Votre panier est vide
Internet

Pourquoi un mot de passe doit absolument contenir plus de 8 caractères ?

Pour être vraiment sécurisé, un mot de passe doit non seulement comprendre un mélange de caractères, mais être aussi d'une certaine longueur... © bluesroad / Shutterstock

Une société de cybersécurité américaine a récemment dévoilé un tableau présentant combien de temps un mot de passe peut-être cracké selon les types, mais aussi le nombre de caractères qu’il comporte. Et figurez-vous que même une combinaison de 8 chiffres, symboles et lettres, en minuscules et en majuscules, peut être rapidement déchiffrée…

Ah, les mots de passe. C’est un sujet houleux, on le sait. Car à l’ère du numérique, on nous en demande partout, tout le temps, et la plupart des sites ou applications exigent désormais des mots de passe "forts", par définition compliqués et donc moins évidents à retenir. Fini les "azerty" ou "123456" : bien qu’ils figurent toujours, année après année, en tête des classements des pires mots de passe utilisés en France, il est vivement conseillé de les oublier définitivement et d’adopter plutôt des combinaisons contenant à la fois des chiffres et des lettres, en majuscules et en minuscules, ainsi que des symboles. Pas seulement ça, mais il faut aussi faire attention à la longueur de vos mots de passe, comme le démontre une nouvelle étude en cybersécurité.

La société américaine Hive Systems a partagé, en ce début de mois, son rapport concernant "le temps qu’il faut à un hacker pour trouver votre mot de passe par force brute en 2022". Un titre un peu long, en tout cas dans sa traduction française, qui implique d’entrée de jeu des considérations quelque peu techniques… Alors avant de rentrer dans le vif du sujet, on sort notre dictionnaire du hacker, et on révise quelques définitions. À commencer par "attaque par force brute" : ça va, c’est plutôt simple pour démarrer, puisqu’il s’agit tout simplement de la méthode consistant à tester, une à une, toutes les combinaisons possibles.

Malgré un mélange de caractères, un mot de passe pas assez long peut être cracké instantanément

Sauf que, vous vous doutez bien que les pirates ne s’amuseront pas réellement à tenter de trouver, a mano, caractère après caractère, votre mot de passe. Ils se reposent déjà sur de l’informatique, à savoir en l’occurrence des cartes graphiques qui, il s’avère, ne servent pas qu’à traiter les images mais sont aussi de plus en plus puissantes en calculs. Ensuite, il faut savoir que ce n’est pas la combinaison telle que vous l’avez écrite que les hackers vont essayer de déchiffrer, mais son empreinte numérique, qui ressemble à première vue (on dit bien à première vue…) à une série de caractères d’autant plus complexe et aléatoire. On appelle ça le hachage. Et si l’on vous raconte tout cela, c’est parce que ce sont les versions hachées des mots de passe auxquelles les hackers peuvent avoir accès, à la suite par exemple d’une fuite de données ou en piratant un site spécifique. C’est donc en crackant ces combinaisons-là, par force brute, qu’ils peuvent trouver votre "vrai" mot de passe. Et donc accéder à l’Eldorado.

Maintenant, revenons à nos moutons. Ce qu’a présenté Hive Systems dans son rapport publié le 2 mars dernier, c’est un tableau répertoriant le temps moyen enregistré pour cracker les mots de passe selon leur force. D’un côté les colonnes montrent déjà des résultats éloquents, les mots de passe ne comprenant que des chiffres étant les plus rapides à cracker, pour la plupart "instantanément", suivis de ceux ne comprenant que des lettres minuscules, puis un mélange de lettres majuscules et minuscules. Les mots de passe constitués à la fois de chiffres et de lettres en majuscules et minuscules s’en sortent déjà mieux, mais le fameux "caractère spécial", ce symbole désormais souvent demandé en prime, fait effectivement une vraie différence. Toutefois, ce que l’on apprend surtout ici, c’est que les combinaisons complexes ne suffisent pas en elles-mêmes…

39 minutes pour cracker 8 caractères, 34 ans pour 11 caractères

Dans les lignes du tableau, Hive Systems a indiqué un autre critère : la longueur des mots de passe. Et il s’avère que celui-ci est primordial en termes de sécurité. Même si vous avez fait un mélange de chiffres, de lettres et de symboles, si votre mot de passe fait seulement 6 caractères, voire moins, il peut en effet être cracké "instantanément" ! À partir d’un mélange de 8 caractères, la tâche s’avère déjà un peu plus compliquée pour les hackers, encore qu’en 39 minutes seulement le tour est joué... En réalité, un mot de passe commence à être vraiment sécurisé lorsqu’il contient un mélange d'au moins 11 caractères, une combinaison qui nécessiterait alors 34 années avant de pouvoir être déchiffrée d’après Hive Securities. Nos confrères de 01 Net rappellent d’ailleurs que l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information, recommande de son côté un minimum de 15 caractères pour établir un vrai mot de passe "fort". À en croire ce tableau établi par la société américaine, il faudrait un milliard d’années pour cracker une si longue combinaison de chiffres, de lettres et autres caractères spéciaux. C’est ce qui s’appelle en effet un mot de passe bien sécurisé.

Petite précision technique pour finir, pour voir si vous avez bien suivi la leçon... Hive Systems souligne dans son rapport que, pour établir ce tableau, elle s’est volontairement basée sur un algorithme de hachage largement considéré comme désuet, qui faisait l’affaire il y a quelques années mais ne fait plus le poids face à la puissance des GPUs (cartes graphiques) d’aujourd’hui : MD5. Pourquoi ? Parce qu’un "nombre surprenant de sites" l’utilisent encore à l’heure actuelle, souligne la société américaine. Certes ce sont généralement des sites où la sécurité paraît moins importante, Hive Systems citant par exemple "des forums ou des restaurants". Le souci, c’est que certaines (beaucoup de) personnes utilisent les mêmes mots de passe pour plusieurs comptes, y compris des plus sensibles tels qu’une messagerie privée, un portail administratif ou encore une banque en ligne… Alors en plus de faire attention non seulement à la complexité mais aussi à la longueur de vos mots de passe, on vous en conjure : n’utilisez pas le même partout !

Et pour dormir tranquille, il y a toujours l’option SFR Cybersécurité, une solution de protection complète pour tous vos appareils qui inclut notamment un gestionnaire de mots de passe 100% sécurisé. Profitez-en, en ce moment elle est proposée à seulement 1€/mois (pendant un mois, puis 5€/mois, sans engagement) sur la boutique en ligne SFR !

Sources : 01 Net, Hives Security

Jessica Rat
https://twitter.com/rat_jessica Jessica Rat Rédactrice