• [^] # Re: C'est alléchant mais

    Posté par (site web personnel, Mastodon) . En réponse au journal Mon gestionnaire de mots de passe, en 50 lignes de HTML. Évalué à 6. Dernière modification le 11 février 2024 à 22:29.

    C'est sûr qu'il faut que le mot de passe maître soit fort, puisque tout repose sur lui. En l'occurrence, dans le mot de passe que j'ai choisi, il y a 20 caractères alphanumériques essentiellement aléatoires, donc (26 ×ばつ 2 + 10)^{20} = 62^{20} ≈ 10^{35} possibilités. D'après Wikipédia, 2022 a marqué le franchissement de la barre des 10^{18} flops par un superordinateur. Si ce superordinateur cherchait une préimage de mon mot de passe haché à raison d'un essai par flop (vitesse hautement irréaliste, il faudrait plutôt quelques centaines de flops sans doute, mais on n'est pas à 2 ou 3 ordres de grandeur près dans ce genre de calcul), il lui faudrait autour de 10^{17} secondes pour tester toutes les possibilités. Par comparaison, une année fait dans les 10^7 secondes. Il faudrait donc dans les dizaines de milliards d'années. Je pense qu'on est pas mal.

    Ce n'est pas pour rien qu'on utilise le SHA256 (et ses cousins comme le SHA512) en cryptographie. Trouver une préimage est complètement hors de portée à l'heure actuelle. Par exemple, Git est en train de passer au SHA256 pour calculer les identifiants des commits et autres (c'est SHA1 par défaut aujourd'hui, mais SHA1 a des vulnérabilités connues).