Biko Georges – Comment Crée des Mots de Passe Plus Fort

Quelle est la technique la plus fiable à utiliser pour protéger nos ordinateurs et nos données personnelles ? C’est la question que me posent très souvent ceux qui me connaissent en tant que Hacker professionnel.

La réponse à cette question est évidente quand nous savons bien nos données ne sont jamais totalement sécurisées. Cependant, il existe un certain nombre de mesures que tout utilisateur d’ordinateurs peut prendre pour réduire les risques d’être victime d’un piratage informatique.

Pourquoi choisir des mots de passe plus forts

Comme votre mot de passe sécurise toutes les ressources de votre système, y compris votre messagerie électronique et d’autres comptes en ligne importants (banque, courtage, etc.), il est essentiel de choisir un mot de passe puissant qui rendra le travail du pirate pénible. 

Vous devez comprendre qu’il n’existe AUCUN mot de passe qu’un Hacker ne puisse cracker avec suffisamment de temps et de cycles de traitement, toutefois, comme pour tout le reste, je vais attaquer d’abord les fruits les plus faciles.

Commençons par dire que les Hackers n’essayent pas simplement de deviner votre mot de passe sur votre écran de connexion. Ce ne serait pas pratique. La plupart des écrans de connexion bloquent un attaquant après trois tentatives incorrectes. Je veux pouvoir essayer des millions, voire des milliards de tentatives.

Ce que les attaquants vont faire, c’est de voler le stockage des mots de passe sur un système vulnérable. Ces mots de passe sont cryptés sous forme de hachage, mais une fois que j’ai ces hachages, que je peux récupérer à l’aide d’outils comme Pwdump , Airodump-Ng et le Meterpreter , je peux prendre le temps nécessaire pour déchiffrer votre mot de passe.

Le meilleur moyen de rendre votre mot de passe moins appétissant

Idéalement, vous devriez choisir un jeu de caractères aléatoire correspondant à la longueur maximale acceptée par votre compte ou votre système. La règle fondamentale de la fissuration du mot de passe est que plus le mot de passe est long, plus il est difficile à craquer. Ensuite, changez souvent le mot de passe, environ tous les trente jours.

Je pense qu’il va sans dire que ce scénario théorique n’est pas réaliste pour la plupart des personnes. Dans ces conditions, voyons comment vous pouvez mieux protéger votre système et vos comptes des pirates informatiques comme moi. Voici quelques conseils pour rendre mon travail aussi difficile que possible tout en restant pratique.

Étape 1: N’utilisez jamais de mots du dictionnaire

Même un pirate informatique de bas niveau possédant un minimum de compétences peut facilement déchiffrer les mots de passe contenus dans le dictionnaire par une célèbre attaque appelée “Dictionary Attack”.

Vous pensez peut-être que votre mot ou vos mots de passe sont plutôt uniques et obscurs, mais il ne tardera pas à tester chaque mot et chaque combinaison de mots du dictionnaire. N’utilisez JAMAIS un mot du dictionnaire!

Même si vous ajoutez des chiffres et des caractères spéciaux, des outils de piratage tels que Crunch me permet de créer des listes de mots personnalisées, ainsi que des outils tels que Hashcat Brutus Cain et Abel , THC Hydra , John the Ripper , Ophcrack et L0phtCrack , sans oublier Aircrack-Ng et Cowpatty pour le Wi-Fi, m’aideront à déchiffrer le mot de passe en utilisant mes listes de mots.

Utiliser L0phtCrack pour déchiffrer les mots de passe.Image via L0phtcrack

Étape 2 – Utiliser tous les types de caractères autorisés

Le cracking du mot de passe qui tente toutes les possibilités logiques est appelée le Cracking de mot de passe par force brute . Il essaie simplement toutes les combinaisons de caractères possibles jusqu’à ce qu’il trouve votre mot de passe particulier.

Cela peut prendre énormément de temps et de ressources informatiques, mais grace aux récents développements en traitement parallèle, les ASIC spécialisés dans la gestion des mots de passe, ainsi que l’utilisation de réseaux de zombies et de GPU , le cracking en force brute des mots de passe a connu des innovations considérables en matière de promptitude et de facilité dans le cracking des mots de passe.

(1) cartes Bitfury de Black Arrow, (2) processeurs Butterfly Labs, (3) à l’intérieur du monarque Butterfly Labs. Images via Bitcoin Talk , CoinDesk , Gizmodo

Comme vous pouvez le deviner, le cracking “brute-force” des mots de passe est capable de déchiffrer tous les mots de passe, mais le mot-clé ici est “finalement“. 

Pour vous protéger, vous devez obliger le pirate informatique à prendre suffisamment de temps pour pouvoir laisser tomber la procédure de piratage.

Pour ralentir le pirate informatique, assurez-vous d’utiliser au moins un de chaque type de caractère lors de la création de votre mot de passe. 

Cela signifie utiliser au moins une minuscule, une majuscule, un chiffre et un caractère spécial. Cela forcera le pirate informatique à inclure tous ces personnages dans leur jeu de caractères de forcebrute, les obligeant ainsi à prendre beaucoup plus de temps pour déchiffrer votre mot de passe. Ce temps pourra alors s’exprimer en matière d’années ou de décennie.

Pour mieux comprendre: le nombre de combinaisons possibles avec un mot de passe de 8 caractères en minuscules est augmenté de 26, passant à la 8ème puissance, soit 208 milliards. C’est certes un chiffre important, mais il est certainement possible pour le pirate informatique d’examiner autant de possibilités brièvementt.

Si vous utilisez des minuscules, des majuscules, des chiffres (0-9) et des caractères spéciaux, le nombre de possibilités que le pirate informatique doit essayer est de 75 augmentés à la 8ème puissance, soit 1 001 129,150 390 625. C’est 1 quadrillion de possibilités! Cela se traduit par une multiplication par 5 000 du nombre de possibilités que le pirate informatique doit essayer.

En d’autres termes, si le premier mot de passe (8 caractères, tous en minuscules) prenait une heure à déchiffrer, le second prendrait 5 000 heures, ou 208 jours. Cela peut suffire à frustrer le pirate informatique.

Étape 3 – N’utilisez jamais que des chiffres

N’utilisez JAMAIS un mot de passe numérique sans lettres ni caractères spéciaux. Vous lui facilitez la vie!

N’utilisez jamais votre clavier numérique. JAMAIS.Image via Shutterstock

Comme notre système de base10 ne contient que 10 chiffres (0 à 9), même un mot de passe numéroté de 10 caractères ne représente que 10 milliards de possibilités de force brute. 

Comparez cela à un mot de passe tout en minuscule de huit caractères avec 208 milliards de combinaisons et il serait 20 fois plus facile de déchiffrer votre mot de passe numérique à 10 chiffres, qu’un mot de passe en minuscule de 8 caractères.

C’est tout simplement un jeu d’enfant! Donnez lui plus de défi que ça!

Étape 4 – Changez souvent votre mot de passe

Il est important de changer votre mot de passe souvent. “Souvent” est un terme relatif qui dépendra de la valeur de l’information sécurisée par le mot de passe. 

S’il s’agit d’un compte de courrier électronique ou bancaire en ligne, vous pouvez modifier votre mot de passe tous les trois mois. 

D’autres mots de passe, tels que vos comptes sur des sites Web non financiers, une fois tous les six mois ou chaque année sont probablement suffisants.

La raison pour laquelle vous devez modifier périodiquement vos mots de passe est que les pirates sont toujours en train de collecter les mots de passe de comptes du monde entier.

Ils ne peuvent pas les utiliser immédiatement, ou nous peuvent les vendre à quelqu’un qui n’a encore rien fait avec. Votre mot de passe peut être compromis et vous ne le connaissez même pas encore.

En le modifiant périodiquement, vous réduisez considérablement les risques que votre compte soit compromis, même si le site Web / le domaine a été piraté.

Étape 5 – Utilisez différents mots de passe pour différents comptes

Vos mots de passe sont stockés partout dans le monde dans divers comptes, sites Web, domaines, etc. Si vous utilisez le même mot de passe sur tous vos comptes, vos informations sont aussi sécurisées que le système le plus faible stockant votre mot de passe.

Imaginez un cas où vous trouvez un site Web ou un jeu en ligne que vous jugez amusant et divertissant. Ils vous demandent de créer un compte et un mot de passe. Il peut s’agir d’une nouvelle entreprise ou d’une grande entreprise, mais s’ils ne sécurisent pas correctement leurs systèmes, quelqu’un piratera leur système et volera le vôtre et tous les mots de passe des autres comptes.

En tant que pirate informatique, il n’aura peut-être aucun intérêt pour votre compte sur ce site Web, mais il essayera sur votre compte bancaire, votre compte de carte de crédit, votre compte de messagerie, votre compte de courtage, etc. S’ils sont tous identiques, je vous laisse imaginer la suite!

La règle ici est d’utiliser différents mots de passe sur différents types de comptes. Vous pouvez créer un mot de passe pour tous vos comptes hautement confidentiels et un mot de passe pour tous les autres comptes. De cette façon, si ce site du jeu en ligne est piraté, il ne pourra pas prendre ce mot de passe et accéder à votre compte bancaire.

Étape 6 – Créez une phrase secrète

C’est probablement la méthode qui frustrera le plus les pirates informatiques.

Je me souviens dans mes débuts, j’ai eu à consulter de nombreux articles en ligne qui recommandaient aux utilisateurs de créer des phrases secrètes et je les trouvais ridicules dans la mesure où je me sentais capable de les déchiffrer aisément.

Des formules telles que l’ajout d’une date et d’un mois après un mot, l’inversion de l’ordre des mots du dictionnaire etc, ne demandent qu’à être craqués rapidement.

Voici ce qui rendra mon travail le plus difficile.

D’abord, créez une phrase logique ou une phrase qui ait un sens pour vous dans votre langue maternel ou une autre langue internationale. Si utiliser une autre langue que le français est difficile pour vous, alors utilisez le français. De cette façon, il vous sera facile de vous en rappeler. Par exemple, ” I love mountain biking and hiking ” Maintenant, prenez cette phrase et convertissez-la en une chaîne unique de majuscules, minuscules, chiffres et caractères spéciaux, comme celui-ci:

“I<3mtnb1K1ng & H1k1ng” n’est peut-être pas un mot de passe impossible à déchiffrer, mais il est définitivement plus difficile. Image via Shutterstock

Notez que j’ai converti « love» à <3 , « moutain» à mtn , « biking» à b1K1ng , « and» & , et enfin, « hiking» à H1k1ng . Il est indispensable de séparer les caractères spéciaux et les chiffres dans la phrase secrète, ainsi que d’utiliser des lettres minuscules et majuscules.

Cela crée une phrase secrète de 18 caractères qui utilise des majuscules, des minuscules, des caractères spéciaux et des chiffres qui, bien que non incassables, obligeraient une personne comme moi à investir beaucoup de temps et de ressources informatiques pour la résoudre.

Il est à noter que, dès lors que cela a une signification particulière pour vous, vous vous en souviendrez. Évidemment, c’est la clé. Peu importe la complexité, des mots de passe ou des phrases secrètes dont vous ne vous souvenez plus, vont à l’encontre du but escompté.

C’est parce que des personnes écrivent souvent des mots de passe dont ils ne se souviennent plus et que les pirates informatiques trouvent généralement vos mots de passe sur un pense-bête près de votre bureau par exemple. 

Maintenant, comment vous sentez-vous à propos de vos mots de passe?

J’espère que ces explications rendront désormais le travail des pirates informatiques aussi fastidieux que possible pour déchiffrer VOS mots de passe.

Si vous êtes intéressé à devenir un Hacker professionnel à partir d’une formation solide (de la base à l’expertise), je vous recommande fortement EMANTIC. http://inscriptions.campus-emantic.com

Biko Georges

Salut, mon nom est BIKO GEORGES, je suis Expert en Hacking Militaire spécialisé dans la Cyberdéfense et la sécurité Informatique avancée. Je suis multi-cerfié en sécurité infrmatique (CEH, CCNA, CHFI, LPT, RHCE, COMPTIA SECURITY+ et PRO+ SECURITY).De retour de l’étranger, j'ai mis sur pied des entreprises capables de lutter contre la mauvaise utilisation des systèmes informatiques.J'ai créé à cet effet : Le Centre de Cyber-Défense Avancée(CCDA), LE SMART HACKING SCHOOL(SHS) devenue ISA aujourd’hui, L’ONG EMANTIC, LE GROUPE D’ENTREPRISE NITRIX (Qui regroupe 8 autres entreprises), ACS, ESH, CHP..

Laisser un commentaire

fr_FRFrench
en_USEnglish fr_FRFrench