Selon un article publié par Computer World, sur les 6,1 millions de hashes de mots passes volés à LinkedIn et publiés sur un forum pirate Russe, plus de la moitié – 3,5 millions exactement – ont déjà été cassés. Restent 2,6 millions sur lesquels de nombreux chercheurs sont déjà à l’oeuvre. Ils les ont déjà comparés à tous les mots de passe déchiffrés après les attaques de Stratfor et du site MilitarySingles.com, sans grand succès (seulement 5000 mots de passe récupérés ainsi).

Plusieurs chercheurs testent désormais des associations de mots et de phrases issus de grands classiques de la littérature (Le Magicien d’Oz, Guerre et Paix, Le conte des deux cités, L’appel de la forêt…) et même des tweets entiers. Ainsi d’éventuels mots de passe constitués d’une portion de phrases célèbres (une citation d’un ouvrage par exemple) ou apparaissant sur Twitter seraient aussi vulnérables qu’un vulgaire mot du dictionnaire.

Selon Computer World, les outils mis en oeuvre par les chercheurs sont en mesure de tester de 800 millions de combinaison par seconde jusqu’à… 5 milliards (on aimerait en savoir plus sur le matériel utilisé !)

Il semble toutefois que les mots de passe volés à LinkedIn résistent mieux que la moyenne. Seulement 50 000 de ceux restants ont été déchiffrés de la sorte. Mais l’affaire offre une excellente occasion de rappeler les deux règles essentielles du mot de passe : il doit être unique à chaque site (car dès qu’il sera volé et déchiffré il sera testé partout ailleurs) et surtout être *vraiment* varié : associer lettres, chiffres, ponctuation et casse multiple, pour former une chaîne de caractère n’existant ni dans un dictionnaire… ni désormais dans un ouvrage quelconque !