Je suis presque étonné d'apprendre que les attaques par force brute ça existe encore, tellement que je pensais que le phishing et autres techniques de hacking social étaient devenues prévalentes.
Donc il n'en est rien : ayons des mots de passe encore plus forts !
J'ai joué avec la formule de calcul des points 12 et 13 de la FAQ, et en gros faut taper dans les 14 caractères pour arriver aux 80 bits d'entropie recommandés pour les mots de passes les plus stratégiques.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
Peut être que l’attaque par force brute n’est plus réalisée en tentant successivement les mots de passes sur le formulaire de connexion, mais à froid contre un hash qui aurait fuité lors d’une compromission de données ?
Je suis presque étonné d'apprendre que les attaques par force brute ça existe encore, tellement que je pensais que le phishing et autres techniques de hacking social étaient devenues prévalentes.
En fait ces 2 attaques ne sont pas utilisées pour les mêmes objectifs. Le phishing sert à faire la première compromission, à rentrer dans l'entreprise. Ensuite une fois que l'attaquant a le pied dans la porte, à ce moment là le brute force est une des techniques les plus utilisées.
Plus d'infos dans ce tour d'horizons par Google
# Force brute
Posté par gUI (Mastodon) . Évalué à 4.
Je suis presque étonné d'apprendre que les attaques par force brute ça existe encore, tellement que je pensais que le phishing et autres techniques de hacking social étaient devenues prévalentes.
Donc il n'en est rien : ayons des mots de passe encore plus forts !
J'ai joué avec la formule de calcul des points 12 et 13 de la FAQ, et en gros faut taper dans les 14 caractères pour arriver aux 80 bits d'entropie recommandés pour les mots de passes les plus stratégiques.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Force brute
Posté par chimrod (site web personnel) . Évalué à 6.
Peut être que l’attaque par force brute n’est plus réalisée en tentant successivement les mots de passes sur le formulaire de connexion, mais à froid contre un hash qui aurait fuité lors d’une compromission de données ?
[^] # Re: Force brute
Posté par NicolasP . Évalué à 4.
En fait ces 2 attaques ne sont pas utilisées pour les mêmes objectifs. Le phishing sert à faire la première compromission, à rentrer dans l'entreprise. Ensuite une fois que l'attaquant a le pied dans la porte, à ce moment là le brute force est une des techniques les plus utilisées.
Plus d'infos dans ce tour d'horizons par Google
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.