Votre mot de passe résiste-t-il à la puissance des GPU ? Hive Systems a testé la vitesse à laquelle différents types de cartes graphiques Nvidia peuvent craquer les mots de passe, des GeForce RTX aux GPU A100.
Aujourd’hui, c’est la Journée mondiale du mot de passe et par conséquent, on trouvera de nouveau de nombreuses listes en ligne avec des conseils pour créer un mot de passe parfait. Cela dit, même en suivant les règles de l’art, il est possible que vous tombiez dans le piège si un pirate utilise un matériel très puissant. Hive Systems a testé comment différents GPU de Nvidia peuvent gérer des mots de passe de complexité croissante.
Comme le test est mené dans des conditions très spécifiques, il faut prendre ne pas généraliser les résultats. Hive Systems utilise des hachages de mots de passe. Si vous ne prenez pas les règles très au sérieux et que vous sécurisez votre compte avec « mot de passe », il sera stocké sur un serveur sous la forme d’une chaîne de chiffres et de lettres aléatoires.
Mais les pirates qui attaquent un serveur peuvent utiliser ces hachages pour essayer de déchiffrer votre mot de passe. Les GPU puissants peuvent accélérer ce processus en augmentant la vitesse à laquelle des combinaisons aléatoires peuvent être essayées.
Mot de passe craqué
Si votre mot de passe n’est composé que de chiffres, un pirate n’aura besoin que d’un PC de jeu équipé d’une Nvidia GeForce RTX 2080 pour le craquer en un clin d’œil. Les mots de passe composés uniquement de lettres ne sont pas non plus très sûrs, comme le montre le tableau ci-dessous.
En combinant des lettres, des chiffres et des symboles, on augmente systématiquement le temps qu’il faut pour décrypter les mots de passe. Pourtant, même un mot de passe comportant huit caractères différents peut être déchiffré en moins d’une heure par un Nvidia GeForce 4090, le GPU phare de Nvidia pour le marché des jeux. Avec une batterie de GPU A100, il faudrait compter entre 19 minutes et même une seconde.
La situation change complètement quand on active le protocole bcrypt pour chiffrer les hachages. Même le GPU de jeu le plus puissant aurait alors besoin de 99 ans pour déchiffrer un mot de passe complexe de huit caractères. Seulement avec 10 000 GPU A100, un pirate pourrait atteindre son but en quelques jours.
Activez l’AMF
Comme mentionné, il faut voir les résultats de ce test dans leur contexte spécifique. Il est peu réaliste qu’un groupe de pirates dispose de dix mille GPU A100. C’est plus ou moins la puissance de calcul nécessaire pour faire fonctionner ChatGPT. Le plus réaliste est que les pirates disposent de GPU de jeu, qui sont donc théoriquement capables de déchiffrer des mots de passe.
Un autre élément est que l’expérience présume que les pirates possèdent des hachages de mots de passe, mais ce n’est pas toujours le cas. En général, les pirates essaient d’obtenir votre mot de passe par des techniques d’hameçonnage, ou le devinent au hasard par des attaques par force brute. Un GPU puissant est certainement utile, mais on peut facilement se protéger contre les attaques avec des phrases de mots de passe longues, composées de plusieurs caractères.
Et pour être totalement à l’abri, activez toujours l’AMF. C’est une autre chance de survie, même si votre mot de passe tombe entre les mains d’un criminel. Le meilleur conseil à donner à l’occasion de la Journée mondiale du mot de passe est donc de ne pas se fier aveuglément aux mots de passe.