Une nouvelle étude remet en cause les mots de passe de moins de 8 caractères

Publié le 24 mars 2022 à 11h43

Huit caractères, c'est le nombre clé que vous ne devez absolument pas oublier lorsque vous créez ou modifiez l'un de vos mots de passe.

Toutefois, la dernière étude en date de Hive Systems évoque que le mot de passe idéal pour mettre en déroute les pirates du Web serait un mélange dix-huit chiffres, lettres et symboles.

Une minute par caractère pour le pirate moyen

Les piratages de mots de passe sont aujourd'hui monnaie courante, et le risque est encore plus grand lorsque nous réutilisons un même moyen d'authentification pour plusieurs comptes. Pour pallier ce problème, la dernière étude de Hive Systems, une compagnie de cybersécurité basée aux Etats-Unis, conseille de bannir tous les mots de passe qui comprennent moins de huit caractères.

Pour appuyer son propos, Hive Systems présente un tableau illustrant le temps moyen pris par un hacker pour pirater votre mot de passe suivant son degré de complexité. On constate ainsi qu'un mot de passe de quatre caractères composé uniquement de chiffres peut être quasi instantanément trouvé par un pirate malavisé ; en revanche, il faudrait huit heures à un hacker au niveau de compétence moyen pour trouver une composition de huit caractères mêlant chiffres, lettres et symboles. Privilégiant la prudence, Hive Systems a quelques suggestions pour complexifier encore la tâche des pirates.

Une vie éternelle ne suffirait pas avec un mot de passe ultra complexe

Rendre vos mots de passe plus complexes et toujours plus longs est une solution idoine. Reste la question de la mémorisation : pour vous aider à ne pas oublier ces précieuses données, un gestionnaire de mots de passe constitue évidemment un compagnon idéal.

L'intérêt de tout cela ? Le fait qu'il faille, selon Hive Systems, environ 438 milliards d'années (!) à un pirate, même expérimenté, pour venir à bout d'un mot de passe de dix-huit caractères employant des lettres majuscules et minuscules, des symboles et des chiffres. Autant dire que pour les hackers, le jeu n'en vaut pas vraiment la chandelle.

Les conclusions de Hive Systems sont corroborées par un comité d'experts du National Institute of Standards and Technology, qui appelle à éviter d'employer des mots de passe contenant moins de huit caractères et relativement simples. Si vous ne voulez pas aller jusqu'aux dix-huit caractères recommandés, Hive Systems ajoute qu'un mot de passe contenant onze caractères dont des lettres, des chiffres et des symboles divers, prend déjà en moyenne l'équivalent de trente-quatre ans pour être déchiffré.

Un bon compromis, d'autant plus si on respecte les cinq règles clé pour générer un mot de passe vraiment solide.

Sur le même sujet :
Vous êtes le vrai problème de sécurité de votre ordinateur, comment le protéger ?

Sources : NIST Special Publication 800-63B , CNBC

Par Thibaut Keutchayan

Je m'intéresse notamment aux problématiques liant nouvelles technologies et politique tout en m'ouvrant à l'immense diversité des sujets que propose le monde de la tech' quand je ne suis pas en train de taper dans un ballon.

Articles de Thibaut Keutchayan

Cybersécurité

Logiciels & services

Actualités mots de passe / authentification

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

MisterDams

Il faut surtout multiplier les verrous sur les tentatives successives… Ajout d’un captcha, temps minimum avant un nouvel essai, envoi d’un email avant d’autoriser une nouvelle tentative.

La plupart des mots de passe en danger le sont soit en base de données car stockés en clair, dans ce cas on peut mettre 120 caractères que ça changera rien, soit par le bruteforce et on peut le prévenir.

En pratique, même un code à 6 caractères pourrait être sécurisé…

nrik_1584

Le post-it aussi. Ne jamais oublier le post-it collé sur l’écran ou le clavier.

jvachez

Mais l’étude oublie de préciser qu’un mot de passe complexe ne doit être utilisé que s’il y a des données vraiment sensibles c’est à dire en gros de numéros de CB.
L’étude ne précise pas que tous les sites qui forcent à utiliser des mots de passe complexes pour pas grand chose, fragilisent l’ensemble du système.
L’humain ne peut pas retenir beaucoup de mots de passe complexes. Du coup les données vraiment sensibles se retrouvent avec les mêmes mots de passe que les données non sensibles à cause de ce forçage systématique de mot de passe complexe.

Blap

Ce n’est pas le sujet la, on parle de cracker le hash d’un mot de passe. Donc hors-ligne après avoir déjà récupéré la base de donnée avec les mots de passes hashés.
Il n’y a donc aucun moyen de mettre de temps d’attente entre les essais, toute la puissance de ta machine est déployée (37+ millions d’essais par secondes avec une RTX 3080)

Blap

Justement l’etude souligne que c’est dangereux parce que les gens utilisent le meme mot de passe sur tous les sites. Il suffit d’en craquer un sur un petit site pas très sécurisé pour récupérer tes identifiants sur un site plus sensible. Et les gens faisant ca n’ont pas attendu les longs mots de passes pour faire ca.
Au contraire avoir des mots de passes très long/complexes incite a avoir un mot de passe different partout notamment grace a l’adoption de gestionnaires de mots de passes

D’ailleurs pour la CB la plupart des sites de banques ne sécurisent pas correctement leurs accès au compte en forçant un mot de passe pourri avec uniquement 6 chiffres, tout en bloquant les gestionnaires de mots de passes. Du pain béni pour les hackeurs.

Blap

D’ailleurs en lisant l’etude on remarque que si un site est mieux codé (ou codé correctement) avec un meilleur hashing + salting, pour hacker un mot de passe complexe de 8 caractères ca prendrai 400 ans avec une RTX3080 ou 36 ans avec 8 GPU super puissants.

Mais bon… encore faut-il que les sites suivent les bonnes pratiques et se mettent a jour

Francis7

1 bn years, ça veut dire quoi ? Un million d’années ? Et bien c’est bon pour moi alors. Dès fois ça peut être aussi 400 ans.

Pour la CB en ligne, la banque envoie un SécuriPass à usage unique par SMS à valider ensuite avec un SécuriCode fixe envoyé par courrier postal.

Même s’il y a un problème de livraison, les sites sont honnêtes et vous remboursent en peu de temps.

userresu

Je pense que « bn » signifie « billion » ; c’est à dire « milliard » en Anglais

max6

Bah j’ai même eu un fichier excel appelé mot de passe sur le bureau alors plus rien ne étonne le tout sur un widows paramétré pour démarrer la session sans avoir à mettre le mot de passe et sur un portable avec le wake on lan activé comme quoi on peut y arriver

max6

d’ou les gestionnaires de mots de passe avec un seul mot maître à retenir