Les derniers GPU de NVIDIA pourraient s’attaquer à de tels mots de passe simplement par la « force brute ».
Le terme parle de lui-même, mais afin de ne laisser aucune place doute, précisons la chose. La « force brute » n’est pas une technique particulière pour découvrir un mot de passe. Ou plutôt disons que c’est la technique la plus basique qui soit : il s’agit tout simplement d’essayer, une à une, toutes les combinaisons possibles pour un mot de passe donné. De fait, à un moment ou à un autre, on finit par le découvrir, mais dans le cas d’un mot de passe de 8 caractères pouvant comporter majuscules, minuscules, chiffres et symboles, on parle de plusieurs milliers de milliards de combinaisons.
If we do the math for NTLM, 300GH/s is 300 Billion hashes per second, ?a is 95 characters, length 8 makes it a keyspace of 95^8, divide that by the speed and get 22111 seconds. Then convert from seconds and you get 368 minutes or 6.1 hours to complete the keyspace on 1x 4090 GPU.
— Chick3nman 🐔 (@Chick3nman512) October 14, 2022
Un nombre qui ne fait pourtant pas peur à la dernière carte graphique mise au point par NVIDIA. Analyste en sécurité à Austin, au Texas, Sam Croley est le créateur du logiciel Hashcat, un outil de récupération des mots de passe. Le programme est également utilisé pour évaluer la puissance d’une solution informatique pour découvrir un mot de passe par force brute. À ce « petit jeu », la GeForce RTX 4090 est rien de moins que deux fois plus puissante que la GeForce RTX 3090. Plus intéressant encore, sur Twitter, Sam Croley explique qu’une RTX 4090 n’aurait besoin que de 6,1 heures pour découvrir un mot de passe de 8 caractères composé de majuscules, de minuscules, de chiffres et de symboles.
Plus dramatique encore, associer plusieurs cartes RTX 4090 entre elles permet, logiquement, de réduire nettement ce laps de temps et WCCFTech souligne que la carte graphique serait ainsi en mesure de casser des protocoles d’authentification comme New Technology LAN Manager de Microsoft (NTLM) ou la fonction de hachage de mots de passe Bcrypt créée par Niels Provos et David Mazières. De fait, on peut se dire qu’un mot de passe de huit caractères n’est plus une protection suffisante, mais avec la montée en puissance des GPU, on peut imaginer que des mots de passe à 12 ou 16 caractères ne soient plus non plus suffisants.
En attendant, si vous utilisez encore le nom de votre premier animal domestique ou la date de naissance de votre enfant comme mot de passe depuis cinq ans, il est peut-être temps de changer.
