Il y a une raison pour laquelle la plupart des services demandent un nombre spécifique de caractères pour les mots de passe, et même des types spécifiques de caractères.
Si vous vous êtes déjà demandé pourquoi, eh bien, une entreprise de cybersécurité, Hive Systems, a décidé de partager quelques informations supplémentaires.
La plupart d’entre vous supposent probablement que c’est pour des raisons de sécurité, ce qui est une supposition sûre, mais la source a partagé plus d’informations à ce sujet. Elle a révélé combien de temps il faut à un pirate moyen pour découvrir les mots de passe que vous utilisez.
Cette information peut vous choquer.
Le temps nécessaire pour forcer un mot de passe conforme à des règles de complexité spécifiques
Si vous n’utilisez que des chiffres, un pirate peut découvrir instantanément votre mot de passe de 4 à 11 caractères
- C’est précisément la raison pour laquelle la plupart des services demandent une combinaison de différents caractères.
- Si vous n’utilisez que des lettres minuscules pour vos mots de passe, il est également très facile pour les pirates de les craquer.
- Des mots de passe dont la longueur est comprise entre 4 et 8 caractères peuvent également être craqués instantanément.
Les mots de passe de 9 caractères, qui ne contiennent que des lettres minuscules, peuvent être piratés en 3 secondes par les pirates.
Si l’on passe à 10 caractères, il leur faut environ 1 minute, tandis qu’un mot de passe de 12 caractères avec des lettres minuscules peut être découvert en 14 heures.
L’utilisation d’un mélange de lettres minuscules et majuscules n’aide pas non plus
- De tels mots de passe de 4 à 6 caractères peuvent également être craqués instantanément
- Les mots de passe qui contiennent sept de ces caractères peuvent être déchiffrés en une seconde
- Tandis que ceux qui contiennent 8, 9 et 10 caractères peuvent l’être en 28 secondes, 24 minutes et 21 heures respectivement
Si l’on passe à 11 caractères, en minuscules et en majuscules, il faudra environ un mois à un pirate pour les craquer.
Que se passe-t-il si l’on ajoute des chiffres, en plus des lettres minuscules et majuscules ?
Tout dépend de la longueur de vos mots de passe.
S’ils ne contiennent que 4 à 6 caractères, ce n’est pas sûr du tout, car ils peuvent être craqués instantanément.
Utilisez des mots de passe longs, avec tous types de caractères
- La meilleure idée est d’utiliser des mots de passe longs qui contiennent des lettres minuscules
- des lettres majuscules
- des chiffres
- et des symboles
Un mot de passe de dix lettres avec ces caractères prend environ 2 semaines à un pirate pour le découvrir.
Si vous le portez à 11 caractères, il lui faudra 3 ans pour le craquer. Donc, comme vous pouvez le constater, la différence est choquante.
Selon Hive Systems, votre mot de passe ne doit jamais contenir moins de 12 caractères et vous devez utiliser un mélange de chiffres, de lettres majuscules, de lettres minuscules et de symboles.
La société a également déclaré qu’un mot de passe de 18 caractères, utilisant des chiffres, des lettres et des symboles, prendrait jusqu’à 26 trillions d’années pour être découvert par un pirate moyen. Jetez un coup d’œil au graphique ci-dessous pour en savoir plus.
Que faire pour se défendre des attaques par force brute ?
Si vous examinez le tableau de craquage de mots de passe de Hive, qui montre le temps nécessaire pour forcer un mot de passe conforme à des règles de complexité spécifiques, vous verrez qu’un mot de passe de 8 caractères avec une combinaison de caractères complexes peut être facilement forcé en 5 minutes.
À partir de là, vous avez besoin soit d’un mot de passe de 12 caractères avec des règles de création complexes, soit de 15 caractères avec uniquement des caractères en minuscules (les mots de passe composés uniquement de chiffres sont intrinsèquement peu sûrs).
Étant donné que certains services en ligne autorise les mots de passe composés uniquement de caractères en minuscules, une longueur de 15 caractères pour les mots de passe semble optimale.
Contrer le vol des bases de données des mots de passe
En résumé, les longueurs de mots de passe ne sont pas définies pour contrer les tentatives utilisant le processus de connexion du système. Si tel était le cas, les mots de passe seraient beaucoup, beaucoup plus courts. Par exemple, si votre système verrouille les comptes après 5 tentatives échouées, alors avec un mot de passe de 4 caractères, composé uniquement de chiffres et de caractères en minuscules, vous obtenez 36^4(6) = 1.679.616(7) combinaisons possibles. Ce nombre est suffisamment élevé pour accepter le risque de 5 tentatives de connexion d’un attaquant (moins de 0,0003%(8) de probabilité de succès).
En d’autres termes, ce vecteur d’attaque (tentatives de connexion) est évalué et le contrôle de sécurité en place (limiter les tentatives à 5) est dit atténuer le risque.
Cependant, un modèle de menace qui inclut quelqu’un volant la base de données de mots de passe doit également tenir compte des attaques de pulvérisation de mots de passe ou de bourrage de données d’identification sur d’autres systèmes.
Cela est fait pour contrer les mouvements latéraux des attaquants dans le même réseau ou pour leur refuser l’accès à d’autres réseaux (car les humains ont tendance à utiliser le même mot de passe sur différents systèmes).
De fil en aiguille, nous devons limiter le rayon d’action d’un mot de passe volé
Pour ce faire, nous devons rendre difficile pour un attaquant de découvrir quel est le mot de passe ; si vous avez utilisé un mot de passe de 4 caractères, n’importe quel attaquant, avec des ressources triviales, pourrait le forcer en moins d’une seconde. C’est pourquoi vous devez utiliser des mots de passe plus longs et c’est là que :
- les longueurs de mot de passe minimales,
- la recherche pertinente,
- les moyens d’authentification alternatifs
- et les lignes directrices officielles interviennent.
Conclusion
En général, on considère que 80 bits de caractère aléatoire (entropie) constituent le minimum pour une sécurité décente.
En utilisant tous les symboles du clavier et en choisissant chaque caractère de manière totalement aléatoire, vous pouvez obtenir 80 bits d’entropie avec 13 caractères. Si l’on s’en tient aux caractères alphanumériques, il faut 14 caractères.
Personnellement, je préfère avoir plus de 120 bits d’entropie et je préfère également m’en tenir aux caractères alphanumériques, ce qui place le minimum à 21 caractères.
L’important est que chaque caractère soit choisi de manière totalement aléatoire
Le cerveau humain n’est pas doué pour faire quelque chose d’aléatoire. De même, les gens ont du mal à se souvenir des mots de passe générés au hasard et il est très important que vous ayez un mot de passe différent pour chaque système que vous utilisez.
La solution la plus simple consiste à utiliser un gestionnaire de mots de passe tel que NordPass, qui génère des mots de passe aléatoires, les mémorise pour vous et les synchronise automatiquement sur tous vos appareils.
Gardons cela à l’esprit : La sécurité est une question de compromis. Un mot de passe de 10 caractères peut être tout à fait suffisant pour protéger votre compte sur le site web où vous jouez au solitaire (je suis sûr qu’une telle chose existe…). Mais cela ne signifie pas qu’il est suffisant pour protéger votre compte bancaire, votre compte github ou même votre compte de réseaux sociaux.
Aussi : Dans la mesure du possible : Utilisez l’authentification à plusieurs facteurs.
Si vous avez des doutes sur la longueur de votre mot de passe, cela signifie que vous devez l’allonger. C’est simple. « Dans le doute » signifie « en danger ». La taille compte.
Et cessez de les considérer comme des « mots de passe » : c’est une mauvaise chose. Pensez plutôt à des PHRASES DE PASSE. Le problème est que lorsque vous pensez « mot », vous pensez (tout naturellement) à quelque chose de court – ce qui est exactement ce que vous ne voulez pas pour la sécurité.