En 2024, combien de temps faut-il pour casser un mot de passe ?
-
Merci pour cet article très intéressant qui nous fait prendre une fois de plus conscience de l’importance de bétonner l’accès à nos données. Il est vrai en plus que notre réflexe premier est plutôt de créer des mots de passe plutôt que des passphases ce qui est sûrement une erreur.

-
Keuwahhhh ??? 123 c’est pas un bon MdP ?
-
@Popaul je prendrais plutôt 999 plus loin dans la chaîne
-
@michmich voire 9999 soyons fou !
-
Je fais ma rebelle de service mais en vrai on s’en fout complètement non? Maintenant qu’on a du MFA partout?
-
@7cf148fd a dit dans En 2024, combien de temps faut-il pour casser un mot de passe ? :
On s’en fout complètement non? Maintenant qu’on a du MFA partout?
Oui et non, le MFA peut aussi être contourné. On a eu le cas il y a peu je crois.
Personnellement, je préfère le combo passphrase/MFA quand c’est possible et le passkey.
-
@Violence a dit dans En 2024, combien de temps faut-il pour casser un mot de passe ? :
Oui et non, le MFA peut aussi être contourné. On a eu le cas il y a peu je crois.
Ta un exemple ça me dit rien ?
-
@Violence a dit dans En 2024, combien de temps faut-il pour casser un mot de passe ? :
Oui et non, le MFA peut aussi être contourné. On a eu le cas il y a peu je crois.
Ils seraient rentré par la porte fenêtre de la cuisine?
-
@Ashura a dit dans En 2024, combien de temps faut-il pour casser un mot de passe ? :
@Violence a dit dans En 2024, combien de temps faut-il pour casser un mot de passe ? :
Oui et non, le MFA peut aussi être contourné. On a eu le cas il y a peu je crois.
Ta un exemple ça me dit rien ?
Il y a pas mal d’attaques pour le MFA/2FA et il y a eu des POF sur le sujet.
Il y a eu des attaques de MFA bombing chez des utilisateurs Apple apparemment il y a peu.Du phishing, du MITM/AITM, spear-phishing, Social Engineering, SIM Swapping, des terminaux compromis par malware, du consent phishing…
Un malware Cerberus repéré vers 2020 était je crois capable de récupérer les codes de vérification 2FA générés par Google Authenticator dans le cas d’OS Smartphone non à jour, etc…
Certaines applications implémentent mal les normes derrière le 2FA et seraient (aussi) fiables que l’appareil sur lequel elles tournent.Tout cela a peut être changer depuis mais j’imagine que non…
Pour moi, le 2FA marche beaucoup mieux avec des éléments matériels comme la Yubikey, la clé Google Titan ou Locknest par exemple.
Il faut bien sur la mettre en place quand c’est possible mais c’est comme tout, c’est loin d’être infaillible et autant couplez ça à des
bons passwordbonnes Passphrase ou du passkey. -
Avec un mot de passe genre: “j’aicoincémazigounettedansl’abattantdeschiotes&j’aitrèsmal”, on est tranquille un bon moment et on ne risque pas de l’oublier…
Et je vous dis pas celui de mon wifi… encore plus gratiné.
-
-
Est qu’un gestionnaire de mdp comme bitwarden vous semble une solution approprié ?
-
Bien sûr mais je te conseille plutôt la version auto hébergée plutôt que sur le cloud pour des raisons évidentes.
https://planete-warez.net/topic/5141/password-bitwarden-auto-hébergement-sous-windows
Et si tu ne le sens pas, des options en locale comme KeepassXC avec le plugin chrome et FF pour l’auto complétion est aussi tt indiqué.
-
-
@Violence Je ne peux que te la conseiller pour encoder tes passphrases, histoire de vraiment être sûr!
-
Je trouve keepass vraiment pratique pour gérer et créer des mots de passe complexe en plus il gère l’OTP donc on peut avoir le MFA sur plusieurs appareils facilement avec keepassium sur IOS ou keepassDX sur Android (sympa quand on change de tel )
-
Perso je suis team bitwarden avec authy, et oui je synchro en cloud, flemme de mettre en local la au mikd je retrouve sur tout mes appareils directement
-
-
@duJambon a dit:
Avec un mot de passe genre: “j’aicoincémazigounettedansl’abattantdeschiotes&j’aitrèsmal”, on est tranquille un bon moment et on ne risque pas de l’oublier…
Il n’y a pas de chiffres. Il faut ajouter “
pourla8emefois
” -
Plop et ravi de passer après 7cf même si ma question est un poil noobesque.
Perso, si avec “MonSup3rMotD3Pass3ARalong3QuiConti3ntD3sChiffr3es” je me goure 3 fois lors de mes tentatives de login sur mes divers réseaux ben… ces réseau me répondent que je suis un vilain qui tente de chourave le compte de qqun d’autre et donc -> Banni ou alors re-tente dans 1h.
Du coup, comment font ces “bots” qui floodent pour casser un mot de passe sans que tout se bloque sous les zillions de requêtes par seconde ?