À quoi sert ce calculateur
Le calculateur de temps de piratage estime la durée qu'il faudrait à un attaquant pour casser un mot de passe par force brute, c'est-à-dire en essayant toutes les combinaisons possibles. Le calcul repose uniquement sur la taille de l'espace de clés et sur la vitesse de l'attaquant : il vous donne ainsi un aperçu rapide du gain de sécurité qu'apporte réellement un mot de passe plus long ou plus complexe.
Comment l'utiliser
Indiquez la longueur du mot de passe (nombre de caractères), cochez les jeux de caractères qu'il contient, puis définissez la vitesse de l'attaquant en tentatives par seconde. Une configuration GPU moderne effectue environ un milliard (1 000 000 000) de tentatives par seconde sur des hachages rapides : c'est une valeur par défaut raisonnable. Le résultat affiche le temps maximal, dans le pire des cas, pour parcourir l'ensemble de l'espace de clés, exprimé en secondes, en heures, en jours et en années.
La formule expliquée
Le nombre total de mots de passe possibles correspond à la taille du jeu de caractères élevée à la puissance de la longueur : \(C = N^{L}\). En divisant ce nombre par les tentatives par seconde de l'attaquant, on obtient le temps nécessaire pour tous les essayer :
$$t = \frac{N^{L}}{G}$$La taille du jeu de caractères \(N\) s'additionne : minuscules (26), majuscules (26), chiffres (10) et symboles (32), ce qui donne \(N = 94\) pour un mélange complet.
Exemple concret
Prenons un mot de passe de 8 caractères en minuscules (\(N = 26\), \(L = 8\)) face à un attaquant capable d'un milliard de tentatives par seconde. Combinaisons :
$$26^{8} = 208\,827\,064\,576$$Temps de cassage :
$$\frac{208\,827\,064\,576}{1\,000\,000\,000} \approx 208{,}83 \text{ secondes}$$— soit moins de quatre minutes. Ajoutez les majuscules, les chiffres et les symboles (\(N = 94\)) et, pour la même longueur, le total grimpe à \(94^{8} \approx 6{,}1 \times 10^{15}\) combinaisons, soit environ 70 jours.
FAQ
Ce résultat est-il exact ? Non. Il s'agit du maximum théorique pour une attaque par force brute pure. En réalité, les attaquants utilisent des dictionnaires, des listes de mots de passe ayant fuité et des schémas courants : un mot de passe prévisible tombe donc bien plus vite que cette estimation.
Quelle vitesse de tentatives choisir ? Cela dépend du hachage. Les hachages rapides (MD5, sans sel) permettent des milliards de tentatives par seconde ; les hachages lents (bcrypt, Argon2) n'en autorisent que quelques milliers. Plus \(G\) est faible, plus le temps de cassage est long.
Comment créer un mot de passe robuste ? La longueur prime sur la complexité. Chaque caractère supplémentaire multiplie l'espace de clés par \(N\) : une longue phrase de passe est donc bien plus difficile à casser qu'un mot de passe court mais complexe.
