Hive Systems, spécialiste de la sécurité informatique, a récemment dévoilé son tableau annuel mettant en avant le temps nécessaire pour forcer un mot de passe en fonction de sa longueur et de sa complexité. Le tableau confirme une observation établie depuis longtemps : les mots de passe de moins de 8 caractères sont inefficaces en termes de sécurité. Par exemple, un mot de passe de 5 caractères composé uniquement de lettres minuscules peut être piraté en seulement 2 minutes.
Pour garantir la sécurité d'un mot de passe, il faut donc y ajouter de la complexité. En incorporant divers éléments, le temps nécessaire pour cracker le mot de passe augmente considérablement. Par exemple, selon les données du tableau, un mot de passe de 9 caractères comprenant des lettres minuscules, des lettres majuscules et des caractères spéciaux nécessiterait environ 479 ans pour être déchiffré.
D'après Hive Systems, le tableau des mots de passe se concentre sur l'idée que le pirate informatique évolue dans une situation de "boîte noire" et doit repartir de zéro pour déchiffrer notre hachage [fonction mathématique qui convertit des données en une chaîne de caractères de longueur fixe, rendant difficile la récupération des données originales, NDLR] afin d'afficher le "pire des cas" ou le "temps maximum requis".
Le rapport précise que la méthodologie utilisée depuis plusieurs années, le hachage de mot de passe MD5, a été modifiée après avoir constaté moins d'occurrences du MD5 dans les violations de sécurité, suggérant une diminution de son utilisation par les sites web et les entreprises. "En conséquence, nous avons mis à jour le tableau des mots de passe de cette année pour utiliser bcrypt, qui est un hachage de mot de passe plus robuste, ce qui a « repoussé le violet » vers le haut – mais cela ne durera probablement pas, puisque la puissance de calcul augmentera dans les années à venir", explique Hive Systems.
Les passkeys, futur des mots de passe ?
Une autre solution est en train d’émerger pour le grand public et peut s’avérer intéressante pour sécuriser ses comptes : les passkeys.
Il s'agit de clés d'accès comprenant des données cryptées, servant à prouver que vous êtes bien le propriétaire du compte auquel vous souhaitez accéder. Basés sur le principe du chiffrement asymétrique, les passkeys reposent sur deux clés distinctes : une clé publique, stockée sur les serveurs de la plateforme, et une clé privée, stockée localement sur l'appareil de l'utilisateur. Ces clés se synchronisent lors d'une tentative de connexion.
Vous pouvez d’ores et déjà tester ces passkeys sur Google, Microsoft et WhatsApp.
