Developpez.com - Rubrique Sécurité

Le Club des Développeurs et IT Pro

La force globale d'un mot de passe augmente de manière exponentielle à l'ajout d'un caractère supplémentaire

Il faudrait 34.000 ans pour craquer un code à 12 caractères différents

Le 2021-12-29 06:36:09, par Sandra Coret, Communiqués de presse
La société de recherche de données en ligne Statista a partagé un graphique, basé sur les données de SecurityOrg, sur la façon dont l'ajout de différentes lettres à un mot de passe peut le rendre presque impossible à craquer.

Selon les données, les mots de passe tels que 123456 ou "qwerty", qui sont deux des mots de passe les plus utilisés dans le monde, ne devraient plus être privilégiés par personne. Les chercheurs ont ajouté qu'en comparaison avec ces deux mots de passe, si un utilisateur décide de créer un code d'accès unique et fort, celui-ci pourrait même être craqué par un ordinateur programmé travaillant systématiquement dans le seul but de le casser.

Les spécialistes de SecurityOrg ont partagé quelques informations utiles. D'après leurs données, si un utilisateur ajoute une seule lettre majuscule à son code d'accès, la force globale de celui-ci peut être modifiée de manière exponentielle. Un code d'accès à 8 chiffres peut être détruit par un ordinateur en 22 minutes seulement. Auparavant, si l'utilisateur n'avait pas utilisé la lettre majuscule, l'ordinateur aurait pu accomplir la tâche en une seconde seulement. De se faire craquer en une seconde à ajouter 22 minutes au temps, voilà ce que peut faire une majuscule supplémentaire.

Même un délai de 22 minutes est inacceptable, et un tel mot de passe n'est pas considéré comme fiable. Si une minuscule est ajoutée au mot de passe, la force est à nouveau multipliée, et maintenant le temps est étiré de 22 minutes à 60 minutes. Si un symbole supplémentaire est également ajouté, le temps nécessaire augmentera de 8 heures.


L'ajout de lettres majuscules et minuscules, de chiffres et de symboles pourrait prendre des années pour être craqué par un système programmé. Un mot de passe basé sur 12 caractères et comportant tous ces caractères différents pourrait prendre près de 34 000 ans à être craqué.

Avec chaque caractère supplémentaire du mot de passe, le nombre de combinaisons change à un rythme exponentiel. Un code à 8 chiffres avec des lettres minuscules comporte deux cent neuf combinaisons différentes, et si une majuscule est ajoutée, le mot de passe compte désormais 53 400 milliards de possibilités différentes. Ensuite, si un chiffre est ajouté, la possibilité est maintenant de 1 sur 218 000 milliards de cas. Enfin, si un utilisateur décide d'ajouter également un symbole, le mot de passe aura 430 000 milliards de possibilités différentes.

Source : Statista

Et vous ?

Que pensez-vous de ces données ? sont-elles pertinentes ?
Selon vous, quel est le moyen le plus sûr pour conserver ses mots de passe en toute sécurité, sans avoir à tous les mémoriser ?

Voir aussi :

Six personnes sur dix se fient à leur mémoire pour gérer efficacement leurs mots de passe, une approche incorrecte et préoccupante, selon une étude menée par Bitwarden

Pourquoi les outils d'analyse de mot de passe sont inefficaces face aux comportements humains ? Par Patrick Tilley, Product Security Engineer, chez Pathwire

Plus de la moitié des employés écrivent leurs mots de passe liés au travail sur des post-it, ce qui entraîne un risque important pour la cybersécurité, selon Keeper Security

Cybersécurité : 66 statistiques sur les mots de passe qui vont changer vos habitudes en ligne, par Panda Security
  Discussion forum
14 commentaires
  • JPLAROCHE
    Membre expérimenté
    bonjour, ce n'est qu'une remarque.

    Un jour, on a voulu sécuriser un peu plus les mots de passe AS400, en conséquence nous avons à la base d'un algorithme généré des mots passe plus complexe.
    Résultat, ils ont copié les mots de passe sur divers supports et mis dans leurs tiroirs.
    Cela m'a laissé dubitatif.
    le 30/12/2021 à 10:03
  • 23JFK
    Membre expert
    J'aime bien passer des plombes à saisir mes mots-de-passe, et c'est encore mieux quand je fais une erreur. C'est pourquoi ils ne font jamais moins de 17 caractères parfois 40 pour l'interface des systèmes qui le permettent (trop rarement).
    le 29/12/2021 à 16:56
  • ijk-ref
    Membre éclairé
    Envoyé par Anselme45
    C'est faux! Il faudrait 34.000 ans pour tester tous les cas possibles, nuance importante!
    ... avec la technologie actuelle.

    Dans 25 ans il suffira de 4 mois pour faire un calcul demandant 34 000 ans aujourd'hui (loi de Moore)
    le 30/12/2021 à 0:20
  • vanquish
    Membre chevronné
    La sécurité tient autant au mot de passe qu'au système qui le vérifie.
    Pour rappel, un code carte bleu c'est 4 caractères et que des chiffres.

    Donc en plus des 12 caractères, il faut - à chaque fois que c'est possible - imposer une durée entre 2 essais.
    Déjà bloquer l'accès 1h ou 2h après 25 tentatives : soit c'est une attaques, soit il vaut mieux laisser l'utilisateur laisser reposer son cerveau (il va se rappeler tout seul qu'il a a changé son mot de passe avant-hier ou qu'il réalise qu'il est en majuscules).

    Mais même avant : le temps de réaliser qu'il y a eu un refus, de remettre le focus sur le champs de saisie, de taper son mot de passe, de cliquer sur valider, même un Jedi va mettre plus de 2 secondes. Obliger à une pause de 2 secondes entre 2 tentatives va être totalement transparente pour l'utilisateur, mais empêchera une attaque par force brut.

    Je ne comprend pas que ce genre de mesure ne soit pas systématique, partout où c'est possible.

    Envoyé par 23JFK
    J'aime bien passer des plombes à saisir mes mots-de-passe, et c'est encore mieux quand je fais une erreur. C'est pourquoi ils ne font jamais moins de 17 caractères parfois 40 pour l'interface des systèmes qui le permettent (trop rarement).
    C'est la quantité le problème.
    Pour certaines choses hyper sensible, comme mon e-mail principal qui permet de ré-initialiser tous les autres mots de passe , j'ai des mots de passe très long que je n'ai aucun mal à mémoriser ni à taper, même si je n'ai pas mon gestionnaire de mdp.

    A l'instant, je sors au hasard une BD de la bibliothèque qui est derrière moi : c'est un Thorgal : Les yeux de Tanatloc par Rosinski et Van Hamme.
    J'en fait
    TGL:LydT-R0V@
    14 caractères.
    Quand je les tape je récite mentalement le nom de la BD.
    Ca marche avec des romans, des films, le vers d'une chanson, une réplique culte (Lcçht.C'emàçq'olr).
    le 30/12/2021 à 9:21
  • tabouret
    Membre éprouvé
    Envoyé par 23JFK
    J'aime bien passer des plombes à saisir mes mots-de-passe, et c'est encore mieux quand je fais une erreur. C'est pourquoi ils ne font jamais moins de 17 caractères parfois 40 pour l'interface des systèmes qui le permettent (trop rarement).
    Mot de passe aléatoire j’espère

    Déjà la longueur d'un mot de passe seul ça ne veut rien dire. Mets moi du 12 caractères aléatoire avec NTLM et je te craque ça en 5 minutes chrono via une bonne EC2 (j'avais craqué une base NTDS Active directory entière en quelques minutes sur AWS).

    Ce même mot de passe aléatoire en AES-256 et la c'est même pas la peine d'y penser. 34000 ans ou 1 milliards d'années ou 10 secondes, tout dépend de l'algorithme qu'il y a derrière, la longueur d'un mot de passe seul ne veut rien dire.

    Ensuite le mieux est de passer par un gestionnaire de mot de passe avec double authentification, avec un mot de passe maître de 14/16 caractères pas degueu.
    le 30/12/2021 à 11:31
  • ijk-ref
    Membre éclairé
    Envoyé par JPLAROCHE
    (...) Résultat, ils ont copié les mots de passe sur divers supports et mis dans leurs tiroirs.
    Ne pas s'attendre à ce résultat c'est méconnaître grandement l'humain. Aucunes solutions laissant taper les mots de passe par des humains ne peuvent être viables car ça finit toujours par quelque chose de similaire.
    le 30/12/2021 à 14:53
  • tabouret
    Membre éprouvé
    Envoyé par JPLAROCHE
    bonjour, ce n'est qu'une remarque.

    Un jour, on a voulu sécuriser un peu plus les mots de passe AS400, en conséquence nous avons à la base d'un algorithme généré des mots passe plus complexe.
    Résultat, ils ont copié les mots de passe sur divers supports et mis dans leurs tiroirs.
    Cela m'a laissé dubitatif.
    Si je vois ça je pète un plomb
    le 30/12/2021 à 11:31
  • Bonjour,

    Que pensez-vous de ces données ?
    Chiffres interessants. C'est vertigineux comme proba.

    Selon vous, quel est le moyen le plus sûr pour conserver ses mots de passe en toute sécurité, sans avoir à tous les mémoriser ?
    La passphrase . Retenir 2 à 5 passphrases, puis pour les autres mdp "moins sensible", c'est que les applis ne sont pas utilisables depuis l’extérieur. Il reste le bloc note partagé

    Je dirai plutôt qu'il n'y a pas de politique "unique" .

    Le mieux étant de compléter les systèmes avec des tempos et séquençages d'essais. Au délà on se fait jeter après X essais infructueux.
    le 29/12/2021 à 20:22
  • JP CASSOU
    Membre confirmé
    La solution: Une clef physique (lecteur de carte, clé USB)
    le 30/12/2021 à 12:56
  • 23JFK
    Membre expert
    Envoyé par tabouret
    Mot de passe aléatoire j’espère ...
    Bien sûr, faut bien faire travailler sa mémoire. La longueur d'un mot de passe peut par ailleurs empêcher quelqu'un de retenir votre séquence en regardant par dessus votre épaule. Pour ce qui concerne leur crackage, cela dépend de l'algo employé, mais si le code de validation prend en compte la longueur du mot de passe ou plusieurs hashcodes de recombinaisons du mdp ,et pas seulement un hashcode unique, il vous faudra une bonne cafetière pour tenir les milliers d'années nécessaire au crackage.
    le 30/12/2021 à 23:30
  Poster une réponse