Étude : combien de temps pour pirater votre mot de passe en 2023 ?

Hive Systems, entreprise spécialisée dans les systèmes de sécurité informatique, vient de publier son tableau annuel de sécurité des mots de passe. Ce tableau décrit le temps nécessaire pour forcer un mot de passe en fonction de deux facteurs : le nombre et la nature des caractères (minuscules, majuscules, chiffres, caractères spéciaux).

Pour concevoir son tableau, Hive Systems part du principe que le hacker possède un budget modeste et qu’il réalise une attaque par force brute. Cette méthode, la plus rependue pour déchiffrer un mot de passe, consiste pour un programme à essayer une à une toutes les combinaisons possibles. Le spécialiste de la cybersécurité part également du principe que les empreintes des mots de passe sont stockées via une fonction de hachage MD5, un algorithme considéré comme obsolète mais encore utilisé par de nombreux sites web.

En dessous de 10 caractères, votre mot de passe n’est pas sécurisé

Ce n’est pas une surprise : plus les mots de passe sont longs et composés de caractères de types différents, plus ils sont sécurisés. Par exemple, un mot de passe composé uniquement de 11 chiffres sera décodé instantanément par le programme. Il en est de même pour un mot de passe de 6 caractères composé de chiffres, minuscules, majuscules et caractères spéciaux (voir tableau ci-dessus).

Globalement, le tableau démontre que tout mot de passe de 10 caractères ou moins peut être déchiffré très rapidement (en maximum deux semaines). Idéalement, il faudrait recourir à des mots de passe d’au moins 16 caractères diversifiés. Si vous avez encore des mots de passe composés de 8 caractères (le minimum demandé par beaucoup de plateformes), il est donc grand temps de les changer !

Hive Systems précise également que ce tableau concerne les mots de passe utilisés sur une seule plateforme, qui n’ont jamais été forcés et qui ne sont pas composés de mots simples. Dans la configuration contraire, le tableau ressemblerait plutôt à cela…

Le spécialiste ajoute également que le temps nécessaire pour forcer un mot de passe peut varier en fonction du nombre et de la puissance des cartes graphiques utilisées par le hacker.

Les mots de passe de moins en moins sécurisés

En comparant ce tableau avec celui de 2022, on s’aperçoit que les mots de passe peuvent être forcés de plus en plus rapidement. Par exemple, le tableau de l’année dernière considérait que 3 semaines étaient nécessaires pour forcer un mot de passe composé de 18 chiffres. La mise à jour estime que cela peut être réalisé en seulement 6 jours.

C’est également le cas pour les mots de passe les plus sécurisés. Par exemple, pour forcer un mot de passe de 11 caractères composé de chiffres, de minuscules, de majuscules et de symboles, Hive Systems estime que 3 ans sont nécessaires, contre 34 ans il y a un an. Pour une sécurité maximale, vous pouvez opter pour un mot de passe de 18 caractères de tous types : il faudra 26 trillions d’années pour le forcer.