En 2024, combien de temps faut-il pour casser un mot de passe ?
-
@Ashura a dit dans En 2024, combien de temps faut-il pour casser un mot de passe ? :
@Violence a dit dans En 2024, combien de temps faut-il pour casser un mot de passe ? :
Oui et non, le MFA peut aussi être contourné. On a eu le cas il y a peu je crois.
Ta un exemple ça me dit rien ?
Il y a pas mal d’attaques pour le MFA/2FA et il y a eu des POF sur le sujet.
Il y a eu des attaques de MFA bombing chez des utilisateurs Apple apparemment il y a peu.Du phishing, du MITM/AITM, spear-phishing, Social Engineering, SIM Swapping, des terminaux compromis par malware, du consent phishing…
Un malware Cerberus repéré vers 2020 était je crois capable de récupérer les codes de vérification 2FA générés par Google Authenticator dans le cas d’OS Smartphone non à jour, etc…
Certaines applications implémentent mal les normes derrière le 2FA et seraient (aussi) fiables que l’appareil sur lequel elles tournent.Tout cela a peut être changer depuis mais j’imagine que non…
Pour moi, le 2FA marche beaucoup mieux avec des éléments matériels comme la Yubikey, la clé Google Titan ou Locknest par exemple.
Il faut bien sur la mettre en place quand c’est possible mais c’est comme tout, c’est loin d’être infaillible et autant couplez ça à des
bons passwordbonnes Passphrase ou du passkey. -
Avec un mot de passe genre: “j’aicoincémazigounettedansl’abattantdeschiotes&j’aitrèsmal”, on est tranquille un bon moment et on ne risque pas de l’oublier…
Et je vous dis pas celui de mon wifi… encore plus gratiné.
-
V:\> █░░ On naît seul, on vit seul, on meurt seul ░░█ ✌(◕‿-)✌
╚═ Admin, Dev et auteur de la plupart des bugs de PW…░░░▒▒▒▓▒▒▒░░░
░░░░░░▓░░░░░░
▒▒▒▒▓▓▓▓▓▒▒▒▒
░░░░░░▓░░░░░░ -
Est qu’un gestionnaire de mdp comme bitwarden vous semble une solution approprié ?
-
Bien sûr mais je te conseille plutôt la version auto hébergée plutôt que sur le cloud pour des raisons évidentes.
https://planete-warez.net/topic/5141/password-bitwarden-auto-hébergement-sous-windows
Et si tu ne le sens pas, des options en locale comme KeepassXC avec le plugin chrome et FF pour l’auto complétion est aussi tt indiqué.
V:\> █░░ On naît seul, on vit seul, on meurt seul ░░█ ✌(◕‿-)✌
╚═ Admin, Dev et auteur de la plupart des bugs de PW…░░░▒▒▒▓▒▒▒░░░
░░░░░░▓░░░░░░
▒▒▒▒▓▓▓▓▓▒▒▒▒
░░░░░░▓░░░░░░ -
-
@Violence Je ne peux que te la conseiller pour encoder tes passphrases, histoire de vraiment être sûr!
-
Je trouve keepass vraiment pratique pour gérer et créer des mots de passe complexe en plus il gère l’OTP donc on peut avoir le MFA sur plusieurs appareils facilement avec keepassium sur IOS ou keepassDX sur Android (sympa quand on change de tel
) -
Perso je suis team bitwarden avec authy, et oui je synchro en cloud, flemme de mettre en local la au mikd je retrouve sur tout mes appareils directement
-
-
@duJambon a dit:
Avec un mot de passe genre: “j’aicoincémazigounettedansl’abattantdeschiotes&j’aitrèsmal”, on est tranquille un bon moment et on ne risque pas de l’oublier…
Il n’y a pas de chiffres. Il faut ajouter “
pourla8emefois” -
Plop et ravi de passer après 7cf même si ma question est un poil noobesque.
Perso, si avec “MonSup3rMotD3Pass3ARalong3QuiConti3ntD3sChiffr3es” je me goure 3 fois lors de mes tentatives de login sur mes divers réseaux ben… ces réseau me répondent que je suis un vilain qui tente de chourave le compte de qqun d’autre et donc -> Banni ou alors re-tente dans 1h.
Du coup, comment font ces “bots” qui floodent pour casser un mot de passe sans que tout se bloque sous les zillions de requêtes par seconde ?
-
@Popaul À ma connaissance, la dernière mode dans le genre est le spray.
Au lieu de se consacrer à craquer un unique compte, on change de compte à chaque tentative, de cette façon, l’attaque est moins détectable, mais on n’obtient pas forcément des comptes utiles, sauf dans le cas d’abonnements ou autre, genre usurpation d’identité, etc…
-
Mouais… hormis pour un fofo ou c’est, généralement, le pseudo des gens -> il te faut déjà le nom du login. Ensuite, faut bourriner en spray sans que les instances qui gèrent les logs ne détecte une possible attaque.
Attaquer en ayant investi dans quelques RTX 4090 histoire de bien flood n’est, sûrement, pas stratégique pour trouver les MdP des comptes d’Elon Musk, Bill Gates & Co.Je reste relativement confiant quand à la sécu de mon ptit compte rempli de centimes.
-
@Popaul Pour les fofos, il suffit de prendre la liste des membres ou celle des connectés, tu t’inscris dans le forum si la liste n’est pas visible, et après y’a plus qu’à
Tu n’est clairement pas un pirate
Casser le compte d’une célébrité, ce n’est clairement pas le but de cette méthode, mais elle fait encore des ravages.
-
@duJambon
C’est ce que je tentais de dire, les nom de login d’un fofo c’est facile à trouver. On est d’accord ^^
Et quand je parlais de comptes d’Elon &Co, c’était surtout les comptes en banque ^^Je ne suis pas un Hacker non ! mais un vilain pirate qui se permet de partager de la culture sans la commercialiser, ça oui
! -
Et pour l’auto complétion, n’oublie pas que le gestionnaire de mots de passe te permet de remplir automatiquement les champs a ta place. C’est aussi l’intérêt. Ça permet aussi de ne pas laisser tes password dans ton navigateur.
Si tu savais le nombre d’accès Amazon, banque, shop en ligne, etc que je trouvé sur les pc des gens , c’est hallucinant. Oh il y a Marine qui s’est acheté un fouet il y a peu lol…
Et personnellement après avoir réparé la machine de la femme du beauf, je ne la verrai plus de la même façon
Les gens se foutent de tout
-
T’en fais pas que j’ai vu pire avec les MdP enregistrés dans les navs des PC là ou je bénévolise
-
@Popaul La méthode du spray, c’est pas vraiment du niveau hacker, mais plutôt bricolo ou padawan (tout frais) au mieux
Une petite recherche pour trouver les outils et n’importe quel petit merdeux de 10 ans peut le faire.
-
