Le craquage brutal des mots de passe prend plus de temps que par le passé, mais la bonne nouvelle n'est pas une raison de se réjouir, selon le dernier audit annuel des délais de craquage des mots de passe publié mardi par Hive Systems.

En fonction de la longueur du mot de passe et de sa composition (le mélange de chiffres, de lettres et de caractères spéciaux), un mot de passe peut être déchiffré instantanément ou prendre une demi-douzaine d'éternités à déchiffrer.

Par exemple, les mots de passe composés uniquement de quatre, cinq ou six chiffres peuvent être déchiffrés instantanément avec les ordinateurs d'aujourd'hui, tandis qu'un mot de passe de 18 caractères composé de chiffres, de lettres majuscules et minuscules et de symboles prendrait 19 quintillions d'années. casser.

L'année dernière, les recherches de Hive ont révélé que certains mots de passe de 11 caractères pouvaient être déchiffrés instantanément en utilisant la force brute. Les résultats de cette année ont révélé l'efficacité des nouveaux algorithmes de hachage de mots de passe conformes aux normes de l'industrie, comme bcrypt, pour chiffrer les mots de passe dans les bases de données. Désormais, ce même mot de passe de 11 caractères prend 10 heures à déchiffrer.

« Au cours des années passées, les entreprises utilisaient le cryptage MD5 pour hacher les mots de passe, ce qui n'est ni très sécurisé ni robuste. Ils utilisent désormais bcrypt, qui est plus robuste », a expliqué Alex Nette, PDG et co-fondateur de Hive.

« La bonne nouvelle est que les sites Web et les entreprises prennent la bonne décision d'utiliser des algorithmes de hachage de mot de passe plus robustes, donc les temps de piratage augmentent », a-t-il déclaré à Technews.fr, « mais étant donné l'augmentation de la puissance informatique, ces temps vont recommencer à diminuer. , comme ils l’ont fait les années passées.

Compromis de chiffrement

Bien que le hachage des mots de passe avec un cryptage fort soit une bonne pratique de sécurité, il existe des compromis à faire. « Le cryptage ralentit les choses », a noté Nette. « Bcrypt est plus sécurisé, mais si vous créez trop d'itérations de hachage, cela pourrait ralentir la connexion à un site Web ou ralentir le chargement du site. »

« Si nous avions mis en place le meilleur cryptage, un site Web pourrait être totalement inutilisable pour les utilisateurs sur Internet, il y a donc généralement un compromis », a-t-il ajouté. « Ce compromis pourrait finir par être une opportunité pour les pirates. »

« Bcrypt fournit un hachage de 56 octets contre 16 octets pour MD5, ce qui explique la résistance beaucoup plus forte aux attaques par force brute », a noté Jason Soroko, vice-président senior des produits chez Sectigo, un fournisseur mondial de certificats numériques.

« MD5 est encore largement utilisé et continuera probablement à l'être, en particulier pour les grandes bases de données de mots de passe en raison de leur taille plus petite et plus efficace », a-t-il déclaré à Technews.fr.

MJ Kaufmann, auteur et instructeur chez O'Reilly Media, opérateur d'une plateforme d'apprentissage pour les professionnels de la technologie, à Boston, a reconnu que des algorithmes de hachage plus puissants ont joué un rôle en rendant plus difficile le déchiffrement des mots de passe, mais a soutenu que cela ne faisait qu'aider les organisations. qui ont changé leur code pour adopter les algorithmes.

« Comme ce changement prend du temps et peut nécessiter des mises à jour importantes pour des raisons de compatibilité, le changement est lent, de nombreuses organisations utilisant encore des algorithmes plus faibles dans un avenir proche », a-t-elle déclaré à Technews.fr.

Le pire scénario pour les pirates

Kaufmann a souligné que de grands progrès ont été réalisés ces derniers temps pour protéger les données. « Les organisations ont enfin commencé à prendre la protection des données au sérieux, en partie grâce à des réglementations telles que le RGPD, qui a effectivement donné plus de pouvoir aux consommateurs en imposant des sanctions sévères aux entreprises », a-t-elle expliqué.

« Pour cette raison », a-t-elle poursuivi, « de nombreuses organisations ont étendu leur protection des données à tous les niveaux, en prévision des futures réglementations. »

tableau des temps pour déchiffrer un mot de passe en 2024

Même si les pirates mettent plus de temps à déchiffrer les mots de passe, le déchiffrement n'est plus aussi important pour eux qu'avant. « Déchiffrer les mots de passe n'est pas si important pour les adversaires », a déclaré Kaufmann. « En général, les attaquants recherchent la voie de moindre résistance lors d'une attaque, souvent en volant des mots de passe par phishing ou en exploitant des mots de passe volés lors d'autres attaques. »

« Aussi amusant qu'il soit de mesurer le temps nécessaire pour hacher brutalement des mots de passe, il est essentiel de comprendre que les logiciels malveillants d'enregistrement de frappe et la collecte d'informations d'identification par des tactiques d'ingénierie sociale sont à l'origine d'un grand nombre d'incidents de noms d'utilisateur et de mots de passe volés », a ajouté Sectigo. Soroko.

« L'étude souligne également que la réutilisation des mots de passe rend inutiles toutes les méthodes de force brute pour l'attaquant », a-t-il ajouté.

Nette a reconnu que le tableau des temps de piratage des mots de passe de Hive représente le pire des cas pour un pirate informatique. « Cela suppose qu'un pirate informatique n'a pas pu obtenir le mot de passe de quelqu'un par d'autres techniques et qu'il doit forcer brutalement un mot de passe », a-t-il déclaré. « Les autres techniques pourraient réduire le temps nécessaire pour obtenir un mot de passe, voire instantanément. »

Connectez-vous, ne vous introduisez pas par effraction

« Le piratage des mots de passe reste une forme importante de compromission pour les attaquants, mais à mesure que les normes de chiffrement des mots de passe augmentent, d'autres méthodes de compromission telles que le phishing deviennent encore plus attrayantes qu'elles ne le sont déjà », a ajouté Adam Neel, ingénieur en détection des menaces chez Critical Start, une société spécialisée dans la détection des menaces. société nationale de services de cybersécurité.

« S'il est probable qu'un mot de passe moyen prenne des mois, voire des années, à être déchiffré, alors les attaquants emprunteront la voie de la moindre résistance », a-t-il déclaré à Technews.fr. « Avec l'aide de l'IA, l'ingénierie sociale est devenue encore plus accessible aux attaquants grâce à la création d'e-mails et de messages convaincants. »

Stephen Gates, expert en matière de sécurité chez Horizon3 AI, fabricant d'une solution de test d'intrusion autonome, à San Francisco, a noté qu'aujourd'hui, les pirates n'ont plus besoin de pirater les systèmes ; ils se connectent.

« En raison du vol d'identifiants via des attaques de phishing, des violations par des tiers – qui incluent les identifiants – et du redoutable problème de réutilisation des identifiants, les identifiants restent le problème numéro un que nous voyons comme méthode utilisée par les attaquants pour prendre pied dans les réseaux d'une organisation », a-t-il déclaré. Technews.fr.

« En outre, les utilisateurs administratifs ont tendance à choisir des mots de passe faibles ou à réutiliser les mêmes mots de passe sur plusieurs comptes, créant ainsi des risques que les attaquants peuvent exploiter et ont exploités », a-t-il ajouté.

« De plus », a-t-il poursuivi, « certains niveaux de comptes d'administrateur ou de type informatique ne sont pas toujours soumis à des exigences de réinitialisation de mot de passe ou de politique de longueur. Cette approche plutôt laxiste de la gestion des identifiants pourrait provenir d’un manque de conscience de la manière dont les attaquants utilisent souvent des identifiants de bas niveau pour obtenir des gains de haut niveau.

Les mots de passe sont là pour rester

Le moyen simple d’éliminer le problème du piratage des mots de passe serait d’éliminer les mots de passe, mais cela semble peu probable. « Les mots de passe sont intrinsèques au fonctionnement de nos vies modernes sur chaque réseau, appareil et compte », a déclaré Darren Guccione, PDG de Keeper Security, une société de gestion de mots de passe et de stockage en ligne à Chicago.

« Néanmoins », a-t-il poursuivi, « il est essentiel de reconnaître que les mots de passe ne supplanteront pas les mots de passe dans un avenir proche, voire jamais. Parmi les milliards de sites Web existants, seule une fraction d’un pour cent propose actuellement un support pour les mots de passe. Cette adoption extrêmement limitée peut être attribuée à divers facteurs, notamment le niveau de support des plates-formes sous-jacentes, la nécessité d'ajustements du site Web et l'exigence d'une configuration initiée par l'utilisateur.

« Alors que nous nous rapprochons d’un avenir hybride ou sans mot de passe, la transition n’est pas une approche universelle », a-t-il déclaré. « Les entreprises doivent évaluer soigneusement leurs exigences de sécurité, leurs contraintes réglementaires et les besoins des utilisateurs afin d'identifier et de mettre en œuvre des alternatives de mot de passe efficaces et pratiques. »