COMPTOIR
register

Composé par ————— —— 19098 vues

La RTX 4090 est très rapide, peut-être même trop pour vos mots de passe ?

Si la RTX 4090 est acclamée pour ses performances, ces dernières sont d’autant plus impressionnantes que les gains se retrouvent dans tous les domaines — en plus d’apporter un DLSS 3.0 qui, s’il ne convainc pas tout le monde, a au moins le mérite d’exister. Et quant il est question de tous les domaines, cela signifie absolument tous les domaines : jeu, mais aussi machine learning, calcul scientifique, minage ou encore… crack de mots de passe.

 

Un spécialiste du secteur, Sam Croley, a pu mettre la main sur un exemplaire et en a été décoiffé, comme Pascal dans le vent (mais avec des cheveux) : plus de 2 fois les performances de la génération précédente, ça n’arrive pas tous les matins ! À se demander en fait si la bête n’est pas trop puissante : explications.

 

 

Avec ses fiers 300 GH/s sur Microsoft’s New Technology LAN Manager (NTLM) et 200 kh/s sur Bcrypt, une de ces cartes peuvent ainsi suffire à retrouver un mot de passe aléatoire de 8 caractères en 6 heures. Comprendre, incluant des chiffres, des lettres, majuscules, minuscules et caractères spéciaux. Pour les mots de passe reprenant un terme du dictionnaire, le temps se réduit encore drastiquement ! Certes, il s’agit ici de décodage hors ligne, typiquement pour des documents chiffrés ou un mot de passe issu d’une fuite de données, mais la chose n’est pas rassurante. D’un autre côté, la production de GPU ne va (clairement) pas s’arrêter pour cette raison — ce serait malheureusement plutôt le contraire —, l’occasion idéale de rappeler les bonnes pratiques : un gestionnaire de mot de passe est une chose quasi incontournable en 2022, dans lequel chaque phrase secrète est générée aléatoirement et de taille aussi grande que possible — 16 ou 20 caractères étant acceptés par la plupart des sites. Enfin, synchroniser via un service tiers la chose n’est pas vraiment la plus fine des idées, et ce n’est pas le récent hack de LastPass qui ira vous prouver le contraire, bien qu’aucune donnée d’utilisateur n’ait fuité lors de l’attaque. Pour résumer : sortez couverts ! (Source : HotHardware)

 tipiak

Attention, le risque de Tipiak est réel !

Un poil avant ?

EVGA dévoile sa nouvelle série d'AIO CLX, maintenant avec encore plus d'ARGB

Un peu plus tard ...

Test • Intel Nuc 12 extreme Dragon Canyon

Les 17 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !
par UnragoteursToulousain en Île-de-France, le Jeudi 20 Octobre 2022 à 08h47  
par dismuter le Mercredi 19 Octobre 2022 à 12h24
C'est pourquoi il faut en choisir un avec chiffrement bout-à-bout et à divulgation nulle de connaissance (zero-knowledge). Ainsi ils n'ont jamais sur leurs serveurs les moyens de déchiffrer les mots de passe, et un pirate ne pourrait rien faire de l'accès aux données. Par contre si tu perds tes moyens de t'authentifier chez eux (y compris par procédure de secours), tes mots de passe sont perdus à jamais. Je sais que Bitwarden et 1Password suivent ce principe, mais il y en a sûrement d'autres.
De mémoire c'est aussi ce que fait LastPass, le mot de passe maître set de clé pour le cryptage de tous les autres mots de passe. Et ce mot de passe maître n'est stocké nul part chez LastPass, le seul à le connaitre c'est l'utilisateur (il est donc à la fois important qu'il soit sur, mais également mémorisable à long terme par l'utilisateur)
par Un ragoteur sans avis en Île-de-France, le Jeudi 20 Octobre 2022 à 08h08  
Oui, un fichier, tout seul dans une mémoire, on peut évidement le manipuler et en faire tout ce que l'on veut. Même le dupliquer, pour l'attaquer avec plusieurs machines en parallèles.

C'est pour ça que, pour ce protégé de la brut force, le moyen efficace est de passé par un intermédiaire intelligent, qui lui contrôlera les accès et les tentatives.
Typique à un gestionnaire de mots de passes. Mais je pensais aussi à un hypothétique Reader tout-en-un, qui encrypte lui-même les data, selon sa propre clé complexe, et qui le déchiffre et permet sa consultation en échange de "1234" ou n'importe quelle mdp bidon, mais aux tentatives limités.

Mais un tel Reader nuirait fortement à l'interopérabilité des fichiers. Ça ressemblerait vite à un truc proprio.
Mais finalement, c'est pas le principe des Systèmes de Fichiers chiffrés? Pour VeraCrypt (ou en tout cas son ancêtre TrueCrypt, mais je ne pense pas que ça ai changé ), le mot de passe ne sert pas directement au chiffrage du volume, mais à donner accès à la clé, qui elle a servi au chiffrage des blocs. Et tout ça se passe en interne, transparent pour l'utilisateur.

Alors si on connait les protocoles qui ont servis au chiffrage du volume, on peut toujours tenter une brute force sur le disque. Mais la clé interne qui a été utilisé doit être immensément plus complexe. Je leur souhaite bien du plaisir, avec leur armée de 4090 TI
par Nicolas D., le Jeudi 20 Octobre 2022 à 04h06  
par Sosombre en Provence-Alpes-Côte d'Azur le Mercredi 19 Octobre 2022 à 12h07
Je pense qu'avoir un fichier texte pour les utilisateurs lambda fait tout aussi bien.
C'est le principe du gestionnaire, en rajoutant un master mot de passe pour éviter la récupération trop facile si votre disque dur n'est pas chiffré.

Les questions de timeout n'ont pas lieu ici : il est question de brute-forcer un fichier sur lequel on ne possède pas la clef ; pas un login sur un site web distant (rien que pour le délai du réseau, le temps de crack explose !) ni un logiciel proposant une entrée (dans ce cas, on suppose que le hacker a su retrouver où était stockée la clef afin de s'affranchir de la limite purement logicielle). D'où la remarque d'UpsiloNIX : aucun protocole ne permet de s'assurer que, quelle que soit son implémentation, il faut forcément attendre entre deux essais de clef différentes... Et je pense même que ce n'est par design pas possible sur un ordinateur classique.
par Une ragoteuse à forte poitrine embusqué, le Mercredi 19 Octobre 2022 à 19h35  
Et avec argon2????
par Une ragoteuse à forte poitrine embusqué, le Mercredi 19 Octobre 2022 à 19h28  
8 caracteres c est equivalente a 64 bits max. Je rigoles.
par Superubu, le Mercredi 19 Octobre 2022 à 14h27  
Eh ben, j'espère que ça ne va pas à nouveau déclencher une ruée sur les cartes graphiques pour créer des clusters de hacking à grande échelle...
par Un ragoteur sans avis en Île-de-France, le Mercredi 19 Octobre 2022 à 14h16  
par UpsiloNIX le Mercredi 19 Octobre 2022 à 13h56
Une clé qui impose un délai ? Quelle techno fait ça ?
Lis mieux
Une applis, qui fournis une clé longue, en échange d'une clé courte, mais aux tentatives espacées (et limitées)
Typiquement un gestionnaire de mdp. Mais je ne sais pas si il est courant d'y intégrer un délais et une limite aux essais.
par UpsiloNIX, le Mercredi 19 Octobre 2022 à 13h56  
par Un ragoteur sans avis en Île-de-France le Mercredi 19 Octobre 2022 à 10h45
Suffit d'imposer un délai entre chaque tentatives. Et pour les fichiers hors lignes, générer une clé par une appli, qui elle impose un délai.
On verra si ils le craquent encore en une heure
Une clé qui impose un délai ? Quelle techno fait ça ?

A noter qu'ici on ne parle pas de chiffrement mais de hash, en hors ligne (cas du dump d'une BDD par exemple) c'est compliqué à ralentir (certains algo permettent une itération mais c'est pas une solution miracle)
par dismuter, le Mercredi 19 Octobre 2022 à 12h36  
par Sosombre en Provence-Alpes-Côte d'Azur le Mercredi 19 Octobre 2022 à 12h07
- Ils peuvent être la cible de virus qui vise spécifiquement les gestionnaires de mot de passe (sauvegardé sur la machine) pour en extraire les données
C'est relativement peu probable. Déjà c'est assez compliqué aujourd'hui d'infecter un PC, ensuite le virus doit pouvoir contourner les précautions du gestionnaire de mot de passe, et tout cet effort risque d'être peu utile si le virus se fait connaître. De toute façon même sans gestionnaire de mot de passe, un virus qui obtient les droits administrateur sur un PC serait capable de récolter ceux saisis dans les formulaires d'authentification des sites web en observant l'activité dans le navigateur.
par dismuter, le Mercredi 19 Octobre 2022 à 12h24  
par Sosombre en Provence-Alpes-Côte d'Azur le Mercredi 19 Octobre 2022 à 12h07
- Ils peuvent se faire piratéer (c'est arrivé cet été pour "Last Pass", bien que aucune info perso à fuité )!
C'est pourquoi il faut en choisir un avec chiffrement bout-à-bout et à divulgation nulle de connaissance (zero-knowledge). Ainsi ils n'ont jamais sur leurs serveurs les moyens de déchiffrer les mots de passe, et un pirate ne pourrait rien faire de l'accès aux données. Par contre si tu perds tes moyens de t'authentifier chez eux (y compris par procédure de secours), tes mots de passe sont perdus à jamais. Je sais que Bitwarden et 1Password suivent ce principe, mais il y en a sûrement d'autres.
par Sosombre en Provence-Alpes-Côte d'Azur, le Mercredi 19 Octobre 2022 à 12h07  
Je suis pas certain qu'un gestionnaire de mot de passe, en dehors de l'aspect pratique de pouvoir sauvegarder un long mot de passe ailleurs que sur un bout de papier, soit très sécurisé :
- Ils peuvent se faire piraté (c'est arrivé cet été pour "Last Pass", bien que aucune info perso à fuité )!
- Ils peuvent être la cible de virus qui vise spécifiquement les gestionnaires de mot de passe (sauvegardé sur la machine) pour en extraire les données

Je pense qu'avoir un fichier texte pour les utilisateurs lambda fait tout aussi bien.

Et, toujours dans le " brut force ", (le passage en force pour casser un mot de passe), c'est vrai quand y'a aucun délais ou tentative maximum.
C'est pas tellement que la carte sois impressionnante sur ce sujet, c'est que les protection de certain domaines sont exécrable
par Un ragoteur sans avis en Île-de-France, le Mercredi 19 Octobre 2022 à 11h22  
En théorie, c'est 6h par carte
un grand lien tout pourri