- Le matériel moderne teste des milliards de tentatives par seconde. Les courts mots de passe ne tiennent pas.
- Chaque caractère supplémentaire multiplie le temps de cassage par la taille de votre alphabet.
- Un mot de passe aléatoire de 12 caractères avec types mélangés résiste à la force brute pour des siècles.
- Mais la force brute n'est pas l'attaque la plus fréquente. La réutilisation et l'hameçonnage comptent plus.
Vous avez probablement vu les graphiques. Huit caractères, six minutes. Douze caractères, deux siècles. Vingt caractères, plus que l'âge de l'univers.
Ces chiffres sont réels, et ils expliquent presque tout sur l'importance de la longueur. Voyons d'où viennent les nombres, ce qu'ils signifient en pratique, et pourquoi la force brute n'est pas la menace qui devrait vous inquiéter le plus.
Les calculs de base
Chaque mot de passe vit dans ce que les cryptographes appellent un espace de recherche, l'ensemble total des mots de passe possibles selon certaines règles. Plus l'espace est grand, plus la recherche est difficile.
Pour un mot de passe utilisant:
- Seulement minuscules: 26 caractères possibles par position.
- Minuscules plus majuscules: 52.
- Lettres plus chiffres: 62.
- Lettres, chiffres, et symboles courants: environ 95.
L'espace est la taille de l'alphabet à la puissance de la longueur. Donc un mot de passe minuscule de six caractères a 26 puissance 6, soit environ 309 millions de possibilités. Un mot de passe de douze caractères utilisant les 95 caractères imprimables a plus de possibilités qu'il y a d'atomes dans une petite montagne.
À quelle vitesse les attaquants cherchent
C'est ici qu'arrive le matériel. Une carte graphique moderne, comme en a un joueur, peut tester des milliards de tentatives par seconde contre un fichier de mots de passe faiblement haché. Une plateforme dédiée avec huit GPU de pointe peut tester des centaines de milliards. L'infonuagique met cela à portée de quiconque a une carte de crédit.
La vitesse dépend beaucoup du hachage utilisé. Un site avec hachages rapides comme MD5 ou SHA-1 tombe vite. Un site avec hachages lents modernes comme bcrypt ou Argon2 résiste beaucoup mieux. Vous, utilisateur, n'avez aucun contrôle là dessus. La longueur est votre couverture pour le pire scénario.
Les vrais chiffres, matériel 2025
Hive Systems publie un tableau annuel basé sur le matériel commercial actuel. La version 2025, en supposant le pire cas hachage rapide et GPU modernes, ressemble à ceci:
Ces chiffres bougent chaque année avec le matériel. La tendance reste: les courts s'affaiblissent, les longs restent sûrs.
Pourquoi tout en minuscules peut suffire, si c'est assez long
Voici qui surprend. Un mot de passe de 20 caractères entièrement en minuscules a plus d'entropie qu'un mot de passe de 8 caractères avec types mixtes et symboles. La longueur compose plus vite que la variété de caractères.
C'est le principe de la phrase de passe. Cinq mots anglais aléatoires, tirés d'une liste de 7 776 possibilités, donnent environ 64 bits d'entropie, ce qui place solidement hors de portée de la force brute. Détails dans phrase de passe vs mot de passe.
Si un mot de passe a au moins 16 caractères et n'est dans aucune base de fuite ni dictionnaire, la force brute n'est plus votre problème. C'est l'hameçonnage.
La force brute n'est pas la menace principale
Voici la partie qui n'apparaît pas sur les graphiques. Dans les rapports de violations réels, les attaques par force brute représentent une part étonnamment petite des compromissions.
Le rapport Verizon DBIR 2024 trouve la force brute dans seulement environ 2% des violations analysées. Les grandes causes sont le credential stuffing, où les attaquants utilisent des mots de passe déjà fuités contre de nouveaux sites, et l'hameçonnage, où l'utilisateur donne son mot de passe à une fausse page.
C'est pourquoi un mot de passe fort est nécessaire mais pas suffisant. Vous avez aussi besoin de:
- L'unicité, pour qu'une fuite d'un site n'ouvre pas les autres.
- Un moyen de vérifier si votre mot de passe a été exposé, couvert dans comment vérifier si votre mot de passe a été divulgué.
- L'authentification à deux facteurs, surtout sur le courriel et les comptes financiers.
Ce que ça signifie en pratique
Cessez d'essayer de jouer avec les règles de complexité. Choisissez longueur et hasard. Douze caractères de hasard vrai et types mixtes est un plancher raisonnable. Seize est confortable. Vingt est exagéré pour la plupart des choses, et c'est précisément pourquoi c'est un excellent défaut pour un générateur.
Notre générateur défaille à 20 caractères pour une raison. Cette longueur pousse la force brute bien au delà de tout horizon pratique.
Et l'informatique quantique?
Vous avez peut être lu que les ordinateurs quantiques casseront les mots de passe. La réponse honnête est plus nuancée. L'informatique quantique menace la cryptographie à clé publique, celle qui établit les connexions chiffrées. Le chiffrement symétrique et le hachage de mots de passe restent largement sûrs, avec ajustements de longueur de clé.
Pour l'instant, longueur et unicité sont les seules préoccupations qui devraient retenir votre attention. L'informatique quantique est un problème pour les cryptographes, pas pour quelqu'un qui choisit un mot de passe pour son courriel.
À retenir
Les graphiques de cassage sont utiles pour une raison: ils rendent concrets des chiffres abstraits. Ils montrent qu'un mot de passe de 8 caractères est sans espoir et qu'un de 20 est essentiellement incassable.
Ce qu'ils ne montrent pas, c'est tout le reste. Réutilisation, hameçonnage, maliciel, récupération de compte faible, appareils perdus. Un excellent mot de passe est une pièce d'un système. Réussissez le, puis passez aux autres.