Condividi tramite


Complexité des mots de passe : il faut passer à un autre niveau !

Dans un article en anglais récemment publié, j’ai pu lire un nouveau rythme auquel il est possible de tenter de casser des mots de passe : un cluster de machines équipé au total de 25 GPU est capable de tenter 348 milliards de mots de passe NTLM par seconde.

Cette machine a été présentée à une conférence organisée à Oslo en Norvège début décembre. L’organisateur de la conférence, Per Thorsheim, a conclu que “les mots de passe de Windows XP ne sont plus assez bons”. Si les mots de passe Lan Manager continuent à être stockés dans la SAM, n’importe quelle combinaison peut être cassée en moins de 6 minutes du fait que ce codage se limite à deux séries de 7 caractères mis en majuscule, donc, un maximum de 69 puissance 7 possibilités. Des mots de passe de 8 caractères stockés en NTLM demandent 5,5 heures (95 puissance 8 combinaisons divisés par 348 milliards par secondes).

Plusieurs actions sont nécessaires face à ces nouveaux chiffres :

La stratégie disponible depuis Windows XP SP2 intitulée en anglais “Do not store LAN Manager hash value on next password change” doit être activée et les mots de passe changés deux fois pour éliminer toute trace d’un précédent mot de passe stocké avec un méthode trop simple.

Cette stratégie est située au niveau de Configuration ordinateur, Paramètres Windows, Paramètres de sécurité , Stratégies locales, Options de sécurité et s’intitule en français Sécurité réseau : ne pas stocker de valeurs de hachage de niveau LAN Manager sur la prochaine modification de mot de passe.

image

Si je calcule bien, un mot de passe complexe de 9 caractères tomberait en un peu plus de 23 jours, donc, il faudrait, aussi, demander à changer les mots de passe tous les 23 jours en imposant une longueur minimale de 9 caractères.

Ce réglage est situé au niveau de Configuration ordinateur, Paramètres Windows, Paramètres de sécurité , Stratégies de mot de passe et s’intitule Longueur minimal du mot de passe, entre autres.

image

Sachant que Windows XP ne propose aucune solution pour empêcher l’accès au fichier de la base de comptes, il devient indispensable de passer à des système protégeant cet accès comme ceux supportant BitLocker. La longueur des mots de passe n’est pas une mesure suffisante quand on sait que la plupart des mots de passes sont issus de mots figurant dans des dictionnaires.