🔴 French Days en direct 🔴 French Days en direct

Vous utilisez des mots de passe plus longs ? Ce n'est pourtant pas synonyme de sécurité, selon une étude

Alexandre Boero
Chargé de l'actualité de Clubic
28 septembre 2023 à 13h30
14
© Shutterstock x Clubic.com
© Shutterstock x Clubic.com

Quelle est la longueur idéale d’un mot de passe ? Est-ce que plus c’est long, mieux c’est ? Pas forcément, selon une nouvelle étude qui explore le lien entre la longueur des mots de passe et leur sécurité.

Si vous pensez que vos mots de passe sont sûrs parce qu'ils sont longs, détrompez-vous ! Une nouvelle étude issue de l'équipe de recherche de Specops remet en question cette idée reçue. En analysant quelque 800 millions de mots de passe qui ont été piratés, les chercheurs ont découvert que la longueur moyenne de ces derniers était inférieure à 12 caractères, et que 85 % d'entre eux avaient moins de 12 caractères.

Mais les chercheurs ont aussi constaté qu'une longueur de 8 caractères était la plus vulnérable, probablement parce qu'elle correspond à la longueur par défaut des mots de passe dans Active Directory, l'annuaire pour les systèmes Windows.

Un mot de passe « juste » long ne vous protège pas forcément plus qu'un mot de passe court

Parmi les mots de passe les plus compromis à 8 caractères, on trouve des mots courants comme « password » ou « research » et « GGGGGGGG ». Au total, Specops a identifié 212,5 millions de mots de passe possiblement hackés.

Par la suite, le nombre de mots de passe compromis diminue à mesure que sa longueur augmente. Mais pour autant, même s'ils paraissent plus sûrs, les mots de passe plus longs ne sont pas à l'abri des menaces. La longueur au sens strict du terme ne suffit plus. L'efficacité d'un mot de passe repose sur la diversité des caractères, la complexité et la régularité des changements. Le nombre de mots de passe compromis reste ainsi très important pour des codes à 14 caractères (67,7 millions), à 15 caractères (45,7 millions) et même à 16 caractères (31,1 millions).

Les séquences simples comme « GGGGGGGG » apparaissent toujours aussi régulièrement, ce qui montre que de nombreux internautes privilégient toujours et encore la simplicité à la sécurité.

À fuir d'urgence, sont ces mots de passe ! (Même Yoda vous le dit)
À fuir d'urgence, sont ces mots de passe ! (Même Yoda vous le dit)

Mot de passe fort et long : une première base

Cette étude peut servir de leçon : un mot de passe doit être fort et complexe, pour résister aux attaques. Mais si nous remettons (un peu) en cause ici la pertinence des mots de passe plus longs, doit-on systématiquement créer des codes à rallonge ? « La réponse est claire : absolument », nous dit Specops Software.

Nous le disions, l'immense majorité des mots de passe compromis (85 %) ont moins de 12 caractères. Les chercheurs se sont aperçus qu'un mot de passe de 12 caractères comprenant des chiffres et des caractères divers, mais aussi des majuscules et minuscules, prendrait 26 500 ans à un hacker pour le pirater. Autant dire que même Michel Drucker n'y survivrait pas ! Il faut évidemment que ce mot de passe soit haché, c'est-à-dire qu'il est converti en une chaîne alphanumérique qui le rend, contrairement au chiffrement, irréversible et donc plus sécurisé.

Taquinerie mise à part, un mot de passe de 12 caractères composé de chiffres uniquement peut être craqué, lui, instantanément. Et si jamais le mot de passe long est compromis (le phishing et les autres formes d'ingénierie sociale existent toujours malheureusement), alors il n'y a rien à faire, surtout si les attaquants mettent la main sur une base de données de mots de passe provenant d'une application en ligne ou d'un site moins sûr.

À gauche, le temps qu'il faudrait à un hacker pour cracker un mot de passe haché ; à droite, celui qu'il lui faudrait pour un mot de passe compromis © Specops
À gauche, le temps qu'il faudrait à un hacker pour cracker un mot de passe haché ; à droite, celui qu'il lui faudrait pour un mot de passe compromis © Specops

Voilà pourquoi il faut aussi bien utiliser un mot de passe long, complexe, et surtout combiner votre modeste outil de défense à une double authentification, en faisant en sorte de ne réserver qu'un seul mot de passe unique par site ou application. Car aucune stratégie de mot de passe n'est encore totalement infaillible.

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM, école reconnue par la profession), pour écrire, interviewer, filmer, monter et produire du contenu écrit, audio ou vidéo au quotidien. Quelques atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la production vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et la musique :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (14)

Jolan
La solidité des mots de passe dépend aussi - et je dirais presque surtout - du système qui le réclame.<br /> Une carte bleu ne possède qu’un mot de passe à 4 chiffres et cela ne l’empêche pas d’être très solide.<br /> Sur le système que je développe, on ne peut soumettre qu’une demande de login toutes les 2 secondes. Complètement transparent pour un utilisateur qui se serait trompé et à qui on redemanderait son authentification. Mais une armée d’ordinateur zombie ne pourrait donc soumettre que 43200 soumission par 24h. Et en réalité même pas, puisqu’au bout d’un certain nombre d’échec le compte est verrouillé pour 24h. L’attaque par force brut n’a aucune chance.<br /> Au pire cela provoquerait un deny of service.<br /> Je ne vais pas conseiller un mot de passe simple, mais avec des contre-mesures simples à l’autre bout de la ligne, on ne crack pas 12 chiffres instantanément.
e_garfield
«&nbsp;les chercheurs ont découvert que la longueur moyenne de ces derniers était inférieure à 12 caractères, et que 85 % d’entre eux avaient moins de 12 caractères.&nbsp;»<br /> Ca veut pas dire quand chose ça.<br /> «&nbsp;une longueur de 8 caractères était la plus vulnérable, probablement parce qu’elle correspond à la longueur par défaut des mots de passe dans Active Directory&nbsp;».<br /> Nan, pk c’est la plus courte de l’étude… et pas par défaut, mais minimum par défaut, donc la plus courte, donc la taille compte.<br /> «&nbsp;Par la suite, le nombre de mots de passe compromis diminue à mesure que sa longueur augmente&nbsp;».<br /> Donc la taille compte…<br /> «&nbsp;Cette étude peut servir de leçon : un mot de passe doit être fort et complexe, pour résister aux attaques&nbsp;»<br /> Vraiment, on apprend qq chose alors dis donc. Si le mot de passe est «&nbsp;fort&nbsp;», alors il est plus fort qu’un faible ! Incroyable, j’ai bien fait de me lever, la complexité fait partie de la force d’un pwd.<br /> «&nbsp;Voilà pourquoi il faut aussi bien utiliser un mot de passe long, complexe&nbsp;»<br /> Ha bon ? Moi lisant le titre, je me dis qu’un pwd de 3 lettres c’est bien mieux.<br /> Le titre est faux<br /> «&nbsp;Vous utilisez des mots de passe plus longs ? Ce n’est pourtant pas synonyme de sécurité, selon une étude&nbsp;».<br /> Bha si, c’est écrit noir sur blanc.<br /> Peut-être aurait-il fallu mettre.<br /> Vous utilisez des mots de passe longs ? Encore faut-il qu’ils soient complexex.<br /> Le contenu est a minima contradictoire avec ce titre, soit faux, ou mal expliqué.<br /> Pourtant les 2 tableaux de la fin sont assez lisible.
frigolu
Tous les systèmes se piratent, y compris le code d’une carte bancaire (le phishing et l’ingénierie sociale, l’observation, les caméras cachées aux distributeurs tout comme les faux lecteurs introduits dans les distributeurs juste pour intercepter le code, etc…). Si l’authentification à 2 facteurs s’est généralisée, avant les passkeys, c’est parce-qu’aucune protection n’est infaillible, aucune. On tente alors d’empiler plusieurs protections pour rendre la tâche un peu plus ardue. Mais avec la puissance de calcul dans le cloud disponible aujourd’hui, trouver un mot de passe devient de moins en moins long.<br /> Le standard Wifi moderne utilise WPA3, cassé depuis des années. Ce n’est pas le chiffrement qui est cassé, mais les failles du protocole qui sont exploitées. C’est pareil pour les voitures, il n’y a pas besoin de connaitre le code de l’antidémarrage, avec un branchement électronique on outrepasse ce besoin et faisant croire qu’on dispose de ce code.<br /> Après avoir été hacker entre la fin des années 80 et le milieu des années 90, j’ai travaillé plusieurs années dans la cybersécurité, et il faut se rendre à l’évidence : absolument aucune «&nbsp;protection&nbsp;», même si elle semble géniale à son inventeur, n’est infaillible. Et encore moins les protections dites «&nbsp;propriétaires&nbsp;», qui n’ont donc pas été soumises à l’analyse poussée de pairs (la base des protocoles de sécurité). Sur les voitures, c’est un fléau, les ingénieurs en cybersécurité ne cessent de mettre au point de nouvelles méthodes toujours plus complexes, mais ça reste très difficile. Avec un boitier électronique d’une centaine d’euros et un complice, on peut dupliquer à peu près n’importe quelle clé de voiture utilisant une SmartKey (qui n’est qu’un transporteur RFID), à l’insu de son propriétaire. On peut aussi lui voler sa voiture de la même manière, un complice restant à proximité du propriétaire (la portée des transporteurs étant limitée) et l’autre devant la voiture, les données de la clé étant alors transmises à distance et la voiture croit que la clé est présente, sans avoir besoin de casser le moindre code. On peut alors dupliquer la clé.<br /> Pour le web, j’ai des mots de passes complexes, les plus longs admis par les sites (jamais les mêmes trio id/mail/mdp). Le plus long fait 32 caractères. Je n’en retiens aucun, ils sont générés puis stockés par KeyPass (application open source locale). Le mot de passe de la base de données comporte 26 caractères (min/maj/caractères spéciaux), c’est le seul que j’ai à retenir. Un fichier binaire, que je suis le seul à connaitre, sert également pour chiffrer la base de données en plus de la clé. Ma base est stockée dans mon espace cloud (BackBlaze B2), pour que je puisse y accéder depuis toutes mes machines, quel que soit l’OS. Ça fait 10 ans que je fonctionne ainsi et ça fonctionne très bien.<br /> J’ai des centaines de comptes (et emails associés), très peu ont été compromis. Ceux qui l’ont été sont les plus anciens (années 90), parce-que je n’avais pas changé les mots de passe très limités de l’époque. Par exemple mon premier compte Hotmail de 1996, toujours utilisé, a été piraté facilement à cause de la grande faiblesse des mots de passe à l’époque (9 caractères alphanumériques en minuscule, pas de caractères spéciaux). Dès 1992, j’ai adopté une attitude de sécurité stricte en ligne, mais au début des années 90, le web naissant était très loin d’avoir la sécurité comme priorité.<br /> Il ne faut pas penser attaque par force brute avec une machine de bureau, mais avec des grappes de serveurs dans le cloud, ou des supercalculateurs. Casser des mots de passe devient alors beaucoup, beaucoup plus rapide.<br /> L’article se mélange les pinceaux. Oui, la taille seule ne suffit pas, il faut la taille ET la complexité pour une protection maximale (mais en aucun cas infaillible).
meromictique
tu as manqué :<br /> " doit-on systématiquement créer des codes à rallonge ? « La réponse est claire : absolument », "<br />
NumLOCK
L’article dit le contraire du titre. Next !
odyssseus
«&nbsp;’au bout d’un certain nombre d’échec le compte est verrouillé pour 24h.&nbsp;»<br /> C’est un peu bêta pour la personne qui voit son compte bloqué alors qu’elle peut en avoir besoin. Elle ne peut même pas entrer le bon mot de passe.<br /> Bloquer pour 5 mn reconductibles si re-mauvais mot de passe (ce qui est énorme pour une machine cherchant à nuire) ok, mais pas 24h. Ca n’a pas de sens.
Jice06
Les tables présenté sont sur des hash md5, ça fait une éternité que c’est obsolète !<br /> https://md5hashing.net/hash/md5<br /> qu’ils montrent le même tableau en sha256 qu’on sache la vérité.<br /> Pour en savoir un peu plus, allez au chapitre5 : hashing<br /> TryHackMe<br /> TryHackMe | Introduction to Cryptography<br /> Learn about encryption algorithms such as AES, Diffie-Hellman key exchange, hashing, PKI, and TLS.<br />
Jolan
frigolu:<br /> Tous les systèmes se piratent, y compris le code d’une carte bancaire (le phishing et l’ingénierie sociale, l’observation, les caméras cachées aux distributeurs tout comme les faux lecteurs introduits dans les distributeurs juste pour intercepter le code, etc…)<br /> Certes mais en cas de phishing, d’ingénérie sociale etc… Ce n’est plus la complexité du mot de passe qui entre en ligne de compte. La complexité du mot de passe est là pour s’opposer à la force brut. Maintenant s’il est en clair sur un post-it sous l’écran, il peut bien faire 64 caractères, cela ne changera rien. C’est certain.<br /> frigolu:<br /> Il ne faut pas penser attaque par force brute avec une machine de bureau, mais avec des grappes de serveurs dans le cloud, ou des supercalculateurs.<br /> J’ai bien parlé d’armée d’ordinateurs zombie.<br /> Mais si tu limite le nombre de tentative sur le compte pour une période donnée, que l’attaquant soit un vieux PC ou une grappe de super calculateurs ne changera rien à l’affaire.<br /> Les utilisateurs sont mal éduqué. Il faut en tenir compte dans la conception des systèmes.
Jolan
C’est arrivé 1 fois en 10 ans.<br /> Quand tu insiste encore et encore et encore et encore et encore (20 fois) avec le même mot de passe, sans passer par le système de récupération, c’est que tu as un important problème.<br /> Et pour info, la personne a contacté le support par téléphone et on a débloqué le compte en quelques minutes.
Jpp59
@jice06 , Exact, meme sha256 a lui tout seul n’est plus utilisé, on fait des 100aine de milliers de passe a la suite (pkdf2 par exemple).
Jpp59
Le PB est surtout les leak des bdd. Tu n’es pas a l’abri d’une exfiltration malveillante ou intrusion.
AlexLex14
Non, l’article ne dit pas tout et son contraire. On l’a peut-être pas suffisamment bien expliqué, et mea culpa pour ça, mais concrètement, il y a deux enseignements à retenir :<br /> Mot de passe long, oui c’est la reco’, mais elle ne prend sa pleine efficacité qu’avec les bonnes recommandations, relayées dans l’article.<br /> Un mot de passe béton même compromis, ne vaut plus grand chose. C’est une vérité.<br /> Et excusez-moi, mais je n’enfonce pas une porte ouverte en disant que la meilleure sécurité n’est pas infaillible, hein.<br /> Pour ceux qui évoquent le passwordless, on en a déjà parlé sur Clubic, et bien entendu que c’est une solution. Mais ce n’était pas le sujet ici…<br /> Ensuite, pour expliquer les autres subtilités sur les MDP, il faudrait des heures, et ce n’est pas sur un même article que vous trouverez les réponses.<br /> Il y a du bon dans ce que vous dites dans les commentaires, mais on a essayé de retranscrire au mieux ce qui était expliqué par Specops <br /> En revanche, nous creuserons un peu le sujet pour en constituer de futurs papiers/dossiers plus détaillés prochainement. Mais comme souvent, les papiers fournis, reportages, dossiers et avis d’experts ne seront, eux, pas commentés par autant de monde ni avec autant de véhémence dans le texte de votre part, et c’est ce qui est toujours dommage sur le forum de discussion La critique à géométrie variable
DuxBellorum
Évidemment que le titre est trompeur. En le lisant j’ai failli envoyer l’article à mes contacts experts en sécu. Heureusement que j’ai d’abord lu le contenu et que je me suis abstenu.<br /> Tout le monde sait que le mot de passe n’est pas la panacée, mais ce n’est pas ça que le titre remet en cause. Il remet en cause la longueur comme facteur d’importance pour la sécurité. Quant à savoir si c’est la longueur ou la complexité qui est le plus important, là dessus le titre semble apporter une réponse, le contenu démontre qu’il n’en est rien.<br /> Bref, le feu ça brûle, l’eau ça mouille, un secret dit à tout le monde c’est plus un secret, et les commentaires clubic ne critiquent que les articles clubic, comme par hasard.
KaspOu
Oui en fait c’est ça dont on parle dans le temps pour retrouver ton mot de passe en force brute.<br /> On a le hash, et en combien de temps il faut pour trouver le mot de passe originel.<br /> Et une fois qu’ils ont le couple email / mot de passe, ils l’essayent sur le site leak, et plein d’autres sites (le gmail, les réseaux etc…) pour pirater tes données.<br /> La solution la plus sécuritaire, quelle que soit la taille des mdp, est de ne jamais utiliser le même mot de passe pour tous les sites, donc soit tu génère Keypass etc…<br /> Soit tu trouve une règle d’après l’url ou le nom du site qui modifierait ton mot de passe.<br /> Car si on met le même mot de passe long partout, une fois qu’il est grillé, les hackers te pillent tous tes comptes…
Voir tous les messages sur le forum
Les tendances

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

KeePass : une vulnérabilité majeure permettrait de prendre le contrôle de vos mots de passe KeePass : une vulnérabilité majeure permettrait de prendre le contrôle de vos mots de passe
Attention à vos plugins ! Plus d'un million de sites WordPress sont infectés par des malwares Attention à vos plugins ! Plus d'un million de sites WordPress sont infectés par des malwares
Journée Mondiale du mot de passe : testez gratuitement ce gestionnaire de mots de passe premium pendant 6 mois ! Journée Mondiale du mot de passe : testez gratuitement ce gestionnaire de mots de passe premium pendant 6 mois !
Lire un livre en moins d'une minute ? Voilà de quoi est capable Claude AI, le chatbot soutenu par Google Lire un livre en moins d'une minute ? Voilà de quoi est capable Claude AI, le chatbot soutenu par Google
Vous ne tweeterez plus, vous… Vous ne tweeterez plus, vous…