Comment vérifier la force de vos mots de passe

Nous avons parlé de la création de mots de passe forts dans plusieurs posts groovy [1] [2] [3], mais nous ne vous avons jamais donné le moyen de les tester. Il existe plusieurs outils Internet gratuits offrant un test de résistance du mot de passe localisé et fonctionnant dans tout navigateur Web moderne. La plupart de ces outils utilisent des algorithmes de cryptographie courants pour déterminer la probabilité qu'un pirate de mot de passe génère une correspondance exacte pour le MD5 traduit d'un mot de passe chiffré..

Malgré le fait que de nombreux outils de mot de passe en ligne indiquent qu'ils ne transmettent aucune des données saisies à leurs serveurs, je vous suggère fortement de ne pas utiliser votre exact mot de passe réel dans n'importe quel testeur en ligne.

Quel est le mot de passe Entropy?

L'entropie est le niveau d'imprévisibilité que possède le mot de passe. En d'autres termes, si un mot de passe a un niveau d'entropie supérieur, cela signifie qu'il a plus de chances d'être quelque chose qu'on ne devinera jamais..

Pour comprendre les bases du temps qu’un mot de passe prendrait pour craquer par rapport à son entropie, il existe une formule très simplifiée à suivre. Veuillez noter que ceci est très, très simplifié et que tout le monde de la cryptographie est susceptible de secouer la tête, mais voilà:

• 2 ^ (le niveau d'entropie) = nombre de suppositions nécessaires pour craquer
• N'importe quel Joe moyen peut installer un logiciel de piratage de mot de passe et faire environ 1000 suppositions par seconde.
• Divisez le nombre de suppositions nécessaires par estimation par seconde et vous avez le temps nécessaire pour déchiffrer le mot de passe; divisez simplement en fonction du nombre de jours / heures / minutes.
• Cependant, si nous accélérons cela jusqu'à des niveaux de supercalculateurs fous (comme ce gars qui a construit une machine à 25 GPU capable de générer 350 milliards de suppositions par seconde), cela devient beaucoup plus rapide. Cependant, le taux de devinettes est considérablement ralenti en fonction de l'algorithme de cryptage utilisé. Le site Web typique utilise SHA1, qu'un superordinateur pourrait craquer à un rythme de 63 milliards de suppositions par seconde.

N'oubliez pas que, même si ces mots de passe sont stockés sur un serveur Web, ils sont généralement protégés par un nombre maximal de tentatives de mot de passe sur une certaine période. Mais, si le site Web est un jour piraté, le hachage de son mot de passe peut facilement être exécuté via n’importe quel système de piratage hors connexion configuré par les pirates..

Test de résistance du mot de passe Cygnius

Parmi les outils disponibles, le test de résistance du mot de passe Cygnius est mon préféré. C'est juste une simple boîte, et quand vous tapez le mot de passe, il vous dira sa force, le jeu de caractères et son niveau de entropie.

Par exemple:

• “Tr0G0d4r” = 35,5 bits d'entropie

35,5 bits d'entropie = 398 jours pour un Joe moyen à craquer, mais seulement 0,5 seconde pour qu'un supercalculateur se casse. Cela se traduit par moins d'une minute pour presque tout expert en cracking qui s'introduit!

• “Mygmailpassword” = 58,9 bits d'entropie

58,9 bits d'entropie = 18 267 344 années pour le mot de passe fissuré de Joe à craquer. Ou sur un superordinateur environ 105 jours, en théorie.

• “J'ai un mot de passe très fort” = 107,4 bits d'entropie

107,4 bits d'entropie = 5 141 800 300 000 000 000 millénium pour le crackeur de mot de passe Joe moyenne à casser. Sur un supercalculateur, il faudrait 81 615 877 245 millénium à craquer. Il est hautement improbable qu'il soit craqué si votre mot de passe n'est pas identifié et ciblé par plusieurs systèmes..

Autres sites pouvant tester la force de votre mot de passe

• Sécurité GRC
• Kaspersky Labs