Force du mot de passe : -
Temps nécessaire pour deviner votre mot de passe : -
Composition du mot de passe :
- Au moins 10 caractères
- Minuscule
- Majuscule
- Chiffre
- Symbole (# ? @ ...)
Testez la solidité de votre mot de passe et découvrez combien de temps un hacker mettrait pour le craquer par force brute. Le calcul repose sur l’étude de Hive Systems (édition 2025), un leader dans l’analyse des risques liés aux mots de passe.
Comment est calculé le temps de craquage d’un mot de passe ?
L’estimation repose sur une attaque par force brute, où un pirate teste toutes les combinaisons possibles jusqu’à trouver celle qui correspond. Ces calculs prennent en compte les performances d’un attaquant équipé de 12 cartes graphiques RTX 5090, simulant une puissance de calcul très élevée.
L’algorithme utilisé est bcrypt, configuré avec une force de 10 (soit 32 768 itérations de hachage). C’est une méthode de hachage lente, couramment utilisée pour stocker des mots de passe sur les serveurs modernes.
Le temps de craquage varie en fonction de l’algorithme utilisé et de sa complexité. Dans notre cas, bcrypt avec une force de 10 est relativement robuste. À l’inverse, un mot de passe haché avec un algorithme plus faible, comme MD5 (qui a longtemps été très utilisé), serait craqué beaucoup plus rapidement. Le choix de l’algorithme influence donc fortement le niveau de sécurité : un mot de passe stocké avec bcrypt mettra beaucoup plus de temps à être cassé qu’un hachage MD5.
- Matériel utilisé : 12 × RTX 5090
- Algorithme de hachage : bcrypt (10)
- Année de référence : 2025
- Source : Hive Systems
Comment les hackers cassent-ils les mots de passe ?
Les mots de passe ne sont pas stockés en clair dans les bases de données. Ils sont hachés, c’est-à-dire convertis en une suite de caractères unique, illisible et irréversible.
Par exemple, le mot de passe “mdp123” devient 5a7e42bc6e6f87048ca5d5fe55b0d1eb s’il est haché avec l’algorithme MD5.
Un hachage est une opération à sens unique : il est impossible de retrouver le mot de passe original à partir de sa version hachée. Les hackers “craquent” les mots de passe en testant des millions de combinaisons, puis en comparant leurs hachages avec ceux figurant dans les bases de données compromises.
L’objectif d’une attaque par force brute est de générer toutes les combinaisons possibles jusqu’à ce qu’une correspondance soit trouvée.
Les principales méthodes de craquage
- Attaque par force brute : test de toutes les combinaisons possibles.
- Attaque par dictionnaire : test de mots issus de listes courantes (prénoms, mots de passe fréquemment utilisés, etc.).
- Attaque par tables rainbow : pré-calcul de hachages pour des mots de passe simples.
- Attaque hybride : combinaison d’un dictionnaire avec des variations (ex. : « azerty » → « Az3rty! »).
Pourquoi la puissance matérielle est cruciale ?
Un ordinateur moyen peut tester quelques milliers de hachages par seconde. Mais avec des cartes graphiques modernes (GPU) comme celles utilisées par Hive Systems (NVIDIA RTX 5090), ce chiffre atteint plusieurs milliards par seconde. C’est pour cela que la vitesse de craquage dépend fortement du matériel utilisé.
Le logiciel open-source Hashcat, par exemple, permet d’effectuer ce type de test avec différents algorithmes (bcrypt, SHA256, MD5…) à grande vitesse en utilisant les GPU.
Un ordinateur standard peut tester quelques milliers de hachages par seconde. En revanche, du matériel qui a entraîné ChatGPT-4, ce chiffre atteint plusieurs milliards par seconde.
C’est pourquoi la vitesse de craquage dépend énormément du matériel utilisé.
Le logiciel open source Hashcat, par exemple, permet d’effectuer ce type de test avec différents algorithmes (bcrypt, SHA256, MD5, etc.) à très grande vitesse, en exploitant la puissance des GPU.
Conclusion pour un mot de passe fort
Plus votre mot de passe est :
- Long
- Varié (majuscules, minuscules, chiffres, symboles)
- Aléatoire
- Différent pour chaque site (n’utilisez jamais le même mot de passe partout)
- Utiliser un générateur de mots de passe
… plus il est difficile à craquer et moins les risques se propagent en cas de fuite.