Home Security Heroes s’est penché sur la vitesse à laquelle une IA spécialisée peut craquer un mot de passe par force brute

L’entreprise de cybersécurité Home Security Heroes a publié, mi-avril 2023, une étude sur les capacités d’une IA à craquer un mot de passe par force brute. Les chercheurs ont utilisé pour cela PassGAN. Cet outil de cassage de mot de passe s’appuie sur un réseau neuronal entraîné sur des mots de passe réels issus de fuites rendues publiques.

La plupart des outils de ce genre utilisent des règles de génération, comme la concaténation, et s’appuient sur des suppositions sur les modèles de mots de passe. PassGAN, de son coté, affine sans cesse sa connaissance des mots de passe les plus probables par de nouvelles bases de données ou de nouveaux essais sur des comptes réels.

Les chercheurs ont donc opposé PassGAN à 15 680 000 mots de passe de 4 à 18 caractères, récupérés dans diverses bases de données publiques. Ils les ont ensuite classés en fonction du temps que le logiciel mettrait à les découvrir. L’IA aurait identifié 51 % des accès en moins d’une minute, 65 % en moins d’une heure, et 81 % en moins d’un mois.

Sans surprise, la sécurité d’un mot de passe dépend du nombre de ses caractères et de leur variété. Tous les mots de passe de 7 caractères et moins (même complexes) sont ainsi craqués en moins de six minutes, tout comme les mots de passe ne comportant que des chiffres jusqu’à 13 caractères. À l’inverse, les mots de passe les plus robustes, nécessitant plus d’un milliard d’années pour être craqués, comportent 15 caractères et plus, et, a minima, un mélange de nombres, minuscules et majuscules.

Ajouter des caractères spéciaux multiplie par 10, voire 20, le temps de craquage d’un mot de passe contenant déjà une combinaison de nombres, lettres minuscules et majuscules. La palme revient logiquement à un mot de passe avec 18 caractères et un mélange de nombres, minuscules, majuscules et caractères spéciaux. PassGAN mettrait six quintillions (10 puissance 30) d’années à le casser par force brute.

Pour ajouter une dimension pédagogique, l’étude de Home Security Heroes est accompagnée d’un simulateur. Il évalue le temps que mettrait un mot de passe tapé par un visiteur à être craqué par PassGAN.

Pour compléter ces enseignements, les chercheurs rappellent qu’il faut aussi « éviter les modèles de mots de passe évidents, même s’ils présentent toutes les longueurs et tous les types de caractères requis ». Home Security Heroes déconseille aussi, classiquement, d’utiliser le même mot de passe pour deux comptes différents. Les chercheurs recommandent enfin de changer régulièrement les mots de passe des comptes les plus critiques.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.