<  Blog

Qu'est-ce qu'un mot de passe fort ?

Un mot de passe qui contient des caractères spéciaux ? Oui et non. C'est en fait sa taille qui compte le plus. Explications.

La force d’un mot de passe correspond au temps qu’un pirate mettra en moyenne pour le trouver.

Quelques exemples :

  • Si vous utilisez le mot de passe “123456“, le pirate le trouvera immédiatement car c’est le mot de passe le plus utilisé au monde, et c’est donc le premier mot de passe qu’il testera.
  • Si vous utilisez une information personnelle (date de naissance, prénom d’un enfant, nom de la ville où vous passez vos vacances), votre mot de passe sera également très facile à deviner car ces informations peuvent être trouvées facilement sur internet.

Les différentes techniques de piratage

Cas théorique : attaque par force brute

Prenons le cas théorique d’un pirate pas très malin qui souhaite trouver le mot de passe que vous utilisez sur un site en testant chaque mot de passe possible un par un. Évidemment, il ne fait pas cela manuellement, il utilise un script qui peut tester un très grand nombre de mots de passe par seconde.

Le nombre N de mots de passe de longueur L qu’on peut former à partir d’un nombre C de caractères différents est N=C^L. Par exemple, le nombre de mots de passe de 5 caractères ne contenant que des lettres minuscules (26 lettres) est 26^5 = 11 881 376.

En moyenne, le pirate devra tester la moitié des mots de passe avant de trouver le bon (après en avoir testé la moitié, il a plus de chance d’avoir déjà trouvé le mot de passe que de ne pas l’avoir déjà trouvé). Le nombre de tests que le pirate devra faire est donc C^L/2.

La question est de savoir combien de mots de passe le pirate peut tester par secondes. Cela dépendra de plusieurs conditions, de la puissance de calcul du pirate, du mode de stockage du mot de passe, mais prenons pour l’exemple le cas d’un pirate utilisant un ordinateur moderne. Cet ordinateur possède 8 coeurs tournant à 2.6 GHz. Il peut donc effectuer grossièrement 20 milliards de tests par seconde dans les meilleures conditions. Les pirates les plus organisés auront probablement des puissances de calcul 10000 fois plus élevées. On obtient alors les temps de cassage suivants :

Temps requis pour extraire un mot de passe à partir d’un hash par force brute
Nombre de caractèresChiffres seulement (10 car.)Lettres minuscules (26 car.)Lettres minuscules et majuscules (52 car.)Chiffres, lettres minuscules et majuscules (62 car.)Symboles, chiffres, lettres minuscules et majuscules (90 car.)
4InstantanémentInstantanémentInstantanémentInstantanémentInstantanément
5InstantanémentInstantanémentInstantanémentInstantanémentInstantanément
6InstantanémentInstantanémentInstantanémentInstantanément1 ms
7InstantanémentInstantanément3 ms9 ms120 ms
8InstantanémentInstantanément134 ms546 ms11 s
9Instantanément14 ms7 s34 s16 min
10Instantanément353 ms6 min35 min1 j
11Instantanément9 s5.2 h1.5 j3mois
123 ms4 min11.3 j3.1mois22 ans
1325 ms1.7 h2 ans16 ans2 000 ans
14250 ms1.9 j84 ans983 ans181 000 ans
153 s1.6mois4 000 ans61 000 ans16 M d'années
1625 s3 ans227 000 ans4 M d'années1 Mrd d'années
174 min90 ans12 M d'années234 M d'années132 Mrd d'années

Si vous partez d’un mot de passe à 9 caractères alphanumériques c’est à dire sans caractères spéciaux (résistance 33 secondes), il est plus efficace de rajouter un dixième caractère (résistance 35 minutes) que de remplacer un caractère dans le mot de passe par un caractère spécial (résistance 2 minutes).

Un bon mot de passe doit aujourd’hui contenir au moins 12 caractères alphanumériques et spéciaux.C’est d’ailleurs ce que recommandent les agences étatiques, comme l’ANSSI en France.

Un mot de passe de 16 caractères contenant des caractères alphanumériques sera très fort, même si le pirate est un million de fois plus puissant que l’hypothèse que nous avons prise(ça couterait très très cher d’avoir autant de puissance de calcul...)

Évidemment, moins un mot de passe permet d’accéder à des ressources sensibles, moins le pirate a d’intérêt économique à le hacker et plus vous pouvez en théorie vous permettre de le choisir faible.

Cas réel : attaque par dictionnaire

En pratique les pirates utilisent rarement la force brute car il existe une technique beaucoup plus efficace : l’attaque par dictionnaire. L’idée est simple, plutôt que de tester les mots de passe de façon aléatoire, le pirate utilise des listes de mots de passe qui ont déjà fuité. Ces listes contiennent plusieurs centaines de millions de mots de passe réellement utilisés par des internautes et triés par nombre d’occurence. Le pirate va donc commencer par tester le mot de passe le plus utilisé du monde, c’est-à-dire “123456”. Puis il va tester “123456789”, puis “azerty”, etc. Si vous utilisez l’un de ces mots de passe, c’est vraiment que vous cherchez les problèmes.

Le cybercriminel teste ensuite des variantes de ces mots de passe, avec les mécanismes classiques de remplacement de lettre par des chiffres ou symboles.Par exemple, un a devient un @, un o devient un 0, etc. Sont également testés les mots de passe composés de suites, tels que abcd, 1234, azerty, ou avec une racine comportant le nom du site ou des informations personnelles.

Avec cette technique, même un mot de passe assez long et complexe peut ne pas être assez fort… Le mot de passeP@$$w0rd! est donc à pein plus fort que le mot de passe password.

Comment rendre son mot de passe “fort” ?

Bien qu’un mot de passe soit toujours cassable, il est heureusement possible de limiter et ralentir ces attaques. Voici quelques solutions efficaces pour renforcer vos mots de passe et éviter ces intrusions.

Utilisez idéalement des mots de passe aléatoires et longs

L’idéal est bien sûr d’utiliser un générateur de mot de passe aléatoire. Ce type de mot de passe est insensible à une attaque par dictionnaire et le hacker doit donc utiliser la force brute, ce qui est totalement rédhibitoire car le mot de passe généré sera par ailleurs souvent très long. Ce type de mot de passe rend obligatoire l’utilisation d’un coffre-fort de mot de passe car ils sont impossibles à retenir.

Et pour des mots de passe forts mais faciles à mémoriser

Les techniques suivantes génèrent des mots de passe plus faciles à mémoriser, plus forts qu’un code habituel mais moins qu’un mot de passe aléatoire. Elles sont adaptées notamment pour les mots de passe de session Windows et le mot de passe maître de votre coffre-fort de mots de passe.

Les phrases de passe

Dans le cas où vous avez besoin de mémoriser vous-mêmes votre mot de passe, vous pouvez utiliser la technique de la phrase de passe. L’idée est d’associer des mots divers, avec ou sans espace, pour constituer une suite de caractères. Dans l’idéal, votre phrase doit contenir 4 mots et 15 caractères au minimum. À éviter : les citations célèbres et expressions. Une phrase de passe ressemblerait à : bureaufeutreplanterideau.

La simplification d’une phrase

Une autre technique permettant de générer des mots de passe relativement forts est de partir d’une phrase assez longue et de choisir les initiales ou des écritures phonétiques des mots de cette phrase. Par exemple, partons de la phrase « Voici un mot de passe contenant des caractères spéciaux et des chiffres. ». Cela pourrait donner le mot de passe suivant : « V1m2pcdcs&dc ».

En pratique, utilisez une phrase qui n’est pas une citation célèbre et qui aboutit à un mot de passe contenant une combinaison de tous les caractères pour que votre mot de passe remplissent les critères habituels exigés par les sites. Ce genre de mots de passe est probablement légèrement plus difficile à taper que ceux de la méthode précédente, mais est en théorie plus fort qu’une phrase de passe.

Conclusion

Retenez que la meilleure façon d’obtenir un mot de passe fort est d’utiliser un générateur de mot de passe aléatoire et de choisir une longueur supérieure à 16.

Évidemment, cela suppose l’utilisation d’un coffre-fort de mots de passe comme UpSignOn pour les enregistrer.

<  Blog