En 2024, combien de temps faut-il pour casser un mot de passe ?
-
@michmich voire 9999 soyons fou !
-
Je fais ma rebelle de service mais en vrai on s’en fout complètement non? Maintenant qu’on a du MFA partout?
-
@7cf148fd a dit dans En 2024, combien de temps faut-il pour casser un mot de passe ? :
On s’en fout complètement non? Maintenant qu’on a du MFA partout?
Oui et non, le MFA peut aussi être contourné. On a eu le cas il y a peu je crois.
Personnellement, je préfère le combo passphrase/MFA quand c’est possible et le passkey.
-
@Violence a dit dans En 2024, combien de temps faut-il pour casser un mot de passe ? :
Oui et non, le MFA peut aussi être contourné. On a eu le cas il y a peu je crois.
Ta un exemple ça me dit rien ?
-
@Violence a dit dans En 2024, combien de temps faut-il pour casser un mot de passe ? :
Oui et non, le MFA peut aussi être contourné. On a eu le cas il y a peu je crois.
Ils seraient rentré par la porte fenêtre de la cuisine?
-
@Ashura a dit dans En 2024, combien de temps faut-il pour casser un mot de passe ? :
@Violence a dit dans En 2024, combien de temps faut-il pour casser un mot de passe ? :
Oui et non, le MFA peut aussi être contourné. On a eu le cas il y a peu je crois.
Ta un exemple ça me dit rien ?
Il y a pas mal d’attaques pour le MFA/2FA et il y a eu des POF sur le sujet.
Il y a eu des attaques de MFA bombing chez des utilisateurs Apple apparemment il y a peu.Du phishing, du MITM/AITM, spear-phishing, Social Engineering, SIM Swapping, des terminaux compromis par malware, du consent phishing…
Un malware Cerberus repéré vers 2020 était je crois capable de récupérer les codes de vérification 2FA générés par Google Authenticator dans le cas d’OS Smartphone non à jour, etc…
Certaines applications implémentent mal les normes derrière le 2FA et seraient (aussi) fiables que l’appareil sur lequel elles tournent.Tout cela a peut être changer depuis mais j’imagine que non…
Pour moi, le 2FA marche beaucoup mieux avec des éléments matériels comme la Yubikey, la clé Google Titan ou Locknest par exemple.
Il faut bien sur la mettre en place quand c’est possible mais c’est comme tout, c’est loin d’être infaillible et autant couplez ça à des
bons passwordbonnes Passphrase ou du passkey. -
Avec un mot de passe genre: “j’aicoincémazigounettedansl’abattantdeschiotes&j’aitrèsmal”, on est tranquille un bon moment et on ne risque pas de l’oublier…
Et je vous dis pas celui de mon wifi… encore plus gratiné.
-
-
Est qu’un gestionnaire de mdp comme bitwarden vous semble une solution approprié ?
-
Bien sûr mais je te conseille plutôt la version auto hébergée plutôt que sur le cloud pour des raisons évidentes.
https://planete-warez.net/topic/5141/password-bitwarden-auto-hébergement-sous-windows
Et si tu ne le sens pas, des options en locale comme KeepassXC avec le plugin chrome et FF pour l’auto complétion est aussi tt indiqué.
-
-
@Violence Je ne peux que te la conseiller pour encoder tes passphrases, histoire de vraiment être sûr!
-
Je trouve keepass vraiment pratique pour gérer et créer des mots de passe complexe en plus il gère l’OTP donc on peut avoir le MFA sur plusieurs appareils facilement avec keepassium sur IOS ou keepassDX sur Android (sympa quand on change de tel )
-
Perso je suis team bitwarden avec authy, et oui je synchro en cloud, flemme de mettre en local la au mikd je retrouve sur tout mes appareils directement
-
-
@duJambon a dit:
Avec un mot de passe genre: “j’aicoincémazigounettedansl’abattantdeschiotes&j’aitrèsmal”, on est tranquille un bon moment et on ne risque pas de l’oublier…
Il n’y a pas de chiffres. Il faut ajouter “
pourla8emefois
” -
Plop et ravi de passer après 7cf même si ma question est un poil noobesque.
Perso, si avec “MonSup3rMotD3Pass3ARalong3QuiConti3ntD3sChiffr3es” je me goure 3 fois lors de mes tentatives de login sur mes divers réseaux ben… ces réseau me répondent que je suis un vilain qui tente de chourave le compte de qqun d’autre et donc -> Banni ou alors re-tente dans 1h.
Du coup, comment font ces “bots” qui floodent pour casser un mot de passe sans que tout se bloque sous les zillions de requêtes par seconde ?
-
@Popaul À ma connaissance, la dernière mode dans le genre est le spray.
Au lieu de se consacrer à craquer un unique compte, on change de compte à chaque tentative, de cette façon, l’attaque est moins détectable, mais on n’obtient pas forcément des comptes utiles, sauf dans le cas d’abonnements ou autre, genre usurpation d’identité, etc…
-
Mouais… hormis pour un fofo ou c’est, généralement, le pseudo des gens -> il te faut déjà le nom du login. Ensuite, faut bourriner en spray sans que les instances qui gèrent les logs ne détecte une possible attaque.
Attaquer en ayant investi dans quelques RTX 4090 histoire de bien flood n’est, sûrement, pas stratégique pour trouver les MdP des comptes d’Elon Musk, Bill Gates & Co.Je reste relativement confiant quand à la sécu de mon ptit compte rempli de centimes.
-
@Popaul Pour les fofos, il suffit de prendre la liste des membres ou celle des connectés, tu t’inscris dans le forum si la liste n’est pas visible, et après y’a plus qu’à
Tu n’est clairement pas un pirate
Casser le compte d’une célébrité, ce n’est clairement pas le but de cette méthode, mais elle fait encore des ravages.