Ce serveur est capable de cracker 38 milliards de mots de passe par seconde

Ce serveur CUDA, créé par une petite bande de passionnés, est tout simplement incroyable ! En effet, celui-ci a une puissance de calcul de pas moins de 12 Teraflops, c’est à dire, suffisant pour casser 38 milliards de mots de passe codés en MD5 par seconde (pour information, c’est ce que la plupart des sites utilisent pour protéger leurs mots de passe). Tout cela est assez effrayant pour l’avenir étant donné que ce serveur a pu être créé par quelques amateurs éclairés qui ont utilisé « seulement » 8 cartes Nvidia GTX 580 avec 512 cœurs…

Source: SecManiac

Avis (3)

  1. Willy

    Il ne « casse » pas 38 milliards de mots de passe par seconde, mais est capable d’effectuer 38 milliards de tentatives par seconde, ce qui est très différent. Il existe par exemple 218340 milliards de combinaisons de mots de passe de 8 caractères alphanumériques. Si l’on y ajoute une diazine de signes de ponctuation, on arrive à 722204 milliards, ce qui prend encore 5 heures pour casser UN mot de passe. Si vous passez à 9 caractères, on passe à 16 jours. Pour 10 caractères, il faut 3 ans. Pour 11 caractères uniquement alphanumériques, il faudra 43 ans.

    C’est sûr, c’est court. Mais on n’a pas beaucoup progressé, car il y a 15 ans, l’EFF avait fabriqué une machine avec des FPGA capable de casser n’importe quel mot de passe DES en 6 jours, en parcourant l’ensemble de l’espace des clés.

    Moralité: les mots de passe sont toujours aussi vulnérables aux systèmes conçus pour les casser s’ils sont trop courts. Au moins, maintenant, on a la possibilité d’utiliser des mots de passe suffisamment longs pour empêcher les machines les plus puissantes de parcourir l’espace des clés trop vite. De ce côté-là je ne suis pas inquiet 🙂

  2. xXKirastarotHXx

    Merci Willy pour cette précision, les chiffres annoncés me paraissait assez dingue.

    Malgré la date de cette article, je voudrai en profiter pour ajouter un petit détail: tout ceci ne sert à rien si le mot de passe est salé; puisque le md5 trouvé ne serra pas égale a « md5(pass) » mais à celui de « md5(sel+pass) »

    Donc, lors de la comparaison du mot de passe, si le cracker ne connaît pas le sel utilisé par le site, le code vérifiera si « md5(sel+md5craké) » = « md5enregistré »
    soit md5(sel+(sel+pass)) = md5(sel+pass)

    En tant que développeur il faut donc penser à utiliser un gros sel (comme par exemple md5(md5(‘motcle’)+password)), vous serrez alors tranquille pour un bon moment (le temps que les ordinateur puisse calculer un mot de passe de 32 caractères)

  3. max

    Des sites où ont peu proposer des clés fausses sans qu’ils soit bloquer au 3eme essai faux et sans qu’un mail soit envoyer au propriétaire qui subit une attaque!
    Des sites où ont ne peut pas bloquer les pays de connexion, par adresse IP, langue et décalage horaire…
    Il ne faut plus taper un nom d’utilisateur et un password, mais utiliser un bookmarklet générateur de mot de passe pour remplir les champs.

Reply to max Annuler la réponse.

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Copyright 2010-2017 © - Geekattitude