Les attaques par rainbow tables (ou "tables arc-en-ciel") sont les plus performantes.
Elles craquent 99.9% des mots de passe, qu'importe si le mot de passe comporte des lowercase + uppercase + special character + digit (minuscules, majuscules, caractères spéciaux, chiffres).
C'est nettement plus puissant que l'attaque par dictionnaire.
L'attaque par dictionnaire est certes rapide (en général on tombe sur le mot de passe en quelques secondes si celui-ci figure dans la liste) ou on ne le trouve pas, tout simplement. Il en général inutile de faire mouliner 2 jours. Certains disent qu'il y a 50% de chance que le mot de passe soit dans un dictionnaire, moi je réduirait plutôt ce chiffre aux alentours de 30% (j'ai pourtant 5Go de dictionnaires), car le chiffre tend à s'amoindrir du fait que les gens sont de plus en plus au courant des cassages de mots de passe et de comment les éviter le mieux possible (quelle doit être la forme d'un bon mot de passe).
Mais, dans tous les cas, une attaque par rainbow tables est infaillible, elle. Vous pouvez mettre ce que vous voulez comme mot de passe, il sera trouvé. Par contre, c'est plus lent... En effet, le principe des rainbow tables est de faire toutes les combinaisons possibles, une à une.
Donc en fait, tout dépend de la longueur du mot de passe. Si celui-ci fait 5 caractères, c'est easy. Par contre, quand ça commence à avoisiner les 7, 8 ou 9 caractères, là, le temps de traitement est "nettement plus long". La limite des rainbow tables est située au niveau de la capacité du processeur (cadence de tentatives par secondes et donc temps de traitement). La limite se situe aux alentours de 14 caractères. Au delà, par exemple 20 caractères, avec un ordinateur classique, cela mettrait une vie entière (et encore, en étant centenaire ).
Un exemple de bon mot de passe est donc :
[email protected]&1 <-- 25 caractères (en général, la limite est fixée entre 20 et 30 dans les zones de saisie).
Là vous êtes sûrs que personne vous le crackera (à moins qu'il aie à disposition un supercalculateur, ou tout simplement qu'il soit passé par une autre technique pour vous voler l'information, tel le stealing ou le phishing, etc.).
Cependant, le revers de ces mots de passes est qu'on les note... souvent dans notre ordi ! Il faudrait, pour bien, les noter par écrit ! Ce que personne ne fait Mais bon, cela n'est que dans le cas où l'attaquant à accès à votre ordinateur. Donc, là il ne s'agirait pas du thème de ce topic, le cassage de mot de passe, mais du vol de données.
Donc, pour en revenir à l'utilisateur lambda, son mot de passe sera crackable dans 30% des cas en environ 1 minutes via une attaque par dictionnaire, et à 99,9% des cas en moins d'une journée via les rainbow tables.
Je vous laisse ici une liste de liens pour télécharger toutes les rainbow tables (LM+MD5+NTLM) :
http://www.insidepro.com/tables.php
Note : poids total : 110Go.
Elles craquent 99.9% des mots de passe, qu'importe si le mot de passe comporte des lowercase + uppercase + special character + digit (minuscules, majuscules, caractères spéciaux, chiffres).
C'est nettement plus puissant que l'attaque par dictionnaire.
L'attaque par dictionnaire est certes rapide (en général on tombe sur le mot de passe en quelques secondes si celui-ci figure dans la liste) ou on ne le trouve pas, tout simplement. Il en général inutile de faire mouliner 2 jours. Certains disent qu'il y a 50% de chance que le mot de passe soit dans un dictionnaire, moi je réduirait plutôt ce chiffre aux alentours de 30% (j'ai pourtant 5Go de dictionnaires), car le chiffre tend à s'amoindrir du fait que les gens sont de plus en plus au courant des cassages de mots de passe et de comment les éviter le mieux possible (quelle doit être la forme d'un bon mot de passe).
Mais, dans tous les cas, une attaque par rainbow tables est infaillible, elle. Vous pouvez mettre ce que vous voulez comme mot de passe, il sera trouvé. Par contre, c'est plus lent... En effet, le principe des rainbow tables est de faire toutes les combinaisons possibles, une à une.
Donc en fait, tout dépend de la longueur du mot de passe. Si celui-ci fait 5 caractères, c'est easy. Par contre, quand ça commence à avoisiner les 7, 8 ou 9 caractères, là, le temps de traitement est "nettement plus long". La limite des rainbow tables est située au niveau de la capacité du processeur (cadence de tentatives par secondes et donc temps de traitement). La limite se situe aux alentours de 14 caractères. Au delà, par exemple 20 caractères, avec un ordinateur classique, cela mettrait une vie entière (et encore, en étant centenaire ).
Un exemple de bon mot de passe est donc :
[email protected]&1 <-- 25 caractères (en général, la limite est fixée entre 20 et 30 dans les zones de saisie).
Là vous êtes sûrs que personne vous le crackera (à moins qu'il aie à disposition un supercalculateur, ou tout simplement qu'il soit passé par une autre technique pour vous voler l'information, tel le stealing ou le phishing, etc.).
Cependant, le revers de ces mots de passes est qu'on les note... souvent dans notre ordi ! Il faudrait, pour bien, les noter par écrit ! Ce que personne ne fait Mais bon, cela n'est que dans le cas où l'attaquant à accès à votre ordinateur. Donc, là il ne s'agirait pas du thème de ce topic, le cassage de mot de passe, mais du vol de données.
Donc, pour en revenir à l'utilisateur lambda, son mot de passe sera crackable dans 30% des cas en environ 1 minutes via une attaque par dictionnaire, et à 99,9% des cas en moins d'une journée via les rainbow tables.
Je vous laisse ici une liste de liens pour télécharger toutes les rainbow tables (LM+MD5+NTLM) :
http://www.insidepro.com/tables.php
Note : poids total : 110Go.
Commentaire