XMCO : Cassage de mot de passe en utilisant le Cloud Computing
novembre 2009 par XMCO PARTNERS
Cracking Passwords in the Cloud : Insights on Password Policies
– Date : 04 Novembre 2009
– Description :
Electric Alchemy vient de publier une étude [1] sur le cassage de mot de passe en utilisant un système distribué de type Cloud Computing.
Pour rappel, le Cloud Computing fait référence à l’utilisation des capacités de calcul des ordinateurs et des serveurs répartis dans le monde entier et liés par un réseau.
Electric Alchemy utilisant Amazon EC2 [2] (service de Cloud Computing) a évalué le temps de cassage de mots de passe par force brute (en testant toutes les combinaisons possibles) [3] en fonction de leurs complexités et de leur longueur.
Ainsi, il en résulte les coûts suivants :
* Complexité : mot de passe contenant les caractères [a-z] :
– 3$ pour casser un mot de passe de 8 caractères,
– 87$ pour casser un mot de passe de 9 caractères,
– 2 262$ pour casser un mot de passe de 10 caractères,
– 58 820$ pour casser un mot de passe de 11 caractères.
* Complexité : mot de passe contenant les caractères [a-z0-9] :
– 45$ pour casser un mot de passe de 8 caractères,
– 1 628$ pour casser un mot de passe de 9 caractères,
– 58 592$ pour casser un mot de passe de 10 caractères,
– 2 109 322$ pour casser un mot de passe de 11 caractères.
* Complexité : mot de passe contenant les caractères [a-zA-Z0-9 et caractères spéciaux]
– 106 317$ pour casser un mot de passe de 8 caractères,
– 10 100 151$ pour casser un mot de passe de 9 caractères,
– 959 514 326$ pour casser un mot de passe de 10 caractères,
– 91 153 860 942$ pour casser un mot de passe de 11 caractères.
Cette analyse apporte une preuve supplémentaire à l’appui de l’utilité d’une politique de mot de passe robuste au sein des entreprises afin de se prémunir contre ce type d’attaque.
Un mot de passe d’une longueur de 8 caractères et contenant au moins une minuscule, une majuscule, un chiffre et un caractère spécial est protégé à hauteur de 100 000$ (de moyen de l’attaquant) d’une attaque de cassage de mot de passe via un système distribué de type Cloud Computing.
– Référence :
[1] http://news.electricalchemy.net/2009/10/cracking-passwords-in-cloud.html
[2] http://aws.amazon.com/ec2/
[3] http://news.electricalchemy.net/2009/10/password-cracking-in-cloud-part-5.html
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=1257327065