La vitesse à laquelle un mot de passe peut être craqué dépend de plusieurs facteurs :
- La longueur du mot de passe
- Les types de caractères utilisés (minuscules, majuscules, chiffres, symboles)
- La puissance de l’attaquant (ordinateur personnel, cartes graphiques, ferme de calcul)
- La manière dont le mot de passe est stocké (hachage moderne ou ancien)
- Si le mot de passe figure dans des listes de mots de passe déjà divulgués
Pour illustrer l’effet de la longueur :
- 8 caractères uniquement en minuscules : quelques heures à quelques jours selon le matériel.
- 12 caractères aléatoires avec lettres, chiffres et symboles : souvent des milliers voire des millions d’années.
- 16 caractères aléatoires : pratiquement impossible avec les technologies actuelles.
Il faut aussi distinguer deux situations :
Attaque en ligne
L’attaquant essaie de se connecter au service. Les sites limitent généralement le nombre de tentatives (par exemple 5 à 10 essais avant blocage). Dans ce cas, même un mot de passe relativement simple peut prendre des années à deviner.
Attaque hors ligne
L’attaquant a obtenu une copie de la base de données des mots de passe hachés. Il peut alors tester des millions ou des milliards de combinaisons par seconde. C’est là que la qualité du mot de passe et du hachage deviennent cruciales.
Recommandation actuelle
Utilisez :
- au moins 14 à 16 caractères ;
- une phrase de passe facile à retenir mais longue (par exemple : « MonChatMange3CroissantsChaqueMatin! ») ;
- un mot de passe unique pour chaque site ;
- un gestionnaire de mots de passe.