Il faudrait 11h à la GrayKey pour casser un code à 6 chiffres sur l'iPhone, Réactions à la publication du 17/04/2018

[Lionel]

La GrayKey est devenue le produit en vogue acheté par les autorités pour débloquer des iPhone de prévenus.

Matthew Green, professeur adjoint et cryptographe au John Hopkins Information Security Institute a eu l'occasion de le tester et a donné les résultats suivants.
Il faut au maximum environ 13 minutes pour casser un code à 4 caractères, 22,2 heures pour un code à 6 caractères, 92,5 jours pour 8 caractères et 9259 jours pour 10 caractères.
Vous savez maintenant quoi faire pour vous protéger, éviter les nombres et dépasser les 8 caractères tout en évitant les mots contenus dans un des nombreux dictionnaires d'attaque en force brute.

Lien vers le billet original

[makmic]

Bonjour,

Précision tirée de l'article original: ces temps ne s'appliquent que si les mots de passe ne contiennent que des chiffres. On change complètement d'ordre de grandeur en choisissant un mot de passe alphanumérique (pour peu qu'il soit vraiment aléatoire, comme aussi précisé dans l'article original)

Ce message a été modifié par makmic - 17 Apr 2018, 07:57.

[Dark Oopa]

mouais, faut voir si ya pas moyen d'extraire la clé avec cet appareil et de la casser sur une vraie bécane. Pour quelques milliers de dollars tu peux monter un ordi avec 6/8 cartes graphiques capable de casser 8 caractères aléatoires de façon très rapide.

[_Panta]

Il faut au maximum environ 13 minutes pour casser un code à 4 caractères, 22,2 heures pour un code à 6 caractères, 92,5 jours pour 8 caractères et 9259 jours pour 10 caractères.

Ils n'ont qu'à aligner la durée de garde à vue à la robustesse du mot de passe
92 jours pour bruteforcer une chaine de 8 caractères, ce n'est pas si impressionnant.

Ce message a été modifié par _Panta - 17 Apr 2018, 08:51.

[kij14]

moi j'ai 8 chiffres, je vais donc rajouter 2 lettres

[Sgt.Pepper]

Ils n'ont qu'à aligner la durée de garde à vue à la robustesse du mot de passe

Sachant cela, les gens prendront des mots de passe à 1 chiffre afin de limiter leur garde à vue à 10 minutes maxi.

[Ze Clubbeur]

De toute façon, comme je l'avais énoncé dans le précédent article relatif à cette boîte, le W3C veut en finir avec les mots de passe...

Alors, rien ne dit que ce sera la même chose avec le déverrouillage des appareils, mais vu la place que prend la biométrie, on risque quand même d'y venir...

[Sgt.Pepper]

De toute façon, comme je l'avais énoncé dans le précédent article relatif à cette boîte, le W3C veut en finir avec les mots de passe...

Alors, rien ne dit que ce sera la même chose avec le déverrouillage des appareils, mais vu la place que prend la biométrie, on risque quand même d'y venir...

Pour ne pas être confondus, certains se crèveront un œil et se couperont deux doigts juste avant leur arrestation.

Peut-être d'ailleurs que lors de la lecture des droits, il faudra ajouter une ligne : "Vous avez le droit de garder les yeux fermés".

Ce message a été modifié par Sgt.Pepper - 17 Apr 2018, 09:09.

[_Panta]

Ils n'ont qu'à aligner la durée de garde à vue à la robustesse du mot de passe

Sachant cela, les gens prendront des mots de passe à 1 chiffre afin de limiter leur garde à vue à 10 minutes maxi.

D'apres mes constats quasi quotidien, les genZ utilisent pour la plus part le strict minimum, donc 4 chiffres . Les genZ est du genre flemmard.

[Ze Clubbeur]

Peut-être d'ailleurs que lors de la lecture des droits, il faudra ajouter une ligne : "Vous avez le droit de garder les yeux fermés".

[raoulito]

c'est là que faceid ou touch Id prennent tout leur interet: choisissez votre mdp en alphanumeric MacBidouille1BashingAppleRoiEst2WebLeSite et normalement meme avec 30 GPU et un bon ordi à plusieurs milliers de dollars ca prendra un temps fou, alors que pour l'utilisateur ce ne sera qu'à taper 2-3 fois dans le mois en gros...

Ce message a été modifié par raoulito - 17 Apr 2018, 09:22.

[malhomme]

D'apres mes constats quasi quotidien, les genZ utilisent pour la plus part le strict minimum, donc 4 chiffres . Les genZ est du genre flemmard.

C'est la base de la théorie du nudge. Opérer sur la base du fait que l'on choisira le moins couteux en énergie.
Ca marche plutôt pas mal...

[fudo]

Ce que je ne comprends pas c'est pourquoi les serrures n'ont pas une protection contre les attaques "brute force"
Quand on essaie sur un iphone plusieurs codes faux d'affilée, un timer se met en place comme sécurité.. Alors pourquoi leur boite permet de bypasser les sécurités tels que les timers

[FardocheX]

Ce que je ne comprends pas c'est pourquoi les serrures n'ont pas une protection contre les attaques "brute force"
Quand on essaie sur un iphone plusieurs codes faux d'affilée, un timer se met en place comme sécurité.. Alors pourquoi leur boite permet de bypasser les sécurités tels que les timers

En gros, parce que le système travaille sur une copie.

[Albatros blanc]

hm - j'ai un code alphanumérique de 12 chiffres - ça devrait faire l'affaire ;-)

[ekami]

Je suppose qu'il doit exister une limite au nombre de caractères utilisables ?

[Little Brother]

j'ai pas prévu de GAV dans l'immédiat, je vais rester sur 4 chiffres

[ades]

C'est quoi un mot de passe sur téléphone ? Chose supprimée depuis 1995, RAS…

[renan35]

moi j'ai 8 chiffres, je vais donc rajouter 2 lettres

tu as peur de la NSA ?

[_Panta]

Ce qui donne la force du mot de passe, c'est sa longueur et sa profondeur(alpha-numeric)
Par exemple, lequel de ces deux mot de passe est le plus fort ?

D0g.....................
PrXyc.N(n4k77#L!eVdAfp9

Le premier naturellement, sinon je ne demanderais pas ( ) pourtant il est tres facile à memoriser alors que le second impossible.
L'un est sur 24 caractères, le second sur 23, tout deux ayant la même profondeur, minuscules/majuscules/chiffres/caractères spéciaux (10+26+26+33=95), le premier mot de passe sera donc 95x plus difficile ( long) à craquer que le second à ressource égale, et "seulement" 10x plus si on n'utilise que des chiffres - ou x26/x33/x36/x43/x52/x59/x62/x69/x85 selon cette profondeur)

Donc pas besoin de se prendre la tete a faire des mots de passe du second type, on comprend bien la haute importance de la profondeur

Pour aller plus loin et voir combien de temps résisterait votre mot de passe à une attaque en règle :
https://www.grc.com/haystack.htm

Pour le mien, je suis tranquille :

Time Required to Exhaustively Search this Password's Space:
Online Attack Scenario:
(1000 requêtes par seconde) 259 milliard de siècles
Offline Fast Attack Scenario:
(100 Milliard requêtes par seconde) 2590 siècles
Massive Cracking Array Scenario:
(100 trillion requêtes par seconde) 2.59 siècles
Note that typical attacks will be online password guessing
limited to, at most, a few hundred guesses per second.

Ce message a été modifié par _Panta - 17 Apr 2018, 11:31.

[zoso2k1]

Ce qui veut dire que si on utilise un Xeon 56 coeurs et 6 cartes Titan X, on devrait y arriver un peu plus vite

[JeanFilipe]

Il y a un truc que je ne comprend pas. Sur mon iPhone SE sous IOS 11, je suis obligé de rentrer 6 chiffres, donc je n'ai pas le choix d'en choisir plus. Est-ce bien cela ?

[_Panta]

C'est quoi un mot de passe sur téléphone ? Chose supprimée depuis 1995, RAS…

J'ai connu cette époque (chez mon grand-père par exemple)

Il y a un truc que je ne comprend pas. Sur mon iPhone SE sous IOS 11, je suis obligé de rentrer 6 chiffres, donc je n'ai pas le choix d'en choisir plus. Est-ce bien cela ?

il faut que tu ailles dans les preferences/general/TouchId et code/changer le code / options supplementaires et la tu auras les options code à 4 chiffres/Code numerique perso/code alphanumerique perso

[zoso2k1]

C'est quoi un mot de passe sur téléphone ? Chose supprimée depuis 1995, RAS…

J'ai connu cette époque (chez mon grand-père par exemple)

Il y a un truc que je ne comprend pas. Sur mon iPhone SE sous IOS 11, je suis obligé de rentrer 6 chiffres, donc je n'ai pas le choix d'en choisir plus. Est-ce bien cela ?

il faut que tu ailles dans les preferences/general/TouchId et code/changer le code / options supplementaires et la tu auras les options code à 4 chiffres/Code numerique perso/code alphanumerique perso

[_Panta]

j'ai aussi connu ça sur "Le" poste informatique des boites ou collectivité locales dans les années 95 - L'internet sur demande uniquement et dans le bureau du chef sous sa housse 90% du temps

Ce message a été modifié par _Panta - 17 Apr 2018, 11:27.

[Ze Clubbeur]

Ce qui donne la force du mot de passe, c'est sa longueur et sa profondeur(alpha-numeric)
Par exemple, lequel de ces deux mot de passe est le plus fort ?

D0g.....................
PrXyc.N(n4k77#L!eVdAfp9

Le premier naturellement, sinon je ne demanderais pas ( ) pourtant il est tres facile à se memoriser alors que le second impossible.
L'un est sur 24 caractère, le second sur 23, tout deux ayant la même profondeur, minuscules/majuscules/chiffres/carteres speciaux (10+26+26+33=95), le premier sera donc 95x plus long à craquer que le second à ressource égale, et 10x plus si on n'utilise que des chiffres - ou x26/x33/x36/x43/x52/x59/x62/x69/x85 selon cette profondeur)

Donc pas besoin de se prendre la tete a faire des mots de passe du second type, on comprend bien la haute importance de la profondeur

Pour aller plus loin et voir combien de temps résisterait votre mot de passe à une attaque en règle :
https://www.grc.com/haystack.htm

Pour le mien, je suis tranquille :

Time Required to Exhaustively Search this Password's Space:
Online Attack Scenario:
(1000 requêtes par seconde) 259 milliard de siècles
Offline Fast Attack Scenario:
(100 Milliard requêtes par seconde) 2590 siècles
Massive Cracking Array Scenario:
(100 trillion requêtes par seconde) 2.59 siècles
Note that typical attacks will be online password guessing
limited to, at most, a few hundred guesses per second.

Mouai.
L'attaque par force brute ne se fait malheureusement pas seulement en passant en revue chaque caractère... Elle se fait aussi via des dictionnaires. Et une attaque par dictionnaire, le D0g....., ça ne tient pas longtemps.
Hier, j'ai changé mon mot de passe sur gdax. Et, je me suis aperçu que le mot de passe que je pensais fort (Alphanumérique et symboles à 13 caractères) était en fait faible... Et la raison était que les 4 derniers caractères correspondaient à une année. Le plus étonnant, c'est qu'en enlevant un chiffre (donc 12 caractères), il était plus robuste. Du coup, j'ai rajouté d'autres caractères pour le rendre plus solide.
Donc, attention à ces sites qui annoncent une robustesse à toute épreuve.
De plus, là où je vois une application à l'intelligence artificielle, c'est justement dans le crackage de mot de passe. En effet, une IA, voyant 3 ou 4 points après D0g, se dira : On va ajouter que des points, pour voir... Au final, D0g....... tiendra tout au plus quelques secondes.

[_Panta]

De toute manière, quand les coffres sont devenus inviolable, pas folle la guêpe, on s'attaque à celui qui à la clef, ou a sa femme et ses enfants, donc à moins d'avoir un mot de passe naze, on a pas grand chose à craindre d'une attaque bruteforce chez soit, et ça se détecte relativement bien 1000 requêtes secondes sur sa machine, ou alors vous avez laissez la porte ouverte, auquel cas faut pas se plaindre - La faille comme souvent reside plus dans l'humain .

Mouai.
L'attaque par force brute ne se fait malheureusement pas seulement en passant en revue chaque caractère... Elle se fait aussi via des dictionnaires. Et une attaque par dictionnaire, le D0g....., ça ne tient pas longtemps.

Aucune importance, c'est pas D0G son mot de passe, c'est que tu n'as pas compris sur le principe, c'est que ta reflexion est faussé par le fait que tu l'as vu ce mot de passe et donc logiquement en déduit une méthode de resolution en aval, alors que sa structure reste aveugle au logiciel cracker en amont. L'AI est tres bete tu sait, elle est juste puissante.

Quand un logiciel casse un chiffre (code chiffré), ce n'est pas caractère après caractère comme à la TV, d'abords la 1ere lettre, puis une fois qu'il l'a trouvé il attaque la 2ème, puis le 3eme), mais il doit le trouver comme un tout. Il ne vas pas trouver le D en premiere place et le mettre de coté, puis le 0 en second et le garder de coté, puis le G et ainsi de suite jusqu'a la fin; un mot de passe de 4 chiffres peut être chiffré dans un hash de 30 caractères, mais l'attaquant doit trouver les 24 caracteres d'un coup; GiBBons l'explique tres bien, c'est tout ou rien, soit tu as le mots de passe en entier, soit tu l'as pas du tout, en aucun cas "juste le début ou "juste la fin", ca il en est incapable; il ne contastera que une fois trouvée qu'il commencait par D0G, même s'il est dans son dictionnaire, il aura essayé D0G, vu que ca marche pas et passé à autre chose, il ne peut savoir que c'etait le début du pass, et qu'il y avait une "sorte de logique" de ... à suivre pour le casser, en cours d'analyse impossible de le voir avant d'avoir trouver le passwd complet de 24 lettres. Donc en gros jamais.

“Close only counts in horseshoes and hand grenades” (qu'on pourra traduire par "soit tu gagnes, soit tu perds", "oui/non")
"But wouldn't something like “D0g” be in a dictionary, even with the 'o' being a zero?
Sure, it might be. But that doesn't matter, because the attacker is totally blind to the way your passwords look. The old expression “Close only counts in horseshoes and hand grenades” applies here. The only thing an attacker can know is whether a password guess was an exact match . . . or not. The attacker doesn't know how long the password is, nor anything about what it might look like. So after exhausting all of the standard password cracking lists, databases and dictionaries, the attacker has no option other than to either give up and move on to someone else, or start guessing every possible password."

Ce message a été modifié par _Panta - 17 Apr 2018, 12:37.

[iAPX]

mouais, faut voir si ya pas moyen d'extraire la clé avec cet appareil et de la casser sur une vraie bécane. Pour quelques milliers de dollars tu peux monter un ordi avec 6/8 cartes graphiques capable de casser 8 caractères aléatoires de façon très rapide.

Ben non, tu ne peux pas l'extraire, et heureusement d'ailleurs

Je suis assez inquiet de cette GrayKey, car elle risque de relancer la quantité de vols d'iPhone, car d'autres que des force de l'ordre y auront accès, forcément...

[BarBaPaPa]

Ce que je ne comprends pas c'est pourquoi les serrures n'ont pas une protection contre les attaques "brute force"
Quand on essaie sur un iphone plusieurs codes faux d'affilée, un timer se met en place comme sécurité.. Alors pourquoi leur boite permet de bypasser les sécurités tels que les timers

En gros, parce que le système travaille sur une copie.

Est-ce qu'Apple a la possibilité d'empêcher cette copie ?

[benlabete]

Mon mot de passe dure 2 trions de siècle dixit le site énoncé plus haut et dieu sait qu'il est con comme mot de passe