Un tableau provenant du livre Troubleshooting Windows 7 nous montre combien de temps cela prendrait pour un PC classique de cracker un mot de passe suivant sa longueur et sa complexité.
Ce livre ayant été écrit en Novembre 2010, les temps de traitement rapportés dans ce tableau doivent maintenant être plus courts mais il reste tout de même un bon indicateur. Par exemple un mot de passe de 8 caractères composé d'au moins une lettre majuscule et minuscule, de nombres et de symboles prenait à l'époque 2,25 ans à cracker. Le même mot de passe aujourd'hui ne prendrait que 57 jours à cracker.
ghacks nous propose ici son tableau avec des zones de chaleurs en rouge, jaune et vert suivant si le mot de passe est sécurisé ou non sécurisé.
Légende :
k - mille - 1.000
m - million - 1.000.000
bn - milliard - 1.000.000.000
tn - trillion - 1.000.000.000.000
qd - quadrillion - 1.000.000.000.000.000
qt - quintillion - 1.000.000.000.000.000.000
Comme ils l'expliquent dans leur article, la loi de Moore a beaucoup à voir avec les durées plus courtes qu'il faut faut pour cracker un mot de passe aujourd'hui. En 1975, Moore réévalua sa prédiction en posant que le nombre de transistors des microprocesseurs sur une puce de silicium double tous les deux ans. Et aujourd'hui avec les quad core et l'utilisation du GPU pour des calculs encore plus poussés, nous pouvons voir que nos mots de passe que nous considérions comme sécurisés ne le sont tout simplement pas.
Pour avoir un mot de passe sécurisé, il faut faire en sorte que celui-ci contienne des lettres majuscules et minuscules, des chiffres et des caractères spéciaux avec une longueur entre 10 et 14 caractères. Évitez aussi les mots de passe connus utilisés par la majorité des dictionnaires comme God par exemple et votre date de naissance qui peut être facile à deviner.
Pour savoir si votre mot de passe est sécurisé, vous avez des sites comme How Secure Is My Password qui vous permettront de rentrer votre mot de passe afin de savoir le temps que cela peut prendre pour un PC de bureau à le cracker.
Edit: Certains m'ont demandé si le site How Secure Is My Password était sécurisé ou bien si celui-ci pouvait récupérer le mot de passe que l'on rentre. Alors tout d'abord si je l'ai proposé, c'est que j'ai quand même pris le soin de vérifier comment il fonctionnait.
Toutes les requêtes qui sont faites au moment où vous entrez votre mot de passe sont faites en Javascript (côté client). Aucune requête de type POST ou XHR (ajax si vous préférez) ne sont effectuées. Il n'y a donc aucun risque que votre mot de passe soit envoyé vers le serveur. Au niveau de la connexion qui n'est pas HTTPS, c'est normal car aucune donnée chiffrée ne circule.
Pour plus d'infos, allez lire la partie Privacy Policy du site.
