Comme toutes les agences gouvernementales, la National Security Agency ou NSA s’intéresse de prés à vos mots de passe. Son Data Center en Utah, le plus grand centre informatique au monde, pourrait contenir plus de 10.000 serveurs en rack sur plus de 10.000 m².
En 2015, on estimait la puissance de calcul de la NSA à 2E60 (2 puissance 60), soit 1,15 milliards de milliards d’opérations à la seconde. On peut imaginer que ce chiffre à depuis évolué à la hausse.
Si l’on considère le jeu standard des 94 caractères : 0 1 2 3 4 5 6 7 8 9 a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z \ | – _ + % @ < ; ! = # . , : > ( ] / & $ ^ ‘ ` » ~ ) [ { } ? *
Le temps de calculs d’un mot de passe est fonction de sa longueur :
Vous devez donc utiliser un mot de passe d’au moins 16 caractères ou élargir votre jeu de caractères en introduisant des caractères inhabituels tels que é, ¤, Æ, Ø, ¿ … pour rester hors d’atteinte.
Dans 50% des cas, les statistiques confirment qu’un mot de passe est découvert à mi-calculs.
L’utilisation de logiciel spécialisé, par exemple Hashcat, avec des stratégies d’attaques combinées (brute force et dictionnaires) permet de découvrir des mots de passe de 12 caractères en quelques dizaines heures et sans la puissance de calcul de la NSA.
Il existe une liste des 10.000 mots de passe (langue anglaise) les plus fréquemment utilisés sur Google (https://github.com/first20hours/google-10000-english).
Pour les anglophones, ce site vous éclairera sur les stratégies pour « cracker » les mots de passe : http://www.netmux.com/blog/cracking-12-character-above-passwords
Comment gérer la sécurité de vos mots de passe complexes de 16 caractères ou plus ?
Il existe plusieurs solutions logicielles faciles à installer et utiliser. La synchronisation entre vos PC et smartphones est automatique, pour ne citer que quelques unes : LastPass, KeePass, Dashlane…
Enfin la solution Yubikey, clé USB intelligente, propose une alternative avec des mots de passe jusqu’à 64 caractères, double authentification, technologie NFC« sans contact » et tout ceci pour un prix entre 20 et 45 euros suivant le modèle.