Quelle est la difficulté à pirater un compte WebMail avec un mot de passe fort de 8 caractères?
Supposons que le pirate informatique ne commence que votre adresse e-mail et qu'il a une incitation élevée pour avoir accès.
Mise à jour: Supposons également que le mot de passe est unique (jamais utilisé ailleurs) et ce n'est pas un mot devinable comme votre nom de chien avec quelques personnages impairs. Votre mot de passe unique en question pourrait être quelque chose comme: q*b!oss0.
Si une longueur de mot de passe de 8 caractères est problématique, suppose qu'une longueur a augmenté de 10 caractères.
Quelles sont les préoccupations, les attaques et les mesures d'atténuation qu'un fournisseur de messagerie Web pourrait envisager en ce qui concerne la prévention de la fissuration du mot de passe?
Edit 2: Supposons également que l'authentification à deux facteurs est utilisée. Cela ferait-il le compte de Webmail extrêmement sécurisé?
"Huit chiffres" signifie 108 = cent millions de mots de passe possibles. au mieux, vous avez sélectionné votre mot de passe complètement au hasard, impliquant que l'attaquant, en moyenne, devra essayer la moitié d'entre eux avant de frapper la droite (si cinquante millions tentatives de connexion).
(Le "au mieux" signifie ici que l'attaquant a toujours la possibilité d'essayer des mots de passe dans un ordre aléatoire, il n'y a donc pas de stratégie de sélection de mot de passe, cependant, il peut sembler plus difficile que celui de l'attaquant. Une certaine sélection Les stratégies peuvent faire des choses plus facile, cependant. Par conséquent, dans la génération de mot de passe, des règles de randomneur.)
Le terme important ci-dessus est "moyen". Sur n'importe quel cas particulier, un attaquant peut être particulièrement chanceux ou surtout malchanceux. Cependant, l'attaquant peut effectuer le même type de calcul et décidera d'attaquer ou de ne pas attaquer en fonction de son perçu, a priori chances de succès. En outre, tous les assaillants ne sont pas complètement rationnels dans leur prise de décision.
Combien d'authentifications que l'attaquant peut tenter dépend du comportement du contexte et du serveur. Si le serveur utilise le matériel "typique", implémente le traitement par mot de passe peu coûteux (par exemple SHA-1 unique, pas BCRYPT) et ne limite pas les taux d'authentification, alors un attaquant peut espérer, dire, 1000 tentatives d'authentification par seconde, atteignant ainsi les 50 Des millions dans environ 50000 secondes, soit environ 14 heures. D'autre part, si le serveur verrouille le compte après 10 tentatives d'authentification successives ayant échoué, l'attaquant ne sera pas en mesure d'essayer plus de 9 tentatives entre tout temps vous Connect; Si vous vous connectez quotidiennement, le temps d'arrêt attendu de l'attaquant sera d'environ 15210 ans.
Comme il y a beaucoup de variation de la manière dont les serveurs mettent en œuvre l'authentification, et en particulier à quel point ils essaient de détecter des tentatives de force brute et de la réaction approfondie de la force, la seule réponse possible à votre question ne peut être que "cela dépend".