Qu'est-ce que le calculateur de temps de craquage de mot de passe ?
Cet outil estime le temps qu'un attaquant mettrait à casser votre mot de passe par force brute, c'est-à-dire en testant toutes les combinaisons possibles. Le calcul repose sur la longueur du mot de passe, la taille du jeu de caractères qu'il utilise et le nombre de tentatives par seconde dont dispose l'attaquant. Le résultat reste une estimation théorique : dans la réalité, les attaques s'appuient souvent sur des dictionnaires et des schémas courants qui cassent les mots de passe faibles bien plus vite.
Comment l'utiliser
Saisissez la longueur du mot de passe, cochez chaque type de caractère qu'il contient (minuscules, majuscules, chiffres, symboles), puis indiquez la vitesse de l'attaquant. Une configuration moderne à base de GPU peut atteindre 10 milliards (10 000 000 000) de tentatives par seconde sur un hachage rapide, tandis qu'un hachage lent comme bcrypt limite l'attaquant à quelques milliers de tentatives par seconde.
La formule expliquée
Le nombre total de combinaisons est la taille du jeu de caractères C élevée à la puissance de la longueur L : \(C^{L}\). En divisant par la vitesse de tentatives g, on obtient le temps dans le pire des cas. Comme, en moyenne, le bon mot de passe est trouvé après avoir exploré la moitié de l'espace, on divise par deux :
$$t = \frac{C^{L}}{2g}$$L'entropie en bits vaut \(L \times \log_{2} C\) : chaque bit supplémentaire double l'effort de recherche.
Exemple concret
Un mot de passe de 8 caractères en minuscules utilise un jeu de 26 caractères, soit \(26^{8} = 208\,827\,064\,576\) combinaisons. Face à un attaquant capable d'un milliard de tentatives par seconde, le temps moyen de craquage est de
$$\frac{208\,827\,064\,576}{2 \times 1\,000\,000\,000} \approx 104{,}4 \text{ secondes.}$$En ajoutant majuscules, chiffres et symboles, le jeu de caractères passe à 94 et le temps augmente de façon spectaculaire.
Tailles des jeux de caractères
La base \(C\) de la formule est le nombre de caractères distincts qu'un attaquant doit considérer par position. C'est la somme des tailles de chaque classe de caractères à partir de laquelle votre mot de passe pourrait être tiré. Combinaisons courantes :
| Jeu de caractères | Symbole | Taille |
|---|---|---|
| Lettres minuscules (a–z) | [a-z] | 26 |
| Lettres majuscules (A–Z) | [A-Z] | 26 |
| Chiffres (0–9) | [0-9] | 10 |
| Symboles ASCII courants | [sym] | 32 |
| Minuscules + chiffres | [a-z0-9] | 36 |
| Minuscules + majuscules | [a-zA-Z] | 52 |
| Lettres + chiffres (alphanumériques) | [a-zA-Z0-9] | 62 |
| Les quatre classes | [a-zA-Z0-9 sym] | 94 |
Les 32 « symboles courants » reflètent l'ensemble de ponctuation ASCII imprimable !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~ plus l'espace, qui avec les 62 caractères alphanumériques donnent le pool standard de 94 caractères ASCII imprimables.
Interpréter votre temps de cassage
Le temps de cassage et l'entropie du mot de passe mesurent la même chose sous deux angles. L'entropie en bits pour un mot de passe aléatoire est \(H = L\log_2 C\) ; chaque bit ajouté double le nombre de tentatives requises, et donc double le temps de cassage moyen à un taux de tentatives fixe. Une lecture approximative du nombre de bits :
- Moins de 40 bits — faible. Cette plage (p. ex. un mot de passe minuscule de 8 caractères à \(\approx 37,6\) bits) cède en secondes à jours face à du matériel hors ligne rapide et ne doit protéger rien de sensible.
- ~60–70 bits — modéré. Résiste aux attaques hors ligne occasionnelles mais est à la portée de clusters GPU bien dotés en ressources au fil du temps.
- 80 bits et plus — fort. Considéré comme non réalisable de forcer par brute-force avec la technologie actuelle et prévisible ; un mot de passe de 12 caractères de toutes classes atteint environ 78 bits et un mot de 16 caractères environ 105 bits.
Les recommandations d'identité numérique du NIST (SP 800-63B) mettent l'accent sur la longueur plutôt que sur les règles de complexité imposées, recommandent d'autoriser de longues phrases de passe, et conseillent de contrôler les mots de passe par rapport aux listes de violation et de dictionnaire plutôt que de mandater des classes de caractères mixtes — précisément parce que le temps de brute-force ci-dessous suppose un mot de passe vraiment aléatoire.
Mise en garde importante : ces chiffres sont une limite supérieure. La formule suppose que chaque caractère est choisi uniformément au hasard dans l'ensemble complet. Les vrais attaquants ne commencent pas par « aaaaaaaa » — ils exécutent d'abord des dictionnaires, des listes de mots de passe divulgués, des motifs de clavier, des noms, des dates et des substitutions prévisibles. Un mot de passe comme P@ssw0rd123 a un jeu de caractères nominal et une longueur importants mais est cassé presque instantanément car il apparaît dans les listes de mots. Traitez le temps calculé comme significatif uniquement pour les mots de passe générés par un processus aléatoire, non choisis par un humain.
Ceci est une information générale de sécurité, non une garantie de sécurité pour un compte spécifique ; associez des mots de passe forts et uniques à l'authentification multifacteur.
FAQ
Pourquoi diviser par deux ? La force brute trouve le mot de passe quelque part dans l'espace des clés ; en moyenne, c'est à mi-parcours, donc le temps attendu correspond à la moitié du maximum.
Est-ce une garantie ? Non. Le calculateur suppose un mot de passe réellement aléatoire. Les mots de passe réutilisés, issus d'un dictionnaire ou suivant un schéma sont cassés bien plus vite, quelle que soit leur longueur.
Quelle taille de jeu de caractères choisir ? Cochez uniquement les types de caractères réellement présents. Ici, les symboles correspondent à un ensemble de 32 caractères de ponctuation courants.
