Guide de sécurité
Qu'est-ce que le temps de craquage d'un mot de passe ?
Découvrez ce que signifient les estimations de temps de craquage de mot de passe, pourquoi les hypothèses de taux d'attaque sont importantes et pourquoi les estimations ne sont pas des garanties.
Résumé
Le temps de craquage d’un mot de passe est une estimation du temps qu’une attaque par devinette pourrait prendre selon un modèle spécifique. Le modèle compte. Deviner en ligne contre un service en direct est différent du craquage hors ligne d’un hachage de mot de passe divulgué. Un nombre universel de « temps de craquage » est trompeur sans hypothèses.
Utilisez le calculateur de temps de craquage de mot de passe et le vérificateur de force pour comparer des scénarios localement.
Devinette en ligne
La devinette en ligne est limitée par le service. Les limites de taux, les verrouillages, la surveillance, l’authentification multifacteur (MFA) et la détection d’anomalies peuvent ralentir ou arrêter les attaques. Un code PIN court peut être acceptable uniquement parce que le système limite les tentatives.
Craquage hors ligne
Le craquage hors ligne se produit lorsque les attaquants ont des hachages de mots de passe ou du matériel chiffré. La vitesse dépend de l’algorithme de hachage, du facteur de coût, du sel, du matériel et de la stratégie d’attaque. Le hachage lent de mots de passe comme Argon2id, bcrypt ou PBKDF2 est conçu pour réduire les suppositions par seconde.
Aléatoire et motifs
Les calculs de temps de craquage n’ont de sens que lorsque le mot de passe est réellement aléatoire. Password123! peut sembler complexe, mais il apparaît tôt dans la devinette basée sur des motifs. Un mot de passe aléatoire de 20 caractères est différent car il manque de structure humaine.
Guide détaillé
Ce guide se concentre sur la lecture responsable des estimations de temps de craquage de mot de passe. Il est écrit pour les utilisateurs qui voient des estimations basées sur des années et veulent savoir ce qu’elles signifient vraiment, donc l’objectif pratique n’est pas de créer une revendication de sécurité dramatique. L’objectif est de choisir une habitude de mot de passe qui peut survivre à une utilisation quotidienne : formulaires de connexion, gestionnaires de mots de passe, claviers mobiles, récupération de compte, appareils partagés et services occasionnels avec des règles de validation étranges. Une recommandation sécurisée n’est utile que si une personne réelle peut la suivre de manière cohérente.
Le point de départ le plus sûr est l’aléatoire plus l’unicité. L’aléatoire signifie que la valeur est sélectionnée dans un grand espace par une source aléatoire cryptographiquement appropriée, non inventée à partir d’un anniversaire, d’un nom d’animal, d’un motif de clavier ou d’une citation préférée. L’unicité signifie que le même mot de passe n’est utilisé nulle part ailleurs. Un mot de passe long mais réutilisé peut échouer rapidement après une violation non liée, tandis qu’un mot de passe unique et aléatoire limite les dégâts au seul compte où il a été utilisé.
Pour ce sujet, un préréglage pratique est des estimations basées sur des scénarios pour les limites en ligne, les hachages lents et la devinette hors ligne rapide. Vous pouvez appliquer ce préréglage avec le calculateur de temps de craquage de mot de passe puis stocker la valeur finale dans un gestionnaire de mots de passe de confiance. PwdGen génère des valeurs localement dans le navigateur avec Web Crypto ; le mot de passe généré n’est pas envoyé à un serveur PwdGen. Cette conception locale réduit l’exposition côté serveur, mais elle ne protège pas contre toutes les menaces. Une extension de navigateur malveillante, un appareil compromis, une page de phishing ou une gestion non sécurisée du presse-papiers peut encore exposer un secret après sa génération.
Les problèmes les plus courants à éviter sont les affirmations universelles de temps de craquage, les hypothèses uniquement matérielles, les hachages divulgués, le stockage faible et les modèles d’utilisateur prévisibles. Ces problèmes comptent car les attaquants ont rarement besoin de forcer brutalement chaque mot de passe possible lorsque les habitudes humaines leur donnent un raccourci. Le credential stuffing, le phishing, les listes de mots de passe divulgués et l’abus de récupération de compte sont souvent plus réalistes qu’une recherche mathématique pure. C’est pourquoi le meilleur conseil combine la qualité du mot de passe avec des contrôles au niveau du compte tels que l’authentification multifacteur (MFA), les passkeys, le stockage des codes de récupération et la vérification régulière des paramètres de courriel ou de téléphone de récupération.
Utilisez cette liste de contrôle lors de l’application de la recommandation :
- Comparez plus d’un scénario d’attaque.
- Ne traitez pas un grand nombre comme une garantie.
- Évitez les mots de passe réutilisés, quelle que soit l’estimation.
- Utilisez l’authentification multifacteur (MFA) pour les comptes qui la prennent en charge.
Si un site Web rejette le réglage idéal, ne forcez pas le mot de passe dans un modèle plus faible à la main. Ajustez une variable à la fois. Si les symboles sont rejetés, gardez les majuscules, les minuscules et les chiffres activés et augmentez la longueur. Si une longueur maximale est faible, utilisez la plus grande longueur acceptée et assurez-vous que la valeur est unique. Si un mot de passe doit être lu à haute voix, imprimé ou tapé sur un écran de télévision ou de routeur, envisagez d’exclure les caractères ambigus et d’augmenter la longueur pour compenser l’alphabet plus petit.
Enfin, rappelez-vous la limite des conseils sur les mots de passe. Un mot de passe fort est une couche de défense, pas une garantie. Il ne peut pas rendre une page de phishing sûre, réparer un logiciel malveillant ou compenser un service qui stocke mal les identifiants. L’habitude utile est ennuyeuse mais durable : générez une valeur unique, stockez-la en toute sécurité, protégez le chemin de récupération et remplacez-la rapidement si vous soupçonnez une exposition.
Une prochaine étape sûre
Après avoir lu ce guide, faites un petit audit de compte au lieu d’essayer de tout réparer à la fois. Choisissez le compte qui causerait le plus de problèmes s’il était piraté, confirmez que son mot de passe est unique et vérifiez le courriel de récupération, le téléphone de récupération, la méthode MFA et le stockage des codes de secours. Si une partie de cette chaîne est faible, améliorez cette partie avant de passer aux comptes à moindre risque. Cet ordre maintient le travail gérable et protège les comptes que les attaquants sont les plus susceptibles d’utiliser comme tremplin. Pour qu’est-ce que le temps de craquage d’un mot de passe ?, le meilleur résultat est une habitude reproductible : générer localement, stocker soigneusement et éviter la réutilisation.
Foire aux questions
Pourquoi les calculateurs de temps de craquage sont-ils en désaccord ?
Ils utilisent des hypothèses différentes sur l’aléatoire, le type de hachage, le matériel, les limites en ligne et si le mot de passe est déjà connu à partir de fuites.
Le craquage hors ligne est-il plus rapide que la devinette en ligne ?
Généralement oui. Les attaquants hors ligne peuvent essayer des suppositions sans limites de taux, tandis que les systèmes en ligne peuvent limiter, verrouiller et surveiller les tentatives.
Dois-je faire confiance à un seul résultat de « millions d’années » ?
Traitez-le comme une estimation sous des hypothèses énoncées, pas une garantie de sécurité.