Le tout pour le prix d’un serveur d’une PME moyenne . Imaginer maintenant les ressources déployées par le crime organisé afin de subtiliser vos informations personnelles.
Ils connaissent et profitent de nos comportements
Bien sure, les pirates professionnels ont inventé des moyens plus efficaces pour deviner nos mots de passe. La méthode de la force brute est utilisée avec celle dite du « dictionnaire » et toutes les autres disponibles au moment de l’attaque. C’est principalement pour ces raisons que vous devriez suivre les recommandations élémentaires suivantes:
Directives minimales pour un mot de passe plus fort
- Ne jamais sous-estimer la détermination des cybercriminels du crime organisé à vouloir vos informations personnelles car elles valent un prix d’or.
- Changer nos mot de passe régulièrement.
- Si le système le permet, limiter le nombre maximum d’essais consécutifs permis.
- Vos mots de passe ne devraient jamais être entreposés dans un ordinateur.
- Si le système le permet, utilisez un mot de passe ayant au minimum de 12 à 14 caractères, composé par des nombres + minuscules + minuscules + symboles
- Si le système le permet, avoir des mots de passe ayant des une séquence d’unités aléatoire.
- Évitez absolument d’utiliser deux fois le même.
- Évitez de mettre en majuscule le premier caractère.
- Évitez la répétition d’un même caractère.
- Évitez une reproduction d’une suite du clavier genre 1 2 3 , a b c .
- Évitez des mots connus du dictionnaire: géographiques, de personnes, d’animaux , d’œuvres artistiques ou endroits personnels surtout s’ils sont publiés sur les médias sociaux.
- Éviter d’utiliser toutes les informations qui sont ou pourraient devenir publiques.
N.B. Les temps calculés ci-haut vont êtres de beaucoup diminués si l’un de ces conseils a été omis.
Ce que mon amis m’a recommandé de faire
Voici, étape par étape, la méthode qu’il à choisi pour construire un mot de passe fort facile à reconstituer. Pour le besoin de la démonstration, je me sert d’un exemple quel qu’oncle, que vous pouvez modifiez à votre guise.
1. Vouloir un minimum d’unités (12 a 14)
2. Composer une phrase facile à retenir et qui a un sens pour vous, Voici un exemple:
j‘ai couru un marathon en quatre heures quinze minutes a quarante six ans .
– Récupérer les premières lettres des mots principaux: jcumeqhqmaqsa
– Se donner un truc pour savoir quelles de celles-ci transformer en majuscules. Ici, je choisis mon age (46) donc la 6e et la 8e unités: jcumeQhQmaqsa
– Transformer les a en @: jcumeQhQm@qs@ 6.
– Insérer les nombres juste après les lettres correspondantes : jcumeQ4hQ15m@qs46@
Il vous suffit maintenant de retenir une phrase et des éléments déterminants (conventions). Dans mon cas, je me suis servi de 4 et 6, mon âge lors de cet événement. Vous pouvez aussi bien prendre la même phrase et cette fois-ci choisir les dernières lettres de chaque mot.
Vous voulez vous donner un moyen de l’appliquer à un endroit spécifique, comme Facebook ? Alors, ajouter un F: FjcumeQ4hQ15m@qs46@. Pour un compte Google comme Gmail: GjcumeQ4hQ15m@qs46@
Ou encore, décider de subsister à la place le premier les « E » de la séquence par « 3 » ou les « j » par « ! ». Il faut simplement mémoriser quelques éléments de vos conventions. Avec ce truc, il vous sera possible d’avoir des données personnelles plus sécures.
C’est pas compliqué, vraiment pas si vous choisissez une phrase vraie et facile à répéter par cœur dans votre tete !
En conclusion… Précisons que pouvoir tenter une quelconque méthode de décryptage de mot de passe, il faut avoir le droit (Root) de lire le fichier dans lequel sont logés ceux-ci, par exemple avec Linux : /etc/shadow. En fait, de façon incontournable, il faut que le cybervoleur se donne les moyens de devenir root (racine), exploit plus difficile à réaliser avec les nouveaux systèmes d’opérations Microsoft, mais encore beaucoup plus difficile à faire sous les systèmes d’opération bâtis autour du cœur Linux; à moins d’une faille logicielle naturellement. De là l’importance d’avoir au mois un mot de passe administrateur très fort. De plus, il faut aussi que le pirate ait la capacité de faire des tentatives consécutives en nombres suffisants sans que le système le bloque. Avec Linux , on peu paramétrer cette fonction avec Pam et le module libpam-cracklib. De toute façon, on peut mieux se protéger des voleurs en ayant de bonnes pratiques de sécurité, comme se doter de mots de passe plus difficile et plus longue à défoncer.
Jean-Pierre Carrière technoequitable.com
Si vous trouvez ce poste utile, SVP Partager