Une nouvelle étude remet en cause les mots de passe de moins de 8 caractères

24 mars 2022 à 11h43
15
Mot de passe

Huit caractères, c'est le nombre clé que vous ne devez absolument pas oublier lorsque vous créez ou modifiez l'un de vos mots de passe.

Toutefois, la dernière étude en date de Hive Systems évoque que le mot de passe idéal pour mettre en déroute les pirates du Web serait un mélange dix-huit chiffres, lettres et symboles.

Une minute par caractère pour le pirate moyen

Les piratages de mots de passe sont aujourd'hui monnaie courante, et le risque est encore plus grand lorsque nous réutilisons un même moyen d'authentification pour plusieurs comptes. Pour pallier ce problème, la dernière étude de Hive Systems, une compagnie de cybersécurité basée aux Etats-Unis, conseille de bannir tous les mots de passe qui comprennent moins de huit caractères.

Pour appuyer son propos, Hive Systems présente un tableau illustrant le temps moyen pris par un hacker pour pirater votre mot de passe suivant son degré de complexité. On constate ainsi qu'un mot de passe de quatre caractères composé uniquement de chiffres peut être quasi instantanément trouvé par un pirate malavisé ; en revanche, il faudrait huit heures à un hacker au niveau de compétence moyen pour trouver une composition de huit caractères mêlant chiffres, lettres et symboles. Privilégiant la prudence, Hive Systems a quelques suggestions pour complexifier encore la tâche des pirates.

Une vie éternelle ne suffirait pas avec un mot de passe ultra complexe

Rendre vos mots de passe plus complexes et toujours plus longs est une solution idoine. Reste la question de la mémorisation : pour vous aider à ne pas oublier ces précieuses données, un gestionnaire de mots de passe constitue évidemment un compagnon idéal.

L'intérêt de tout cela ? Le fait qu'il faille, selon Hive Systems, environ 438 milliards d'années (!) à un pirate, même expérimenté, pour venir à bout d'un mot de passe de dix-huit caractères employant des lettres majuscules et minuscules, des symboles et des chiffres. Autant dire que pour les hackers, le jeu n'en vaut pas vraiment la chandelle.

Les conclusions de Hive Systems sont corroborées par un comité d'experts du National Institute of Standards and Technology, qui appelle à éviter d'employer des mots de passe contenant moins de huit caractères et relativement simples. Si vous ne voulez pas aller jusqu'aux dix-huit caractères recommandés, Hive Systems ajoute qu'un mot de passe contenant onze caractères dont des lettres, des chiffres et des symboles divers, prend déjà en moyenne l'équivalent de trente-quatre ans pour être déchiffré.

Un bon compromis, d'autant plus si on respecte les cinq règles clé pour générer un mot de passe vraiment solide .

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
15
13
MisterDams
Il faut surtout multiplier les verrous sur les tentatives successives… Ajout d’un captcha, temps minimum avant un nouvel essai, envoi d’un email avant d’autoriser une nouvelle tentative.<br /> La plupart des mots de passe en danger le sont soit en base de données car stockés en clair, dans ce cas on peut mettre 120 caractères que ça changera rien, soit par le bruteforce et on peut le prévenir.<br /> En pratique, même un code à 6 caractères pourrait être sécurisé…
nrik_1584
MisterDams:<br /> La plupart des mots de passe en danger le sont soit en base de données car stockés en clair, dans ce cas on peut mettre 120 caractères que ça changera rien, soit par le bruteforce et on peut le prévenir.<br /> Le post-it aussi. Ne jamais oublier le post-it collé sur l’écran ou le clavier.
jvachez
Mais l’étude oublie de préciser qu’un mot de passe complexe ne doit être utilisé que s’il y a des données vraiment sensibles c’est à dire en gros de numéros de CB.<br /> L’étude ne précise pas que tous les sites qui forcent à utiliser des mots de passe complexes pour pas grand chose, fragilisent l’ensemble du système.<br /> L’humain ne peut pas retenir beaucoup de mots de passe complexes. Du coup les données vraiment sensibles se retrouvent avec les mêmes mots de passe que les données non sensibles à cause de ce forçage systématique de mot de passe complexe.
Blap
Ce n’est pas le sujet la, on parle de cracker le hash d’un mot de passe. Donc hors-ligne après avoir déjà récupéré la base de donnée avec les mots de passes hashés.<br /> Il n’y a donc aucun moyen de mettre de temps d’attente entre les essais, toute la puissance de ta machine est déployée (37+ millions d’essais par secondes avec une RTX 3080)
Blap
Justement l’etude souligne que c’est dangereux parce que les gens utilisent le meme mot de passe sur tous les sites. Il suffit d’en craquer un sur un petit site pas très sécurisé pour récupérer tes identifiants sur un site plus sensible. Et les gens faisant ca n’ont pas attendu les longs mots de passes pour faire ca.<br /> Au contraire avoir des mots de passes très long/complexes incite a avoir un mot de passe different partout notamment grace a l’adoption de gestionnaires de mots de passes<br /> D’ailleurs pour la CB la plupart des sites de banques ne sécurisent pas correctement leurs accès au compte en forçant un mot de passe pourri avec uniquement 6 chiffres, tout en bloquant les gestionnaires de mots de passes. Du pain béni pour les hackeurs.
Blap
D’ailleurs en lisant l’etude on remarque que si un site est mieux codé (ou codé correctement) avec un meilleur hashing + salting, pour hacker un mot de passe complexe de 8 caractères ca prendrai 400 ans avec une RTX3080 ou 36 ans avec 8 GPU super puissants.<br /> Mais bon… encore faut-il que les sites suivent les bonnes pratiques et se mettent a jour<br /> 1500×986 390 KB<br />
Francis7
1 bn years, ça veut dire quoi ? Un million d’années ? Et bien c’est bon pour moi alors. Dès fois ça peut être aussi 400 ans.<br /> Pour la CB en ligne, la banque envoie un SécuriPass à usage unique par SMS à valider ensuite avec un SécuriCode fixe envoyé par courrier postal.<br /> Même s’il y a un problème de livraison, les sites sont honnêtes et vous remboursent en peu de temps.
userresu
Je pense que « bn » signifie « billion » ; c’est à dire « milliard » en Anglais
max6
Bah j’ai même eu un fichier excel appelé mot de passe sur le bureau alors plus rien ne étonne le tout sur un widows paramétré pour démarrer la session sans avoir à mettre le mot de passe et sur un portable avec le wake on lan activé comme quoi on peut y arriver
max6
d’ou les gestionnaires de mots de passe avec un seul mot maître à retenir
nicgrover
Et si l’on utilise les caractères accentués de la langue française le défit doit en être largement augmenté. Sauf que bon nombre de sites n’autorisent pas ces caractères et c’est bien dommage. La majorité des hackers n’étant pas francophone cela nous protègerait mieux à mon humble avis.<br /> Les mots de passe chinois, indonésiens ou encore arabes sont-ils souvent hackés ?
kurdy34
Je ne comprends pas comment ils calculent ces durées? Ils se basent sur quoi? Sur un laptop? Sur une tour de gamer? Sur 150 serveurs de 112 vcpu chacun loues sur Google cloud?<br /> Je veux bien que l’expérience de l’attaquant influe un peu sur le résultat mais je suppose que c’est plus l’investissement qui compte non quand on parle de bruteforce non?
Jetto
En clair ou pas les mots de passe ne devrait jamais être utilisés pour servir de preuve que le secret est connu de personnes à authentification.<br /> L’authentification doit reposer sur une preuve nulle de divulgation de connaissances. De cette façon le service qui authentifie ne sait rien du secret.<br /> Mais cela ne règles pas du tout le problème des attaques par force brute, n’y d’autres faiblesses comme les interceptions à la source.
Jice06
Bizarre qu’on ne parle pas du 2FA…voir MFA
arnaques_tutoriels_aide_informatique_tests
Lol…Dans un bdd, normalement si le dev est pas trop débile (et surtout pas un véreux), les Pwd seront hashes…avec une protection + ou - importantes…et c très simple de mettre en place ce hashe…<br /> Pour l’autre pts, c’est jouable.
Voir tous les messages sur le forum

Lectures liées

Twitter veut quand même conclure son rachat par Elon Musk
Twitter : Elon Musk et ses partenaires proposent 33,5 milliards de dollars en cash pour l’acquisition
Shopping en 3D, pubs sur YouTube Shorts... Les dernières annonces marketing de Google
Voici le campus flambant neuf de Google qui peut accueillir 4 000 personnes
Bill Gates n'utilise pas le Microsoft Surface Duo, découvrez le téléphone qu'il utilise
Google dépose le bilan en Russie
Spams sur Twitter : et si Elon Musk avait raison ?
Surprise ! Elon Musk laisse entendre qu'il pourrait racheter Twitter, mais pour moins cher
Impression 3D : MakerBot et Ultimaker s’unissent
Google Pay pourrait vous indiquer quelle est la carte la plus intéressante à utiliser lors de vos achats
Haut de page