Ici "batteryhorsestaplecorrect" est équivalent à "Dans le port de Cherbourg, y'a des marins qui chantent".
Donc certes c'est plus efficace, mais malheureusement les attaques de plus en plus perfectionnées auront bientôt raison de cette approche.
Malheureusement les phrases connues même à rallonges sont déjà plus faibles que "batteryhorsestaplecorrect".
Énormément de phrases non aléatoires et à rallonges issues de la plupart des textes classiques accessibles sur Internet (dont peut-être Brel) commencent à être crackées par des amateurs (de haut vol) avec les techniques récentes.
=> À lire par toute personne intéressée par le sujet :
Ars Technica : How the Bible and YouTube are fueling the next frontier of password cracking (Crackers tap new sources to uncover "givemelibertyorgivemedeath" and other phrases.)
For a graphic example of passphrase weakness, consider the string "Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn1" (minus the quotes). With a length of 51 and a 95-character set containing upper- and lowercase letters, numbers, and special characters, its entropy is 284.9 bits. The total number of combinations required to brute-force crack it would be 95^51, making such a technique impossible on any sort of computer known to exist today. What's more, the string isn't found in any language dictionary. No wonder password strength meters like this one use words such as "overkill" to describe it.
But as Ars recently reported, Chrysanthou had no trouble cracking the SHA1 hash that corresponded to the string for one simple reason. This is a fictional occult phrase from the H. P. Lovecraft short story "The Call of Cthulhu," and it was contained in this Wikipedia entry.
L'astuce qui "sauve" temporairement la clé "Dans le port de Cherbourg, y'a des marins qui chantent" c'est le remplacement d'Amsterdam par Cherbourg. Mais elle va finir par sauter lorsque Brel sera intégré aux dictionnaires d'attaques associés à des permutations logiques.
De même "Dans le port de Cherbourg, y'a des marins qui braillent comme des casseroles" n'est pas beaucoup plus sécurisée :
- dictionnaire des chansons francophones : Amsterdam de Brel
- dictionnaire de noms propres ou villes : Amsterdam -> Cherbourg
- dictionnaire d'expressions : chanter -> chanter comme une casserole
- dictionnaires de synonymes ou sens proches : chanter -> brailler
"batteryhorsestaplecorrect" ne tient encore (contre des amateurs) que parce qu'il s'agit de 4 mots
vraiment aléatoires (totalement décorrélés) et de longueur totale suffisante.
La choix aléatoire des mots est primordial pour éviter toute proximité statistique ou logique : "Forum vie sauvage et survie David Manise" sauterait de la même façon car il n'est réellement composé que de 2 éléments eux-mêmes non indépendants "Forum vie sauvage et survie" et "David Manise".
Toute l'intelligence des hackers consiste à tenir compte statistiquement des faiblesses humaines :
- probabilité d'apparition d'un signe en fonction de la position (p.ex. majuscules généralement au début et rarement au milieu, inversement pour la ponctuation)
- chiffres, symboles ou majuscules placés en préfixes ou suffixes et rarement au milieu
- duplication des caractères de "brouillage" ou séquences évidentes (p.ex. "123" ou tripler le même chiffre n'est pas plus robuste qu'1 seule lettre : 10 + 10 combinaisons à tester en priorité)
- substitutions bien connues des lettres par des chiffres ou symboles (tout hacker intègre le leet speak : 1337 5|*34|< type p@55w0rd dans ses règles de base de génération de dictionnaires)
- probabilité plus élevée d'une combinaison de mots courants et de moins de 6-8 lettres plus faciles à mémoriser et à frapper au clavier (donc vocabulaire et combinatoire limités)
- intégration des combinaisons de touches basées sur la disposition du clavier (pas seulement US)
- scan des forums ou réseaux sociaux pour trouver des termes d'argot ou des expressions spécifiques au domaine ciblé (p.ex. crack des mots de passe d'un site de rencontre pour militaires US en scrutant le vocabulaire militaire sur Twitter)
- indexation des phrases de Wikipedia et de 15000 livres du projet Gutemberg
- ...
La puissance de calcul explose en y mettant un peu plus de moyens financiers qu'un amateur : traitements massivement parallélisables par un supercalculateur ou tout simplement un cloud type Amazon loué ponctuellement.
Quelques exemples de mots de passes crackés récemment par un amateur très doué en mode "brute force intelligent" (toujours chez l'excellent Ars Technica :
IZMY P@55W0RD SAPH?) :
!@#$%^&*()_+lisa <= séquence de touches sur clavier QWERTY suivi d'un prénom en minuscules
0987POIUqwerasdf <= 4 séquences de touches 0987 POIU qwer asdf
A troll account now banned. <= phrase certainement trouvée dans un forum
Admin*3A2F5B9FCBE3F1A71D81833C1A <= Admin (premiers mots testés avec les variantes de password) + séparateur + séquence de 26 chiffres hexadécimaux (soit 16^26 possibilités : il doit y avoir une astuce 
)
Didnt someone write a book about this? <= expression trouvée sur le web
i have no idea what my password is <= Bonne nouvelle, il a été retrouvé ! 
Laws like these will be used against us soon enough. <= juste 2 expression accolées : "Laws like these" et "will be used against us soon enough"
Password must be at least 8 characters <= Vive le copier / coller des messages d'erreurs !
Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn1 <= Phrase intégrale de Lovecraft dans "Cthulhu" + 1 chiffre
thisisthebestpasswordever <= Non, la preuve !
zxcvbnmlkjhgfdsaqwertyuioA Little Piece Of Heaven01 <= 3 séquences de touches + titre de chanson ("A Little Piece Of Heaven") + séquence basique de 2 chiffres
L'élément le plus faible reste l'humain et ses capacités limitées par rapport à la machine...
Sujet: Cyber-criminalité et intelligence économique (Lu 13728 fois)
