En 2024, combien de temps faut-il pour casser un mot de passe ?
L'entreprise Hive Systems a mis en ligne la nouvelle version de son étude permettant de connaître le temps nécessaire pour "brute forcer" un mot de passe, c'est-à-dire le casser, le deviner quoi ! Alors vos mots de passe sont-ils en vert ? Réponse dans cet article !
Sommaire
L'algorithme bcrypt et le matériel utilisé pour les tests
Avant d'évoquer les résultats et cette fameuse matrice "Password Table", évoquons la méthodologie utilisée par les équipes de Hive Systems. Jusqu'ici, les tests étaient effectués sur des hashs de mots de passe chiffrés avec l'algorithme MD5 : ce qui n'était pas cohérent et représentatif, car il est obsolète. Mais, si Hive Systems se basait sur cet algorithme, c'est parce qu'il était encore massivement utilisé. Désormais, la "Password Table" indique le temps qu'il faut pour casser un mot de passe chiffré avec bcrypt, et non md5.
"MD5 a régné en maître pendant plusieurs années, mais bcrypt a pris la tête en 2020, 2021, 2023 et, jusqu'à présent, en 2024.", ce qui justifie le fait de basculer de md5 vers bcrypt.
Le matériel utilisé reste le même entre cette édition 2024 et l'édition 2023 : 12 cartes graphiques (GPU) RTX 4090, ce qui représente une puissance très élevée ! Hive Systems estime a fait le choix de ce matériel, car c'est "la meilleure configuration matérielle accessible au grand public." - En complément, des résultats sont donnés pour des configurations beaucoup plus musclées basées sur des GPU A100, notamment utilisées pour l'IA.
Oubliez les mots de passe de 8 caractères
À partir de différentes configurations matérielles, d'une simple RTX 2080 à une configuration monstrueuse de 10 000 GPU A100 (ChatGPT), Hive Systems a essayé de casser des mots de passe de 8 caractères plus ou moins complexes, aussi bien avec le md5 que le bcrypt. Ces résultats prouvent que le bcrypt est plus robuste que le md5, mais il montre aussi les limites des mots de passe de 8 caractères.
Voici le comparatif, avec md5 au-dessus, et bcrypt en dessous :
La matrice Password Table de 2024
Alors, en 2024, combien de temps faut-il pour casser un mot de passe ? Bien entendu, cela dépend de la longueur de ce mot de passe et du type de caractère.
Pour être "dans le vert", selon la matrice d'Hive Systems, le mot de passe doit être d'au moins 13 caractères et utiliser 4 types de caractère (nombres, majuscules, minuscules et symboles) car il faudra 11 milliards d'années pour le casser. Il faudra surement beaucoup moins de temps avec du matériel encore plus performant.
Au-delà des types de caractère, cette matrice met en avant l'importance de la longueur des mots de passe. Un mot de passe de 14 caractères, avec uniquement des lettres minuscules et majuscules, sera cassé en 766 000 années. Pour utiliser seulement ces deux types de caractère et "être dans le vert", comptez 17 caractères minimum : c'est facilement atteignable avec une passphrase.
Voici la fameuse matrice de 2024 :
Vous pouvez accéder à l'étude complète et au téléchargement en haute définition de cette Password Table en visitant cette page.
Une nouvelle fois, ce type d'étude m'encourage à vous recommander l'utilisation de passphrases plutôt que de mots de passe.
Que pensez-vous de cette étude ?
Bonjour,
En comparaison avec le tableau de 2023 (même fournisseur), il faut plus de temps pour casser un mot de passe de 8 caractères en 2024 : j’ai un doute sur les chiffres !
Mot de passe 8 caractères
En 2023 (min+maj) : 28 sec
En 2024 (mon+maj) : 8 mois
Bonjour,
Je pense que tu prends référence en 2023 au tableau avec md5 et en 2024 avec bcrypt
Il devient urgent que tout le monde se rende compte de l’importance d’avoir un bon mot de passe.
Je vois trop souvent des gens avec des mots de passes très très faibles, « brute forçable » instantanément, dire « de toute façon, je n’ai rien à cacher ». Ce n’est pas une question de choses à cacher, c’est une question de sécurité des données personnelles.
Pour ceux qui ne savent pas quoi mettre comme mot de passe, ouvrez un livre à une page au hasard, puis prenez une phrase qui vous plait et utilisez la comme mot de passe maitre d’un gestionnaire de mots de passes, qui vous permettra de générer des mots de passes complexes que vous n’aurez pas à apprendre !
Bonjour,
J’ai du mail à comprendre tout ces tableaux. C’est bien le même cabinet qui les publie ?
Pour 8 caractères majuscules, minuscules, chiffres et caractères spéciaux :
– Dans le premier tableau : 1 seconde
– Dans le second tableau : 5 jours
– Dans le troisième tableau : 7 ans
Qui dit vrai ? 🙂
Bonjour Samuel,
– Le premier tableau sont des mots de passe de 8 caractères chiffré en MD5. On prend la valeur avec une RTX 4090 cela prendrait 59min (majuscule, minuscule, chiffre, et caractère spécial).
– Le second tableau sont des mots de passe de 8 caractères chiffré en BCRYPT. On prend la valeur avec une RTX 4090 cela prendrait 99 ans (majuscule, minuscule, chiffre, et caractère spécial).
– Le troisième tableau sont des mots de passe entre 4 et 18 caractères (on va prendre 8 caractère pour l’exemple) chiffré en BCRYPT. Par contre le test n’a pas été réalisé avec une RTX 4090 mais avec 12 RTX 4090 mise à la suite les unes des autres pour plus de puissance de calcul. C’est pour cela que l’on obtient que 7 ans au lieu de 99 ans.
Donc tout les tableaux disent vrais. Il faut juste prendre les bonnes références.