Un mot de passe ne serait efficace qu’à partir de 11 caractères

Pour conserver ses données en sécurité, au moins 11 caractères seraient nécessaires. Le mieux serait même de dépasser les 16 caractères.

Un pirate informatique peut craquer tout mot de passe à 8 caractères en moins de huit heures par force brute. Pour tout mot de passe contenant moins de sept caractères, le craquage peut se faire en quelques minutes seulement. Voilà deux des conclusions des recherches approfondies menées par la société de cybersécurité Hive Systems.

Les mots de passe, cernés par l’insécurité
Les mots de passe ne sont pas la seule méthode pour assurer la sécurité des données. Mais “un mot de passe fort et unique est le meilleur moyen de rester en sécurité en ligne”, insiste Alex Nette, PDG et fondateur de Hive Systems.

Une recherche de cette société révèle que les progrès technologiques des deux dernières années ont réduit de manière exponentielle le temps nécessaire pour craquer un mot de passe par force brute. Concrètement, en 2020, un mot de passe complexe à huit caractères pouvait être craqué en huit heures.

Comprendre le hachage
Dans le contexte des mots de passe, un “hachage” est une version brouillée du texte. En d’autres termes, si un pirate hache le mot “password” à l’aide du logiciel de hachage MD5, le hachage de sortie est 5f4dcc3b5aa765d61d8327deb882cf99.

Sur les sites web, les mots de passe des utilisateurs sont stockés dans les serveurs sous forme de hachages plutôt qu’en texte clair comme “mot de passe”. Ainsi, si quelqu’un les consulte, théoriquement pas le mot de passe réel. Toute autre personne que l’utilisateur propriétaire du mot de passe qui observe les données du site ne verra que 5f4dcc3b5aa765d61d8327deb882cf99.

Liste, combinaison, hachage et piratage
Lorsqu’ils craquent un mot de passe, les hackers dressent une liste de toutes les combinaisons de caractères du clavier de la victime, puis ils les hachent. Autrement dit, les pirates trouvent des correspondances entre cette liste et les hachages des mots de passe volés. À terme, ils sont donc capables de découvrir le véritable mot de passe, et donc d’accéder à des données personnelles.

À l’origine, les GPU servaient au chargement des images et des vidéos sur l’écran des ordinateurs. Depuis, ils sont devenus très utiles pour le minage des crypto-monnaies et le calcul des hachages. “Les cartes graphiques sont ces circuits imprimés qui dépassent de la grande carte verte de votre ordinateur. Cette carte de circuit spécial comporte, entre autres, une unité de traitement graphique (GPU)”, précise Hive Systems. À savoir que, plus la carte graphique du pirate informatique est puissante, plus ce processus de piratage est rapide.

Privilégier les gestionnaires de mots de passe
D’après Corey Neskey, vice-président du risque quantitatif chez Hive Systems, “l’option la plus sûre pour les consommateurs est d’utiliser un gestionnaire de mots de passe pour créer et stocker tous vos mots de passe“. En effet, selon Hive Systems, l’utilisation d’un gestionnaire de mots de passe pour la création et le stockage des mots de passe augmente considérablement la sûreté et la sécurité des mots de passe.

En chiffre, selon la recherche, il faudrait près de 3000 ans à un pirate pour craquer par force brute un mot de passe de 12 caractères, fruit d’un gestionnaire de mots de passe réputé.

Il convient toutefois de tempérer ces propos. La plupart des sites proposent aujourd’hui une authentification à deux facteurs, et bloquent automatiquement toute tentative de connexion après plusieurs essais. La règle primordiale reste celle-ci : ne pas utiliser le même mot de passe sur deux sites.