Grâce à l'étude réalisée par l'entreprise Hive Systems, on connait le temps nécessaire pour pirater un mot de passe en 2023 ! À l'heure où les cartes graphiques sont de plus en plus puissantes, les mots de passe qui n'ont pas une force suffisante ne résistent pas bien longtemps... Faisons le point.

Depuis quelques années, Hive Systems publie une étude qui indique combien de temps il faut pour craquer un mot de passe, en fonction du nombre de caractères et du type de caractères. Pour cela, des tests avec du matériel différent sont effectués et pour cette version 2023, ChatGPT est évoqué également. Le tout en utilisant une seule et unique méthode : le brute force, à savoir une technique basique qui consiste à essayer toutes les combinaisons possibles jusqu'à trouver le fameux sésame.

Avant d'évoquer les résultats, il est important de préciser que les caractères spéciaux utilisés sont "^*%$!&@#" (et non l'ensemble complet) car ce sont ceux généralement acceptés sur les sites Internet. Par ailleurs, les tests sont effectués sur des hashs MD5 qui ne sont pas les plus robustes.... Il vaut mieux s'orienter vers le PBKDF2 SHA-256 comme le recommande le NIST (c'est le cas de Bitwarden, LastPass, 1Password, etc...).

Le matériel utilisé par les intelligences artificielles est redoutable !

Au fil des années, Hive Systems a fait évolué sa configuration pour utiliser des cartes graphiques plus récentes et plus puissantes : RTX 2080, RTX 3090, RTX 4090. Ce qui est intéressant, c'est le nombre de hashs MD5 que le GPU peut traiter par seconde. Par ailleurs, Amazon AWS et ses GPU monstres A100 Tensor x8 ou x12 sont exploitables aussi. Ainsi, un mot de passe de 8 caractères avec des chiffres, minuscules, majuscules et caractères spéciaux résistera entre 12 minutes et 4 heures (au plus long, selon le modèle de carte graphique).

Ensuite, Hive Systems nous explique que l'on pourrait utiliser une intelligence artificielle surpuissante comme ChatGPT qui a été entrainé sur Microsoft Azure avec 10 000 GPU NVIDIA A100. Sans faire réellement le test, par manque de moyen bien sûr, les chercheurs expliquent qu'il est possible de calculer le gain en FLOPS (en calcul par seconde) puisqu'il y a une augmentation linéaire.

Après avoir fait cette estimation, on peut aussi déterminer le temps nécessaire à une IA de la puissance de ChatGPT pour craquer un mot de passe. Là où la configuration avec 12 GPU NVIDIA A100 met au plus 12 minutes à craquer un mot de passe de 8 caractères avec des chiffres, minuscules, majuscules et caractères spéciaux, la configuration de ChatGPT a besoin d'une seconde. Et si l'on enlève les caractères spéciaux, c'est instantané !

Combien de temps résiste un mot de passe ?

Même si tout le monde n'aura pas accès à une telle puissance de calcul, le tableau ci-dessous montre à quelle vitesse il est possible de craquer un mot de passe avec une configuration matérielle identique à celle utilisée par ChatGPT.

Si l'on regarde le tableau ci-dessous, ce n'est qu'à partir de 16 caractères qu'il faut plusieurs années pour craquer un mot de passe (sauf avec les nombres uniquement). Si vous avez l'habitude d'utiliser des mots de passe générés aléatoirement avec les 4 types de caractères, il faut générer des mots de passe d'au moins 13 voir 14 caractères.

Cette analyse joue en la faveur des passphrases puisqu'elles sont naturellement plus longues que les mots de passe ! À bon entendeur !

Dans la pratique, il est important de rappeler qu'une attaque par brute force est facilement détectable et qu'elle ne sera pas efficace contre les systèmes suffisamment protégés : l'adresse IP source pourra être bannie et/ou le compte utilisateur ciblé verrouillé.

Le rapport très complet est disponible à cette adresse.

Que pensez-vous de cette étude ?

The post En 2023, combien de temps faut-il pour craquer un mot de passe ? first appeared on IT-Connect.