Les mots de passe longs ne servent à rien
À eux seuls, les longs mots de passe ne pourront tout simplement rien contre la dernière version de Hashcat qui peut désormais craquer les mots de passe de 55 caractères.
Jusque-là, les mots de passe combinant plusieurs dizaines de caractères étaient censés bien protéger contre les pirates informatiques. Parce qu'ils étaient beaucoup plus longs, ils étaient plus difficiles à craquer. Mais ce ne sera plus le cas. Comme le rapporte Ars Technica, le logiciel ocl-Hashcat-plus, spécialisé dans le craquage rapide des mots de passe, va désormais permettre de craquer des mots de passe longs de 55 caractères, soit 15 caractères de plus que la version précédente. Dans une note livrée avec la nouvelle version, Jens Steube, développeur principal d'Hashcat, indique que la capacité à craquer les longs mots de passe était « de loin l'une des fonctionnalités les plus demandées ».
Parce que certains services web sont plus laxistes que d'autres sur la sécurité, et parce qu'aucun site n'est jamais complètement protégé contre le piratage, on ne peut pas vraiment s'attendre à ce que les mots de passe soient sécurisés à jamais. Néanmoins, les sites les plus sérieux protègent les mots de passe des utilisateurs par « hachage et attribution d'une valeur unique aléatoire », essentiellement en utilisant la cryptographie et en ajoutant d'autres informations propres à chaque mot de passe individuel. En cas de vol de données, cette précaution rendra la tâche plus difficile aux pirates qui auront plus de mal à découvrir les mots de passe réels. Mais avec l'aide d'un logiciel de craquage, les pirates peuvent faire rapidement de très nombreuses tentatives pour décrypter les mots de passe hachés des utilisateurs. Par exemple, Hashcat peut faire 8 milliards de tentatives par seconde.
Un seul mot d'ordre : se protéger !
Avec un logiciel de craquage, les mots de passe faibles sont les premiers à livrer leur secret, parce que les algorithmes du logiciel les devinent facilement. Un mot de passe fort peut servir de dernière ligne de défense et les mots de passe longs se sont jusque-là révélés particulièrement difficiles à deviner. Mais comme le prouve Hashcat, ce n'est désormais plus aussi difficile. Pour casser les mots de passe plus longs, les pirates peuvent ajouter des passages de la Bible, des citations de livres et même des discussions en ligne à leurs dictionnaires, afin d'augmenter les chances de trouver les mots de passe suggérés par des phrases courantes.
Heureusement, il est relativement facile de minimiser les dommages potentiels causés par des outils comme Hashcat. Ce dernier casse le cryptage avec une (relative) facilité, mais les mots de passe hachés doivent d'abord être récupérés à partir d'un site web compromis avant que les apprentis pirates puissent tenter une opération de craquage. Parmi les consignes à garder en tête, la première est de ne pas utiliser le même mot de passe pour tous les sites, peu importe sa longueur ou la sophistication de la combinaison de caractères.
