Pourquoi un mot de passe devrait contenir au moins 8 caractères ?
Les mots de passe simples et courts peuvent être piratés en quelques secondes. En revanche, ceux qui sont longs et complexes nécessitent des milliards d’années, selon une étude récente de Hive Systems, une entreprise de cybersécurité basée à Richmond, en Virginie. L’étude analyse le temps probable qu’un pirate informatique moyen mettrait pour craquer les mots de passe protégeant vos comptes en ligne les plus importants.
Les temps de piratage en fonction de la complexité des mots de passe
Les résultats suggèrent qu’un mot de passe de 8 caractères, même avec une combinaison variée de chiffres, de lettres majuscules, de lettres minuscules et de symboles, pourrait être craqué en huit heures par le pirate informatique moyen. Tout mot de passe plus court ou moins complexe pourrait être déchiffré en quelques minutes, voire instantanément, par un pirate compétent, même s’il utilise un équipement basique.
En revanche, un mot de passe de 18 caractères, avec un mélange de chiffres, de lettres minuscules et majuscules, ainsi que de symboles, pourrait prendre jusqu’à 438 billions d’années pour être craqué par un pirate informatique moyen, selon Hive Systems.
L’entreprise a créé un graphique coloré illustrant la vitesse de piratage potentielle de différents mots de passe en fonction de leur longueur et de l’utilisation de caractères variés. Les conclusions mettent en évidence l’accélération des délais depuis 2020 grâce à une technologie plus rapide, corroborant les recommandations d’experts tels que l’Institut national des normes et de la technologie, préconisant des mots de passe complexes avec un nombre de caractères supérieur à 8.
Les performances des pirates informatiques face aux mots de passe
Dans le cadre de l’étude, Hive Systems a réalisé des tests pour évaluer la rapidité avec laquelle un pirate informatique moyen, équipé d’un matériel grand public, peut déchiffrer des mots de passe de différentes longueurs et complexités.
Les chercheurs de l’entreprise expliquent le processus de déchiffrement des mots de passe dans un article de blog. Il commence par un procédé appelé « hachage », utilisé par les sites web pour dissimuler les mots de passe stockés aux pirates informatiques. Par exemple, si vous entrez le mot « mot de passe » dans un logiciel de hachage couramment utilisé tel que MD5, vous obtiendrez la chaîne de caractères « 5f4dcc3b5aa765d61d8327deb882cf99 ».
Il est important de ne pas utiliser des mots de passe courants comme « mot de passe », qui figure parmi les plus répandus sur le dark web. Les mots de passe hachés sont irréversibles en raison des algorithmes à sens unique, mais les pirates peuvent créer des listes de toutes les combinaisons possibles de caractères, puis les hacher eux-mêmes. À ce stade, les pirates n’ont plus qu’à rechercher des correspondances des mots de passe hachés sur leur liste pour déterminer les mots de passe originaux.
Bien que complexe, ce processus peut être réalisé par tout pirate compétent avec un équipement grand public, souligne Hive Systems. C’est pourquoi la meilleure défense est d’utiliser des mots de passe longs et complexes, nécessitant le plus de temps pour être déchiffrés.
Ne jamais réutiliser vos mots de passe en ligne
Le rapport insiste également sur la nécessité de ne pas réutiliser les mots de passe pour plusieurs sites web. En cas de compromission d’un mot de passe pour un site web, cela pourrait entraîner des conséquences néfastes.
Compréhensiblement, mémoriser des mots de passe de 18 caractères à chaque connexion peut être fastidieux. Cependant, même un mot de passe de 11 caractères, avec un mélange de chiffres, de lettres majuscules et minuscules, ainsi que de symboles, pourrait prendre aux pirates informatiques 34 ans pour être déchiffré, selon les estimations de Hive Systems. Une durée certainement préférable aux huit heures ou moins nécessaires pour des mots de passe moins sécurisés.
