Avec l'avènement des intelligences artificielles, de nombreuses craintes font leur chemin quant à la sécurité ou la criminalité. A ce titre, peut-être vous êtes vous déjà demandé si cela risquait d'avoir un impact sur la sécurité des mots de passe. Le site Home Security Heroes s'est penché sur le crackage des mots de passe assisté par une IA et nous livre le verdict de son analyse avec même des données très précises en fonction des caractéristiques de celui-ci : nombre de caractères, utilisation de la casse, de chiffres, caractères spéciaux...
Pour mener à bien cette étude, ils ont nourri leur IA PassGAN avec la base de mots de passes dérobés RockYou. L'intelligence artificielle "apprend" ainsi à raisonner comme le ferait un être humain cherchant un mot de passe ce qui effectivement lui permet d'améliorer ses temps pour découvrir la plupart des mots de passe simples.
On peut constater que jusqu'à une longueur de 8 caractères, les mots de passe n'offrent plus aucune sécurité même si vous mélanger lettres minuscules, majuscules, chiffres et caractères spéciaux. L'IA parvient quoi qu'il arrive à découvrir le mot de passe, au pire en quelques heures. Au delà de 8 caractères, et à condition de respecter ce que finalement nous est souvent rappelé à savoir de bien penser à intégrer tous les types de caractères possibles, l'IA tire vite la langue ce qui reste plutôt rassurant pour la sécurité de nos données. A titre d'exemple, opter pour au minimum 13 caractères en veillant bien à mettre au moins un chiffre, une majuscule et un symbole suffit à faire passer la durée estimée du crackage de votre mot de passe à plusieurs millions d'années.
Vous étiez sans doute déjà au courant de cette évidence, mais voilà une nouvelle piqûre de rappel quant à la nécessité de ne pas vous laisser aller à une trop grande simplicité dans la création de vos mots de passe. N'hésitez pas également à refaire un tour régulièrement sur ceux que vous aviez créés il y a de nombreuses années et qui ne contenaient peut-être que des lettres et chiffres.
1) Normalement, un site bien fait ne stock pas les mots de passe en claire, juste des hashs.
2) Sur un OS ou un site en ligne, ça ne devrait pas être trop compliqué. Mais sur un fichier chiffré, que tu peux dupliquer, donner à manger à tout une grappe de serveur, et pour lequel tu peux écrire toi-même le soft de décryptage (à partir d'une clé qu'il te faut connaître, mais sans t'embarrasser à implémenter des limites ou délais de saisie), parce que les specs sont connu, c'est plus compliqué :(
Est-ce que P@$$word01 : 10 caractères,et toutes les catégories de caractères : minuscules, majuscules, chiffres et caractères spéciaux est réellement sécurisé ? J'en doute sérieusement !
C'est une bonne remarque, je ne pense pas non plus il doit être dans la base RockYou depuis un sacré moment celui là :)