Dans la bataille contre les pirates informatiques, l'une des lignes de défense les plus fondamentales reste la force de votre mot de passe. Cependant, tous peuvent être découverts, aussi longs soient-ils.

La société de conseil en informatique Hive Systems a publié son classement annuel analysant les temps de craquage des mots de passe de différentes longueurs et complexités. Les résultats montrent bien qu’il est plus que jamais essentiel de s’assurer d’utiliser de mots de passe longs et complexes pour garder une longueur d'avance sur les outils et techniques d'analyse de mots de passe de plus en plus puissants.

Pour l'étude, Hive Systems a testé les vitesses de craquage des mots de passe par rapport à l'algorithme de hachage bcrypt, l'une des normes de cryptage les plus robustes utilisées aujourd'hui. Ils ont utilisé du matériel comprenant 12 GPU GeForce RTX 4090 de NVIDIA ainsi que des processeurs taillés pour des datacenters.

Les mots de passe les plus faibles peuvent être craqués instantanément

Les résultats montrent clairement que les mots de passe courts et simplistes n'offrent pratiquement aucune protection contre une attaque par force brute en 2024. Un mot de passe de 8 caractères composé uniquement de chiffres pourrait être craqué en seulement 37 secondes en exploitant l'immense puissance de traitement parallèle des RTX 4090 de Nvidia. Si votre mot de passe ne comprend 6 chiffres ou seulement 4 lettres minuscules, il peut être découvert instantanément.

Le simple fait d'étendre cela à un mot de passe numérique de 16 chiffres augmente le temps de craquage à 119 ans. Lorsque vous incorporez des majuscules et des symboles dans un mot de passe de 8 caractères, il faudrait 7 ans aux pirates pour se frayer un chemin à travers toutes les combinaisons potentielles. C’est ce que recommandent généralement la plupart des sites Internet, mais il faut garder à l’esprit que plus les cartes graphiques deviennent puissantes, plus le temps craquage sera réduit.

Les mots de passe plus longs prennent plus de temps à être déchiffrés

Les nouvelles sont encore meilleures pour ceux qui utilisent des mots de passe plus longs, conformément aux recommandations modernes en matière de sécurité. Un mot de passe composé de 12 caractères aléatoires composés de majuscules, de chiffres et de symboles prendrait 164 millions d'années pour être déchiffré par des méthodes de force brute.

« Ces résultats soulignent à quel point il est essentiel d'utiliser des mots de passe aussi longs et complexes que possible », déclare Sharon Reynolds, consultante principale en sécurité chez Hive Systems. « Alors que les mots de passe de huit caractères étaient peut-être considérés comme acceptables dans le passé, le matériel moderne rend ces minima plutôt inefficaces face à des attaquants habiles ». Si un pirate est bien équipé est que votre mot de passe est assez court, il n’aura aucun de mal à le déchiffrer.

Bien entendu, les analyses supposent un scénario dans lequel les pirates ont déjà obtenu les hachages de mots de passe cryptés à la suite d'une violation ou d'une fuite. Les sites web réputés mettent également en œuvre des mesures de protection supplémentaires, telles que la limitation des tentatives de connexion, afin de décourager le forçage brutal automatisé.

Alors, quelle est donc la solution pour les utilisateurs qui souhaitent optimiser la sécurité de leurs mots de passe ? Les experts en cybersécurité recommandent d'utiliser des mots de passe uniques de 16 caractères ou plus qui intègrent un véritable mélange aléatoire de lettres majuscules et minuscules, de chiffres et de symboles.

C'est pourquoi les outils de gestion de mots de passe, qui stockent en toute sécurité et remplissent automatiquement les identifiants de connexion, sont devenus si intéressants. Cela permet d'éviter de réutiliser les mêmes mots de passe faibles d'un compte à l'autre, tout en permettant aux utilisateurs d'employer partout des mots de passe aussi robustes que possible sans avoir peur de les oublier. Les géants du numériques mettent également de plus en plus en avant les passkeys, plus sécurisées, qui vous permettent de vous identifier avec vos données biométriques.