Mais, comment peut-on contrer une attaque de ce genre ?

C'est très simple : le pirate va essayer plein de mots de passe, mais vraiment beaucoup, car on ne trouve pas un mot de passe aussi facilement.

Le script du pirate va essayer des centaines de mots de passe formés, soit aléatoirement, soit piochés dans une liste qu'il aura téléchargé ou préétabli. On appelle cette seconde option une attaque par dictionnaire.

Mais alors, si c'est aussi compliqué et long pour trouver un mot de passe, à quoi ça sert de s'embêter avec un système de protection ? o_O

C'est vrai, certains développeurs vous diront qu'il est inutile de mettre en place ce genre de protection, car, en théorie, il est très difficile de trouver un mot de passe complexe.

Certes, un pirate mettrait des mois à trouver un mot de passe complexe comme celui-ci : 4gf/ki-2KL@[23]. Mais qu'en est-il des mots de passe de vos membres ?

Il y a peu de chances de voir des membres utiliser ce genre de mot de passe ; certains mettront certainement des mots de passe basiques comme un prénom ou le nom de leur héros préféré. Et là, une attaque par dictionnaire le trouvera en peu de temps. Un pirate pourra alors s'amuser avec le compte d'un de vos membres et, croyez-moi, c'est sur vous et sur la réputation du site que ça retombera.

Une des solutions consiste simplement à forcer les gens à entrer un mot de passe très complexe lors de leur inscription. Cette solution n'est pas forcement celle à adopter : moins les visiteurs auront d'obstacles lors de leur inscription et de leur navigation, et meilleure sera le souvenir qu'ils garderont de votre site web.

L'auteur