Après avoir lu l’article « Le Processus de récupération de mots de passe », vous savez que nous utilisions deux méthodes pour deviner un mot de passe : l’attaque par dictionnaire ( la variante optimale ) et l’attaque par force brute ( un travail demandant beaucoup de ressources ). Vous trouverez ci-dessous notre estimation de vos chances de récupérer un mot de passe en utilisant ces deux méthodes.

Récupération d’un mot de passe faible

Nous avons recueilli une grande base de mots de passe les plus répandus ( faibles ). Il s’agit de mots de passe réels qui étaient utilisés plusieurs fois par les différentes personnes pour protéger leurs données. La première liste commence avec les mots de passe les plus répandus : « 123456 », « password », « qwerty », « abc123 » etc. ; elle contient plus de 3 millions de mots de passe les plus communs. De tels mots de passe sont souvent utilisé par simple paresse, car les gens ne veulent pas retenir des mots de passe difficiles, ce qui les rend très vulnérables.

Pour notre grappe de serveurs, une attaque de 3 millions de mots de passe pour n’importe quel fichier ne prendrait que deux minutes au maximum. Cette prestation est gratuite et fourni en tant que cadeau pour nous clients. Les chances de récupérer un mot de passe faible sont faibles, elles aussi : environ 22%, selon nos statistiques internes. Mais ça vaut le coup, en tenant compte de la réalisation instantanée.

Récupération d’un mot de passe fort

Si l’attaque en utilisant la base de mots de passe faibles n’a pas réussi, nous passons à la seconde étape : le balayage de mots de passe avec la base principale. Celle-ci contient actuellement plus de 20 milliards de mots de passe. L’attaque par ce dictionnaire est plus longue ( allant jusqu’à 24 heures ) ; elle est effectuée à titre payant. Aussi le résultat est-il très probable : d’après nos statistiques, nous retrouvons le mot de passe correct dans 61% de cas.

Force brute par masque prédéfini

L’attaque par force brute est couronnée de succès dans 100% des cas ; il s’agit d’un balayage direct de toutes les combinaisons possibles. Il faut toutefois comprendre que le nombre de variantes est énorme, même pour les mots de passe qui ne sont pas très longs. Par exemple, il existe au total plus de 60 quintillions ( 60 * 1018 ) de variantes de mots de passe à 10 caractères. C’est une tâche impossible tant pour les ordinateurs les plus puissants que pour votre budget.

La force brute est appliquée lorsque vous connaissez exactement la structure du mot de passe, c’est-à-dire, la longueur maximale ( ou même exacte ) du mot de passe et le jeu des caractères utilisés. Par exemple, si un mot de passe à 8 caractères ne se compose que de lettres majuscules de l’alphabet anglais, il y a 217 milliards de variantes au total ! Un serveur GPU puissant est absolument capable de récupérer un tel mot de passe. Si la longueur du mot de passe est de 9 caractères, le nombre de variantes atteint 5 trillions. La tâche est maintes fois plus compliquée, tout en restant résoluble sous réserve de votre grand désir et la disponibilité de fonds suffisants : notre grappe de serveurs pourrait deviner un tel mot de passe dans un délai d’une ou deux semaines.

Cependant, il est à noter que la réussite de 100% n’est possible que si vous avez fourni le masque correct. Si votre mot de passe contient un caractère que vous n’avez pas pris en compte, tous vos efforts seront vains.

Conclusion

En résumant tout ce qui précède, nous allons rédiger un tableau de chances de la récupération réussie d’un mot de passe :

Type d’attaque Durée Prix Chances du succès
Récupération d’un mot de passe faible Quelques minutes Gratuit ≈ 22%
Récupération d’un mot de passe fort Jusqu’à 24 heures À partir de $29 ≈ 61%
Force brute par masque prédéfini En fonction de la complexité du masque Sur demande 100% (si le masque est correct)

Voir aussi

Haut