13/05/2024
IT-Connect » Actualités » Actu Cybersécurité » En 2024, combien de temps faut-il pour casser un mot de passe ?

En 2024 combien de temps faut-il pour casser un mot de passe
Actu Cybersécurité

En 2024, combien de temps faut-il pour casser un mot de passe ?

Florian BURNEL 3 commentaires

L'entreprise Hive Systems a mis en ligne la nouvelle version de son étude permettant de connaître le temps nécessaire pour "brute forcer" un mot de passe, c'est-à-dire le casser, le deviner quoi ! Alors vos mots de passe sont-ils en vert ? Réponse dans cet article !

L'algorithme bcrypt et le matériel utilisé pour les tests

Avant d'évoquer les résultats et cette fameuse matrice "Password Table", évoquons la méthodologie utilisée par les équipes de Hive Systems. Jusqu'ici, les tests étaient effectués sur des hashs de mots de passe chiffrés avec l'algorithme MD5 : ce qui n'était pas cohérent et représentatif, car il est obsolète. Mais, si Hive Systems se basait sur cet algorithme, c'est parce qu'il était encore massivement utilisé. Désormais, la "Password Table" indique le temps qu'il faut pour casser un mot de passe chiffré avec bcrypt, et non md5.

"MD5 a régné en maître pendant plusieurs années, mais bcrypt a pris la tête en 2020, 2021, 2023 et, jusqu'à présent, en 2024.", ce qui justifie le fait de basculer de md5 vers bcrypt.

Le matériel utilisé reste le même entre cette édition 2024 et l'édition 2023 : 12 cartes graphiques (GPU) RTX 4090, ce qui représente une puissance très élevée ! Hive Systems estime a fait le choix de ce matériel, car c'est "la meilleure configuration matérielle accessible au grand public." - En complément, des résultats sont donnés pour des configurations beaucoup plus musclées basées sur des GPU A100, notamment utilisées pour l'IA.

Oubliez les mots de passe de 8 caractères

À partir de différentes configurations matérielles, d'une simple RTX 2080 à une configuration monstrueuse de 10 000 GPU A100 (ChatGPT), Hive Systems a essayé de casser des mots de passe de 8 caractères plus ou moins complexes, aussi bien avec le md5 que le bcrypt. Ces résultats prouvent que le bcrypt est plus robuste que le md5, mais il montre aussi les limites des mots de passe de 8 caractères.

Voici le comparatif, avec md5 au-dessus, et bcrypt en dessous :

Source : Hive Systems

La matrice Password Table de 2024

Alors, en 2024, combien de temps faut-il pour casser un mot de passe ? Bien entendu, cela dépend de la longueur de ce mot de passe et du type de caractère.

Pour être "dans le vert", selon la matrice d'Hive Systems, le mot de passe doit être d'au moins 13 caractères et utiliser 4 types de caractère (nombres, majuscules, minuscules et symboles) car il faudra 11 milliards d'années pour le casser. Il faudra surement beaucoup moins de temps avec du matériel encore plus performant.

Au-delà des types de caractère, cette matrice met en avant l'importance de la longueur des mots de passe. Un mot de passe de 14 caractères, avec uniquement des lettres minuscules et majuscules, sera cassé en 766 000 années. Pour utiliser seulement ces deux types de caractère et "être dans le vert", comptez 17 caractères minimum : c'est facilement atteignable avec une passphrase.

Voici la fameuse matrice de 2024 :

Combien de temps pour pirater un mot de passe en 2024

Vous pouvez accéder à l'étude complète et au téléchargement en haute définition de cette Password Table en visitant cette page.

Une nouvelle fois, ce type d'étude m'encourage à vous recommander l'utilisation de passphrases plutôt que de mots de passe.

Que pensez-vous de cette étude ?

author avatar
Florian BURNEL Co-founder
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Pwn2own : tous les navigateurs mis à mal !

Florian BURNEL 0

Cybermalveillance : mise à jour du kit de sensibilisation

Florian BURNEL 0

CVE-2022-2294 : Google corrige une faille zero-day dans Chrome

Florian BURNEL 0

3 commentaires sur “En 2024, combien de temps faut-il pour casser un mot de passe ?

  • Stéphane AUDRAIN
    24/04/2024 à 09:30
    Permalink

    Bonjour,

    En comparaison avec le tableau de 2023 (même fournisseur), il faut plus de temps pour casser un mot de passe de 8 caractères en 2024 : j’ai un doute sur les chiffres !

    Mot de passe 8 caractères
    En 2023 (min+maj) : 28 sec
    En 2024 (mon+maj) : 8 mois

    Répondre

    • Bonjour,

      Je pense que tu prends référence en 2023 au tableau avec md5 et en 2024 avec bcrypt

      Répondre

  • Il devient urgent que tout le monde se rende compte de l’importance d’avoir un bon mot de passe.
    Je vois trop souvent des gens avec des mots de passes très très faibles, « brute forçable » instantanément, dire « de toute façon, je n’ai rien à cacher ». Ce n’est pas une question de choses à cacher, c’est une question de sécurité des données personnelles.

    Pour ceux qui ne savent pas quoi mettre comme mot de passe, ouvrez un livre à une page au hasard, puis prenez une phrase qui vous plait et utilisez la comme mot de passe maitre d’un gestionnaire de mots de passes, qui vous permettra de générer des mots de passes complexes que vous n’aurez pas à apprendre !

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.