bon, alors si on veut parler de sécurité, parlons en.
tout d'abord merci layrajha, ton exposé sur le brut force est très bien fait, je rajouterais juste que pour ce qui est du hash, md5 et sha1, voir même sha2 sont déconseillés car trop facile à décrypter. la norme actuelle est le bcrypt.
sinon, tu omets 2 vecteurs d'intrusions : le social engeneering et la connerie humaine :
- commençons par la connerie humaine : quand on veut prendre possession d'un compte, il faut d'abord tester ces mot de passe :
- azerty
- ytreza
- 123456
- 654321
- azerty123456
- 654321ytreza
- puis le nom de compte
si ça n'as pas marcher, passons à l'étape 2 :
le bruteForce (lisez le topo de layrajha plus haut)mais bon, ça peut être très long, alors pendant que le programme cherche, passons à l'étape 3 :
- le social engineering, c'est le fait de sympathisé avec toi, de te parler, de devenir presque un amis, pourquoi ? pour récupéré des informations, date de naissance, nom de famille, nom de chien, age etc ...
en ayant ces informations, vous avez 90% de chance de trouver le mot de passe avant le bruteforce.
moi, j'ai opté pour une technique facile à retenir, mais efficace :
mon mot de passe, c'est
numéro de série de ma première guitare (que j'ai vendue depuis, pour ne pas être retrouvable)+ login de site + nom de site
le tout coller et quelques mise en forme après (genre les h deviennes des #, les i des ! ...), cela me donne un mot de passe qui oscille entre 15 et 20 caractères, qui change pour chaque site, qui ne peut pas être trouvé au hasard, et qui est très long à bruteforcer.
Note : on peut très bien avoir le meilleur mot de passe au monde, et ce faire tipiaker son compte ! demandez aux gens qui ont un compte playstation store, ou linkedin, leurs mots de passe se sont retrouvé à la vue de tout le monde, pourquoi ? parce que la gestion du site à été confiée à des incompétents, qui stockent le mot de passe en clair (sans hash), dès lors, une seul faille peut foutre à poil des millions de comptes. Si lors de l'inscription, vous recevez un mail où votre mot de passe apparait clairement, si le site vous demande un mot de passe qui ne dépasse pas un certain nombre de caractère, prenez la fuite : ce site stock les mots de passe en clair.
voilà mon avis sur la question ;-)