Huit caractères constituent la longueur minimale d’un mot de passe sur de nombreux sites web. Un mot de passe court est facile à craquer, mais beaucoup dépend de sa complexité.
La société de recherche américaine Hive Systems a mené une étude sur la rapidité avec laquelle les pirates informatiques peuvent craquer les mots de passe et les facteurs qui influencent cette vitesse. Il s’avère qu’un mot de passe aléatoire peut être craqué en quelques secondes, même avec une technologie grand public relativement peu coûteuse.
Combinaison impénétrable
Pour son tableau annuel des mots de passe pour 2025, Hive Systems a testé la rapidité avec laquelle un attaquant utilisant une configuration de douze GPU RTX 5090 peut découvrir des mots de passe de différentes longueurs et complexités. Le résultat est inquiétant : un mot de passe de huit caractères composé uniquement de chiffres est immédiatement craqué. Si vous utilisez également des minuscules dans ces huit caractères, cela prend trois semaines.
Pour être aussi sûr que possible, utilisez un mot de passe de dix-huit caractères avec des minuscules, des majuscules, des chiffres et des symboles. Les pirates auraient alors besoin de pas moins de 463 quintillions d’années (463 000 000 000 000 000) pour le déchiffrer. Impossible à pirater, donc.
L’IA aggrave encore la situation
Ceux qui pensent qu’un pirate ne connaît pas d’autres méthodes oublient à quelle vitesse les systèmes d’IA évoluent. Hive Systems a également testé la rapidité avec laquelle le matériel qui entraîne ChatGPT et le matériel sur lequel fonctionnent les modèles d’IA GPT-3 et -4 craquent les mots de passe. Avec ces systèmes, un mot de passe complexe de huit caractères est deviné en moins de deux mois. Un simple en moins d’une heure.
Cela est dû au matériel plus puissant et à la sécurité obsolète de certains services. Hive pointe notamment vers la violation de LastPass de 2022, où des millions de mots de passe stockés étaient insuffisamment cryptés. Un cluster GPU moderne peut facilement les briser.
Que pouvez-vous faire ?
Utilisez des mots de passe d’au moins seize caractères avec des majuscules, des chiffres et des symboles spéciaux. Mieux encore : passez aux passkeys. Ils résistent aux attaques par force brute et au phishing, écrit PCWorld. Combinez cela avec un gestionnaire de mots de passe et une authentification à deux facteurs, et vous serez déjà beaucoup plus fort.