En combien de temps peut-on craquer votre mot de passe ?

En combien de temps peut-on craquer votre mot de passe ?

Multiplier les caractères, s’assurer d’en changer pour chaque compte… La sécurité de vos informations sur le net repose notamment sur des mots de passes sûrs.

La taille, ça compte. la société Hive Systems s’est attelée à mesurer le temps nécessaire pour retrouver un mot de passe à partir de son algorithme de sécurité le plus classique, assez souvent utilisés sur les sites Web. Selon la complexité de votre mot de passe (avec lettre en majuscules, chiffres, minuscules), la durée varie mais le facteur le plus important semble bel et bien être le nombre de caractères utilisés.

En supposant que votre mot de passe ne fasse pas partie de la liste des plus courants et qu’il soit généré aléatoirement, les hackers peuvent utiliser des ressources informatiques pour faire tourner un robot, simulant de nombreuses combinaisons pour au final trouver la bonne. Dans son étude, Hive Systems se base sur des appareils assez standard : une bonne carte graphique (Nvidia RTX 3090) ou huit cartes graphiques à 20€ sur Amazon. Soit un équipement à la portée de n’importe quel hacker à condition d’investir un minimum de fonds.

Il est communément admis qu’un mot de passe doit, pour être le plus sécurisé possible, contenir des chiffres, des lettres en majuscules et en minuscule ainsi que des caractères spéciaux. Cependant, il est nécessaire de prendre en compte le nombre de caractères : en dessous de 8 caractères, les hackers mettront moins de 40 minutes à craquer votre mot de passe pourtant jugé comme sécurisé. Au delà, la durée augmente exponentiellement à chaque caractère ajouté : passant de deux jours pour 9 signes à 5 mois pour 10 etc… Jusqu’à atteindre 1 milliard d’années pour 15 caractères respectant tous les critères cités ci-dessus. Au delà, vous êtes vraisemblablement protégés, puisque même avec des moyens plus importants, la durée de calcul reste énorme et peu rentable pour le hacker qui préfèrera passer à une autre cible.

On peut cependant noter que si vous utilisez uniquement des chiffres, la durée de décryptage reste extrêmement courte, même avec 18 caractères : environ trois semaines seulement. Un temps qui peut d’ailleurs être drastiquement réduit si les capacités du hacker sont plus importantes que celles simulées ici.  Si la perspective d’un mot de passe utilisant uniquement des lettres (majuscules et minuscules) vous paraît plus simple à retenir, il faudra cependant compter 18 caractères pour atteindre une sécurité satisfaisante. En cas de difficulté à créer des mots de passes compliqués, il peut alors être utile d’utiliser un gestionnaire de mot de passes et l’ANSSI conseille alors de définir des mots de passe de plus de 20 caractères. On n’est jamais trop prudents.