[Lu sur Ars Technica]

Lorsque les empreintes de 6,5 millions de mots de passe d'utilisateurs de LinkedIn, ont "fuité" en juin dernier, le chercheur en sécurité Jeremi Gosney a voulu la comparer à la base de données de 500 millions de mots de passe qu'il a glané lors de précédentes "fuites" (rien que l'an passé, les empreintes de plus de 100 millions de mots de passe se seraient ainsi retrouvés "à poil sur le web").

Plutôt que d'utiliser un simple ordinateur -capable de tester 98 millions de possibilité... par seconde-, il a eu recours à quatre cartes graphiques associées susceptibles, elles, d'effectuer pas moins de 15,5 milliards de tentatives, par seconde, afin de déchiffrer les mots de passe à partir de leurs empreintes.

Et il ne lui a fallu que 30 secondes pour déchiffrer les 20% de mots de passe les moins sécurisés (linkedin, love, link, password, etc.), deux heures pour craquer le tiers suivant, une journée pour en déchiffrer 64%. Au bout de 6 jours, il avait reconstitué, en clair, 90% de ces 6,5 millions de mots de passe.

Gosney a même réussi à reconstituer des mots de passe de plus de 20 caractères, dont plusieurs phrases tirées de la Bible, de romans, chansons ou films à succès : si une phrase existe quelque part, elle se trouvera aussi forcément dans les dictionnaires de mots de passe…

Une passionnante enquête à lire sur Ars Technica, intitulée "Pourquoi les mots de passe n'ont jamais été si faibles, et les casseurs de mots de passe aussi forts".

ArsTechnica, qui note qu'un internaute gère en moyenne 25 comptes différents… mais avec 6,5 mots de passe seulement, rappelle que cette pratique est à proscrire et qu'il ne faut jamais utiliser le même mot de passe pour tous les sites, qu'il ne faut jamais utiliser de mots de passe de moins de 9 caractères (qu'on pourra tester sur PasswordMeter), et qu'il est recommandé d'utiliser un système comme Password Safe, passwordmaker, LastPass ou 1password...