Il faudrait 11h à la GrayKey pour casser un code à 6 chiffres sur l'iPhone, Réactions à la publication du 17/04/2018

[Fabrice_75015]

Ce qui donne la force du mot de passe, c'est sa longueur et sa profondeur(alpha-numeric)
Par exemple, lequel de ces deux mot de passe est le plus fort ?

D0g.....................
PrXyc.N(n4k77#L!eVdAfp9

Le premier naturellement, sinon je ne demanderais pas ( ) pourtant il est tres facile à memoriser alors que le second impossible.
...

Pas certain :
- le premier se crack en 3 minutes environ
- le deuxième est quasi incassable

Un vrai site pour tester la force de vos mots de passe :
https://www.takecontrolbooks.com/resources/0148/zxcvbn/
qui ne se base pas du tout sur la longueur mais sur la complexité. La profondeur n'a plus de sens depuis un moment surtout avec un pattern qui se répète. Les algorithmes pour casser les mots de passe ne sont pas si bête

Je vous laisse lire ce petit article super intéressant :
https://blogs.dropbox.com/tech/2012/04/zxcv...gth-estimation/

Ce message a été modifié par Fabrice_75015 - 17 Apr 2018, 14:44.

[uzboxberg]

Ce que je ne comprends pas c'est pourquoi les serrures n'ont pas une protection contre les attaques "brute force"
Quand on essaie sur un iphone plusieurs codes faux d'affilée, un timer se met en place comme sécurité.. Alors pourquoi leur boite permet de bypasser les sécurités tels que les timers

En gros, parce que le système travaille sur une copie.

comment ça, une copie ? de quoi ? (pour copier qq chose il faudrait que le système soit déjà rentré, non ?)

[Lionel]

Un vrai site pour tester la force de vos mots de passe :
https://www.takecontrolbooks.com/resources/0148/zxcvbn/
qui ne se base pas du tout sur la longueur mais sur la complexité. La profondeur n'a plus de sens depuis un moment surtout avec un pattern qui se répète. Les algorithmes pour casser les mots de passe ne sont pas si bête

Génial pour créer ensuite des dictionnaires d'attaque !

[_Panta]

Selon l’article 91% des utilisateurs utilisent les mêmes mille mots de passe



J’aime bien la conclusion depuis 20 ans nous oblige à utiliser des mots de passe dur à se souvenir pour un humain et facile à trouver pour un ordinateur

[iAPX]

Non il n'y a pas de "bon" pattern pour créer un mot-de-passe, mis à part de la complexité réelle donc un mot-de-passe long, avec différents types de caractères (lettres majuscules et minuscules, chiffres, signes) et vraiment aléatoire, donc fourni par un gestionnaire de mot-de-passe.

Tous les patterns utilisés par les uns ou les autres ont été intégrés petit à petit dans les générateurs utilisés pour les attaques par force-brute, ayant donc l'intelligence de ne considérer que des mot-de-passe crédibles générés par un humain, à commencer par la proximité des touches du clavier physique, John-the-ripper étant un des plus anciens bons outils pour casser les passes générés par des humains.

Quand aux sites qui donnent des notes, j'ai du expliquer pourquoi ça ne vaut rien : la plupart considèrent comme "fort" ou "excellent" le mot-de-passe "Password123456!"
Ce qui serait risible si ça n'était pas en plus dangereux en terme de sécurité. 16 milliards d'années ici, Très résistant "very strong" là.

Le meilleur mot-de-passe c'est un passe long avec différents types de caractère, absolument pas mémorisable, généré et maintenu par un gestionnaire de mot-de-passe.
Tous les essais que j'ai vu avec des phrases à mémoriser me font doucement rigoler, vu que j'ai une centaine de mot-de-passe actifs, tous différents et je me vois mal mémoriser parfaitement 100 phrases absurdes en même temps que je me souviendrais à quel site ou produit c'est associé!

Un bon article ici.

Ce message a été modifié par iAPX - 17 Apr 2018, 15:40.

[Ze Clubbeur]

ta reflexion est faussé par le fait que tu l'as vu ce mot de passe et donc logiquement en déduit une méthode de resolution en aval, alors que sa structure reste aveugle au logiciel cracker en amont. L'AI est tres bete tu sait, elle est juste puissante.

Oeup, c'est vrai que le cracker, lui, cherche à trouver ce mot de passe... Donc, son seul moyen, c'est de faire défiler les caractères ou les mots.

[uzboxberg]

Non il n'y a pas de "bon" pattern pour créer un mot-de-passe, mis à part de la complexité réelle donc un mot-de-passe long, avec différents types de caractères (lettres majuscules et minuscules, chiffres, signes) et vraiment aléatoire, donc fourni par un gestionnaire de mot-de-passe.

Tous les patterns utilisés par les uns ou les autres ont été intégrés petit à petit dans les générateurs utilisés pour les attaques par force-brute, ayant donc l'intelligence de ne considérer que des mot-de-passe crédibles générés par un humain, à commencer par la proximité des touches du clavier physique, John-the-ripper étant un des plus anciens bons outils pour casser les passes générés par des humains.

Quand aux sites qui donnent des notes, j'ai du expliquer pourquoi ça ne vaut rien : la plupart considèrent comme "fort" ou "excellent" le mot-de-passe "Password123456!"
Ce qui serait risible si ça n'était pas en plus dangereux en terme de sécurité. 16 milliards d'années ici, Très résistant "very strong" là.

Le meilleur mot-de-passe c'est un passe long avec différents types de caractère, absolument pas mémorisable, généré et maintenu par un gestionnaire de mot-de-passe.
Tous les essais que j'ai vu avec des phrases à mémoriser me font doucement rigoler, vu que j'ai une centaine de mot-de-passe actifs, tous différents et je me vois mal mémoriser parfaitement 100 phrases absurdes en même temps que je me souviendrais à quel site ou produit c'est associé!

Un bon article ici.

teste quand-même dans le site cité plus haut (takecontrolbooks), c'est cracké en 1ms.

[iAPX]

Non il n'y a pas de "bon" pattern pour créer un mot-de-passe, mis à part de la complexité réelle donc un mot-de-passe long, avec différents types de caractères (lettres majuscules et minuscules, chiffres, signes) et vraiment aléatoire, donc fourni par un gestionnaire de mot-de-passe.

Tous les patterns utilisés par les uns ou les autres ont été intégrés petit à petit dans les générateurs utilisés pour les attaques par force-brute, ayant donc l'intelligence de ne considérer que des mot-de-passe crédibles générés par un humain, à commencer par la proximité des touches du clavier physique, John-the-ripper étant un des plus anciens bons outils pour casser les passes générés par des humains.

Quand aux sites qui donnent des notes, j'ai du expliquer pourquoi ça ne vaut rien : la plupart considèrent comme "fort" ou "excellent" le mot-de-passe "Password123456!"
Ce qui serait risible si ça n'était pas en plus dangereux en terme de sécurité. 16 milliards d'années ici, Très résistant "very strong" là.

Le meilleur mot-de-passe c'est un passe long avec différents types de caractère, absolument pas mémorisable, généré et maintenu par un gestionnaire de mot-de-passe.
Tous les essais que j'ai vu avec des phrases à mémoriser me font doucement rigoler, vu que j'ai une centaine de mot-de-passe actifs, tous différents et je me vois mal mémoriser parfaitement 100 phrases absurdes en même temps que je me souviendrais à quel site ou produit c'est associé!

Un bon article ici.

teste quand-même dans le site cité plus haut (takecontrolbooks), c'est cracké en 1ms.

Il n'y a qu'une façon de déterminer si un mot-de-passe est vraiment fort, c'est d'essayer de le cracker avec de gros moyens et sur la durée, ce qui est quasi impossible!

[SartMatt]

En France les autorités n'en auront plus besoin. Le Conseil Constitutionnel vient de valider une interprétation d'une loi de 2016 sur la cryptographie, qui impose de donner le mot de passe de son téléphone quand celui ci est suspecté avoir été utilisé dans le cadre d'un délit ou d'un crime : http://www.phonandroid.com/garde-a-vue-don...bligatoire.html

Je suis assez inquiet de cette GrayKey, car elle risque de relancer la quantité de vols d'iPhone, car d'autres que des force de l'ordre y auront accès, forcément...

Yep. Et surtout, ça va attirer des voleurs qui ne volent pas pour revendre (parce que pour ça, il faut réinitialiser, ce qui nécessite le mot de passe iCloud si je me trompe pas), mais plutôt pour escroquer à partir des données personnelles trouvées dans le téléphone... Et ça c'est beaucoup plus grave qu'un simple vol.

Après, faut quand même garder à l'esprit que le prix de l'appareil risque d'en dissuader plus d'un (tant qu'il n'aura pas été reversé et cloné pour pas cher...) et GrayShift filtre peut-être un peu sa clientèle.

Et bien sûr, on peut espérer que les failles exploitées soient comblées par Apple (ça ne marche qu'à partir d'iOS 10, donc à priori c'est patchable logiciellement...).

De toute façon, comme je l'avais énoncé dans le précédent article relatif à cette boîte, le W3C veut en finir avec les mots de passe...

Ça ne signifie probablement pas la fin des mots de passe, mais plutôt leur usage beaucoup moins courant.
Mais je doute fort que beaucoup de services se basent uniquement sur WebAuthn sans proposer un mot de passe de secours.
Donc c'est à voir un peu comme le lecteur d'empreintes sur un téléphone ou un ordinateur. Ça ne remplace pas le mot de passe, qui est toujours là, ça le complète par une méthode plus simple et rapide au quotidien (ce qui du coup permet de renforcer le mot de passe, un mot de passe de 40 caractères est moins gênant quand on doit le saisir une fois tous les 36 du mois que quand on doit le saisir à chaque utilisation...).

Parce que l'appareil utilisé pour l'authentification, il peut se perdre, tomber en panne, ne pas être utilisable, etc...

Ce message a été modifié par SartMatt - 17 Apr 2018, 20:06.

[iAPX]

En France les autorités n'en auront plus besoin. Le Conseil Constitutionnel vient de valider une interprétation d'une loi de 2016 sur la cryptographie, qui impose de donner le mot de passe de son téléphone quand celui ci est suspecté avoir été utilisé dans le cadre d'un délit ou d'un crime : http://www.phonandroid.com/garde-a-vue-don...bligatoire.html
...

Holy Fuck!!!

C'est le genre de chose qui -pour moi- ne devrait être exigeable que sur la demande express d'un juge (lui-même étant sollicité alors par les forces de l'ordre), mais de l'automatisme dans tous les cas, c'est un recul incroyable!
Pour moi c'est du même niveau qu'une perquisition de domicile, qui exige encore l'aval d'un juge.

Ah les belles lois anti-terroristes

Ce message a été modifié par iAPX - 17 Apr 2018, 20:25.

[SartMatt]

C'est le genre de chose qui -pour moi- ne devrait être exigeable que sur la demande express d'un juge (lui-même étant sollicité alors par les forces de l'ordre), mais de l'automatisme dans tous les cas, c'est un recul incroyable!
Pour moi c'est du même niveau qu'une perquisition de domicile, qui exige encore l'aval d'un juge.

En fait, il y a une joli subtilité. Tu peux refuser de donner ton mot de passe (de toute façon, il n'y a aucun moyen de t'y contraindre réellement...), et c'est alors bien la justice et non les forces de l'ordre qui décidera si tu dois être condamné ou pas pour ça.

Mais c'est sûr qu'avec simplement la pression du risque de condamnation, pas mal préféreront lâcher leur mot de passe... Ça va se finir avec des smartphones avec double conteneur chiffré, comme dans TrueCrypt

Et comme le dit l'article source, c'est un bel exemple de restriction générale des libertés sous prétexte de lutte contre le terrorisme... Loi passée dans ce cadre, mais qui parle d'appareils suspectés d'être impliqués dans un crime ou un délit, et pas seulement dans un crime terroriste...

[iAPX]

C'est le genre de chose qui -pour moi- ne devrait être exigeable que sur la demande express d'un juge (lui-même étant sollicité alors par les forces de l'ordre), mais de l'automatisme dans tous les cas, c'est un recul incroyable!
Pour moi c'est du même niveau qu'une perquisition de domicile, qui exige encore l'aval d'un juge.

En fait, il y a une joli subtilité. Tu peux refuser de donner ton mot de passe (de toute façon, il n'y a aucun moyen de t'y contraindre réellement...), et c'est alors bien la justice et non les forces de l'ordre qui décidera si tu dois être condamné ou pas pour ça.

Mais c'est sûr qu'avec simplement la pression du risque de condamnation, pas mal préféreront lâcher leur mot de passe... Ça va se finir avec des smartphones avec double conteneur chiffré, comme dans TrueCrypt

Et comme le dit l'article source, c'est un bel exemple de restriction générale des libertés sous prétexte de lutte contre le terrorisme... Loi passée dans ce cadre, mais qui parle d'appareils suspectés d'être impliqués dans un crime ou un délit, et pas seulement dans un crime terroriste...

Le plus drôle étant qu'un terroriste ne donnera évidemment pas son mot-de-passe, se foutant de l'amende, fut-elle délirante comme dans ce cas, mais aussi de la prison qu'il ne fera probablement pas, en passant à l'acte avant d'être jugé pour avoir refusé de donner son code PIN!

C'est du foutage de gueule!

[SartMatt]

Le plus drôle étant qu'un terroriste ne donnera évidemment pas son mot-de-passe, se foutant de l'amende, fut-elle délirante comme dans ce cas, mais aussi de la prison qu'il ne fera probablement pas, en passant à l'acte avant d'être jugé pour avoir refusé de donner son code PIN!

Tout a fait. C'est un peu comme rétablir la peine de mort sous couvert de lutte contre le terrorisme

[_Panta]

En France les autorités n'en auront plus besoin. Le Conseil Constitutionnel vient de valider une interprétation d'une loi de 2016 sur la cryptographie, qui impose de donner le mot de passe de son téléphone quand celui ci est suspecté avoir été utilisé dans le cadre d'un délit ou d'un crime : http://www.phonandroid.com/garde-a-vue-don...bligatoire.html
...

Holy Fuck!!!

C'est le genre de chose qui -pour moi- ne devrait être exigeable que sur la demande express d'un juge (lui-même étant sollicité alors par les forces de l'ordre), mais de l'automatisme dans tous les cas, c'est un recul incroyable!
Pour moi c'est du même niveau qu'une perquisition de domicile, qui exige encore l'aval d'un juge.

Ah les belles lois anti-terroristes

C'est une perquisition sans mandat (bien que si c'est dans le cadre d'une enquête, il y a forcement un juge derriere pour autoriser ça). Mais si c'est lors d'un banal contrôle routier ou dans la rue,"tiens toi t'as une bonne sale tete toi, vient par là que je te fouille tes poches (numériques) pour voir ce que tu transportes", c'est inadmissible.
Le législateur prévoira t'il le cas des personnes émotives qui oublient tout sous l'emprise du stress, et les alzheimer et autres maladroits du doigt qui ripe qui se tromperont plusieurs fois de suite, ou les petits malins qui donneront volontairement des faux codes pour le bloquer

Ce message a été modifié par _Panta - 17 Apr 2018, 23:23.

[mirmidon]

Cela fait 45 ans que je dis que la longueur a son importance…

Ce message a été modifié par mirmidon - 18 Apr 2018, 07:48.