Les mots de passe à 8 caractères deviennent dangereusement facile à pirater pour les hackers

Samir Rahmoune
09 mai 2024 à 15h01
11
Des identifiants d'un compte affichés © Song_about_summer/Shutterstock
Des identifiants d'un compte affichés © Song_about_summer/Shutterstock

D'après un nouveau rapport, le mot de passe habituel à huit caractères serait devenu trop simple à cracker pour les pirates. Ce qui doit pousser les utilisateurs à changer leurs habitudes.

Pendant près de deux décennies, protéger un compte sur internet requérait simplement un mot de passe. Si l'utilisateur était assez malin, et évitait d'utiliser les mots de passe malheureusement trop évidents qui restent très populaires pour produire un mot de passe complexe, il se mettait en partie en sécurité. Malheureusement, l'amélioration de la technologie a rendu ce genre de protection nettement insuffisant aujourd'hui, comme l'explique un nouveau rapport réalisé par Hive Systems.

Les mots de passe à 8 caractères bientôt obsolètes

Les spécialistes de la cybersécurité de Hive Systems sont formels : les mots de passe à huit caractères ne servent plus à grand-chose. Car dorénavant, avec la puissance des puces disponibles sur le marché, n'importe quel mot de passe avec aussi peu de caractères peut être déchiffré en moins d'une heure (en utilisant une carte graphique GeForce RTX 4090 de Nvidia).

Le rapport explique ainsi que combiner des caractères au hasard, en ajoutant des majuscules et des caractères spéciaux, ne change rien à l'affaire. C'est le nombre trop faible de caractères qui est fautif. Ainsi, si l'utilisateur venait à doubler ce nombre pour son mot de passe, et créait un identifiant complexe cette fois de 16 caractères, il faudrait plusieurs milliards d'années pour les mêmes machines afin de cracker le mot de passe.

© Pexels
© Pexels

Faut-il basculer définitivement vers les passkeys ?

Autant dire que la situation va devenir de plus en plus difficile pour les internautes. Car il n'est pas aisé de se souvenir d'un mot de passe aussi long, qui doit quelques fois même être changé. Pour se protéger, il devient ainsi nécessaire d'intégrer des couches de sécurité supplémentaires, comme l'authentification à double facteur. Ou bien passer au nouveau modèle à la mode : les passkeys.

En effet, ces derniers, en utilisant une clé publique, et une clé privée directement générée en local par un appareil, permettent de garantir un niveau de sécurité supérieur, tout en maintenant une certaine facilité d'usage. Ce système tend d'ailleurs à se généraliser, et à être disponible dans de plus en plus de grandes applications comme WhatsApp, X, ou bien les comptes Google.

Meilleur gestionnaire de mots de passe, le comparatif en mai 2024
A découvrir
Meilleur gestionnaire de mots de passe, le comparatif en mai 2024
30 avr. 2024 à 14:11
Comparatifs services

Source : France Info

Samir Rahmoune

Samir Rahmoune

Journaliste tech, spécialisé dans l'impact des hautes technologies sur les relations internationales. Je suis passionné par toutes les nouveautés dans le domaine (Blockchain, IA, quantique...), les q...

Lire d'autres articles

Journaliste tech, spécialisé dans l'impact des hautes technologies sur les relations internationales. Je suis passionné par toutes les nouveautés dans le domaine (Blockchain, IA, quantique...), les questions énergétiques, et l'astronomie. Souvent un pied en Asie, et toujours prêt à enfiler les gants.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (11)

dredd
Deux articles à une heure d’intervalle pour nous dire la meme chose en moins bien ???<br /> Au moins, Melina partait de la source direct (Hive Systems) et la citait. Là, c’est den la seconde main via France Info. Soit il y a un truc qui m’échappe, soit ça manque de sérieux.
ovancantfort
Cet article ne veut rien dire. Tout dépend de ce qui se passe derrière le mot de passe. Si un sel de 1000 caractères y est ajouté et suivi de plusieurs millions d’ itérations de hachage, le temps pour tester tous les mots de passe sera prohibitif, même avec ce genre de carte.<br /> Cela milite surtout pour que les algorithmes de vérification soient adaptés la technologie du jour.
bizbiz
Bientôt il faudra quadrupler le code ANSI et se faire pousser des doigts pour effectuer les combinaisons de touches .
Habilis
Je ne comprends pas comment ils le crackent en 1 heure ? Ils ont le hash à leur disposition ?<br /> Parce que s’il y a une tempo entre tentatives, et un nombre de tentatives maxi, je vois mal ça fait en une heure.
Hikarunogo
Ça ne concerne que les sites qui n’ont pas limité le nombre de tentatives.<br /> Dans un précédent article que vous avez publié il y a un an, c’était plutôt quelques secondes pour 8 caractères.
Rainforce
Moi je suis mentaliste, pas besoin d’un Hash ou d’une 4090
mcbenny
Je pense qu’il y a un léger abus de langage ici. 1 heure doit permettre de «&nbsp;générer&nbsp;» toutes les combinaisons possibles de chaines a 8 caractères. Pas de les «&nbsp;tester&nbsp;» effectivement.<br /> Et au delà de la limitation du nombre de tentatives dans un certain délai, l’implémentation de décryptage lent des mots de passe est un must. SI une machine met 1 seconde a vérifier le mot de passe propose, c’est autant de temps de perdu quand tu veux en tester des milliers.
StephaneGotcha
On part du principe totalement faux que le site/l’application sur lequel on va faire de la force brute, va répondre instantanément et surtout à des millions de tentatives pour un même login sans broncher …
Ezeta
Très bien utilisons une passkey très complexe et unique… comme ça quand on se fait piquer la clef privée on se fait pirater tous les accès d’un coup.
danicela
Il faudrait surtout que les sites bloquent le nombre de tentatives ou mettent un tempo entre 2 énièmes tentatives.
xryl
Logiquement, cette information manque sa source: si tu as récupéré une base de données de mots de passe hashés, alors trouver le mot de passe source avec un RTX 4090 ne prendrait plus qu’une heure. Il manque l’algorithme de hashage et de dérivation de mots de passe (PBKDF2, et autres). Ensuite, le fait d’ajouter un caractère (techniquement, soit 127 fois plus de temps, puisque les caractères autorisés sont rarement en Unicode, il y a donc 127 possibilités pour le nouveau caractère), ne devrait prendre que 127 heures de plus (et dans la pratique beaucoup moins). Ce qui prouve que même à 9 caractères, ce n’est plus suffisant, ni à 10 (2 ans de plus), mais à 11 minimum.
Voir tous les messages sur le forum

Top gestionnaires de mot de passe

NordPass
NordPass Voir l'offre
Dashlane
Dashlane Voir l'offre
1Password
1Password Voir l'offre

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Gestionnaires de mots de passe : que dire sur la gestion des clés d’identification (passkeys) ? Gestionnaires de mots de passe : que dire sur la gestion des clés d’identification (passkeys) ?
Vous utilisez LastPass ? Le gestionnaire vous conseille de changer au plus vite votre mot de passe principal Vous utilisez LastPass ? Le gestionnaire vous conseille de changer au plus vite votre mot de passe principal
Stockage en ligne : comment activer l'authentification à deux facteurs ? Stockage en ligne : comment activer l'authentification à deux facteurs ?
Comment retrouver ses mots de passe Wi-Fi ? Comment retrouver ses mots de passe Wi-Fi ?
NordPass vs Dashlane : quel est le meilleur en termes de sécurité ? NordPass vs Dashlane : quel est le meilleur en termes de sécurité ?