Hive Systems a passé au crible l’ensemble des fuites de données répertoriées sur le site HaveIBeenPwned depuis 2007 et chaque année, l’entreprise spécialisée dans la cyber-sécurité, met à jour son tableau déterminant le temps qu’il faut à un hacker pour casser un mot de passe par une attaque brute force.
Optez pour un mot de passe long et complexe
La longueur et la complexité d’un mot de passe reste un facteur déterminant pour juger de sa robustesse. Ainsi, le mélange de lettres en minuscules, en majuscules, de chiffres et de caractères spéciaux compliqueront la tâche à un hacker tentant de le « deviner » au moyen d’une attaque.
L’attaque par brute force consiste à tester systématiquement toutes les combinaisons possibles jusqu’à trouver la bonne. Elle nécessite non seulement un logiciel d’automatisation, mais aussi une puissance de calcul élevée prise en charge par des GPU. Dans son tableau, Hive Systems se base sur une configuration matérielle composée de 12 cartes graphiques RTX 5090.
Hive Systems explique avoir mis ces chiffres en corrélation avec l’algorithme de chiffrement bcrypt, employé notamment par Dropbox, Ethereum, ou MyFitnessPal.
8 caractères au minimum
Dans ces conditions, les mots de passe constitués de seulement 4 caractères, quels qu’ils soient, peuvent être craqués instantanément. Il ne faudrait pas plus de deux semaines pour en récupérer un de 6 composants complexes composés de chiffres, de lettres majuscules et minuscules et de sigles spéciaux. Plus globalement, Hive Systems estime qu’en dessous de 8 caractères, le mot de passe ne sera pas assez sécurisé.
À en juger par le tableau, avec la technologie d’aujourd’hui, si vous voulez être tranquille quelque temps – 791 ans – tout en retenant facilement votre mot de passe, il faudra opter pour une alternance de 9 lettres majuscules et minuscules. Mais bien entendu, avec l’avancée des cartes graphiques et de l’intelligence artificielle, d’ici à quelques années, il faudra le renforcer…
Bien évidemment, ce genre de tableau est à prendre avec des pincettes puisqu’il semblerait qu’en comparaison à celui de l’année dernière, le temps de « cassage » soit moins élevé cette année sur les combinaisons complexes. À configuration égale, en 2024, il fallait 11 milliards d’années pour trouver un mot de passe complexe de 13 signes, contre 275 milliards d’années en 2025. En revanche, la menace est bien plus grande sur les mots de passe simples. Cette année, les analystes estiment que 10 combinaisons peuvent être cassées instantanément, contre 4 en 2024.
Un gestionnaire de mots de passe reste bien évidemment la meilleure recommandation. Disponibles sur l’ensemble des plateformes, ces derniers peuvent générer des combinaisons complexes accessibles en un clic tout en gérant la double authentification et les passkeys.
Source: clubic
