Je reprenais juste la méthode d'XKCD, soit 1000 essais par seconde sur un formulaire web. Si l'attaquant a accès la base, la solidité du mot de passe n'a (presque) aucune importance, c'est le système de stockage du pass qui compte. Il y a encore des sites qui stockent en clair, c'est le pire, mais même ceux qui font du MD5 ou SHA1 + salt ne sont plus suffisants aujourd'hui, il faut aussi hasher itérativement.
[^] # Re: code PIN ?
Posté par Yusei (Mastodon) . En réponse au journal Vol de smartphone et données personnelles. Évalué à 1.
Je reprenais juste la méthode d'XKCD, soit 1000 essais par seconde sur un formulaire web. Si l'attaquant a accès la base, la solidité du mot de passe n'a (presque) aucune importance, c'est le système de stockage du pass qui compte. Il y a encore des sites qui stockent en clair, c'est le pire, mais même ceux qui font du MD5 ou SHA1 + salt ne sont plus suffisants aujourd'hui, il faut aussi hasher itérativement.