Savoir-faire / Sécurité des mots de passe

Comment fonctionnent les attaques par force brute

Pourquoi la longueur compte : exemples de calcul et contre-mesures.

Lors des attaques par force brute, les attaquants tentent de deviner un mot de passe en essayant systématiquement toutes les combinaisons de caractères possibles. Le principe sous-jacent est simple : tester autant de combinaisons que possible par seconde, idéalement sur des GPU ou dans des systèmes distribués. On parle aussi d’une recherche exhaustive (recherche exhaustive).

En pratique, ces attaques réussissent malheureusement souvent, car de nombreux mots de passe sont trop courts , se limitent à quelques groupes de caractères (lettres uniquement) ou figurent dans des listes de mots . Cela réduit drastiquement l’espace de recherche et facilite la devinette. Plus important encore : on distingue les attaques en ligne (contre les formulaires de connexion, où la limitation du débit et le verrouillage des comptes sont utiles) et les attaques hors ligne (contre des hachages de mots de passe volés, où la fonction de hachage et la robustesse du mot de passe déterminent le temps d’attaque).

Craquer des mots de passe (hors ligne) ≠ « déchiffrer »

Les mots de passe ne sont pas déchiffrés, mais stockés sous forme de valeurs de hachage, puis recherchés par essais + hachage (brute force, attaques par dictionnaire/masque). La vitesse de calcul du matériel moderne se situe dans l’ordre de milliards par seconde (pour les fonctions de hachage rapides), c’est pourquoi des mots de passe longs et hachés avec des procédés lents (par ex. Argon2, scrypt, PBKDF2, bcrypt) sont essentiels.

Référence historique et actuelle : Le projet RC5 de distributed.net démontre la force brute de la recherche exhaustive sur un espace de clés : 56 bits ont été trouvés en 1997 après 250 jours, 64 bits en 2002 après 1 757 jours. Actuellement, le statut du proxy pour RC5‑72 env. 2,38 billions de clés par seconde (situation : consultation à la date du jour). Il s’agit de bruteforce de clés et non de hachage de mots de passe – mais cela illustre à quel point la puissance de calcul distribuée passe à l’échelle.

Combinaison et longueur du mot de passe

Les exemples suivants montrent l’influence de la longueur et du choix des caractères. À titre d’illustration, le calcul est basé sur 2 milliards de tentatives par seconde (ordinateur individuel très puissant ; les valeurs réelles varient fortement selon le matériel et – en cas d’attaque hors ligne – la méthode de hachage).

Groupes de caractères typiques :

Chiffres (10 : 0–9)
Lettres (52 : A–Z et a–z)
Caractères spéciaux (≈ 32 ; dépend du jeu de caractères autorisé par le service)

Le nombre de combinaisons possibles se calcule comme suit :

Mögliche Kombinationen = (Zeichenmenge)^{Passwortlänge}

Important : Le tableau indique le temps de recherche maximal. En moyenne, le temps réel est d’environ la moitié. En outre, les attaques par dictionnaire, par règles et par masques réduisent considérablement l’espace de recherche, tandis que les méthodes de hachage de mots de passe lentes réduisent drastiquement le taux effectif.

Passwort besteht aus	Mögliche Kombinationen (Formel)	Benötigte Zeit (bei 2 Mrd./s)
5 Zeichen 3 Kleinbuchstaben, 2 Zahlen	(53) × 26³ × 10²17.576.000	0,009 Sekunden
7 Zeichen 1 Großbuchstabe, 6 Kleinbuchstaben	(71) × 26¹⁺⁶56.222.671.232	≈ 28 Sekunden
8 Zeichen 4 Kleinbuchstaben, 2 Sonderzeichen, 2 Zahlen	(84) × (42) × 26⁴ × 32² × 10²19.653.623.808.000	≈ 2,73 Stunden
9 Zeichen 2 Groß-, 3 Kleinbuchstaben, 2 Zahlen, 2 Sonderzeichen	(92) × (73) × (42) × 26²⁺³ × 10² × 32²9.197.895.942.144.000	≈ 53 Tage
12 Zeichen 3 Groß-, 4 Kleinbuchstaben, 3 Sonderzeichen, 2 Zahlen	(123) × (94) × (53) × 26³⁺⁴ × 32³ × 10²7,30 × 10²¹	≈ 115.591 Jahre
14 Zeichen 4 Groß-, 4 Kleinbuchstaben, 3 Zahlen, 3 Sonderzeichen	(144) × (104) × (63) × 26⁴⁺⁴ × 10³ × 32³2,88 × 10²⁵	≈ 455.812.388 Jahre

Conclusion : Chaque caractère supplémentaire multiplie l’espace de recherche. La longueur l’emporte sur les règles de complexité – en particulier contre lesAttaques hors ligne – à condition que les services utilisent des fonctions de hachage adaptées et lentes avec Salt.

Protection contre les attaques par force brute

La mesure la plus efficace côté utilisateur est un mot de passe maître long et aléatoire ou une phrase de passe (par ex. plusieurs mots aléatoires) – unique pour chaque service. Password Depot aide à la génération et affiche un temps d’attaque estimé qui tient compte non seulement de la longueur/du jeu de caractères, mais aussi des vulnérabilités liées au dictionnaire.

Activer la MFA/2FA (par ex. application TOTP ou jeton matériel) – lorsque c’est possible, les Passkeys sont encore mieux. Voir les recommandations du BSI.
Pas de recyclage de mots de passe. Chaque compte doit avoir son propre mot de passe fort.
Privilégier la longueur aux exigences de complexité. Les services devraient autoriser des mots de passe/phrases de passe longs (au moins 64 caractères) et bloquer les mots de passe compromis (liste noire).
Fonctions de hachage lentes côté serveur (par ex. Argon2, scrypt, PBKDF2, bcrypt) avec Salt et des facteurs de travail appropriés ; les hachages rapides comme MD5/SHA‑1 ne conviennent pas au stockage des mots de passe.
Rate-Limiting/Throttling & verrouillage : les attaques en ligne doivent être freinées par un nombre limité de tentatives erronées, des délais d’attente progressifs et, si nécessaire, un CAPTCHA.

En outre, Password Depot complique les tentatives de connexion en ligne par force brute en verrouillant brièvement le masque de saisie du mot de passe maître après des entrées erronées – avec un délai d’attente croissant en cas d’échecs répétés.

Conseils pratiques pour les fournisseurs de services (équipes techniques)

Acceptez tous les caractères imprimables, y compris les espaces/Unicode, et autorisez le copier-coller.
Mettez en œuvre des listes de blocage (mots de passe compromis/courants) et un rate limiting avec des indications claires pour les utilisateurs.
Stockez les mots de passe exclusivement sous forme de valeurs hachées avec salt avec des KDF lentes et vérifiez régulièrement les facteurs de travail.

Sources complémentaires

NIST SP 800–63B (Rev. 4), Appendix: Strength of Passwords – longueur, phrases de passe, attaques hors ligne (milliards de hachages/s) et concept de rate limiting.
NIST SP 800–63B (Rev. 3) – notamment longueur minimale, autoriser les mots de passe longs (≥ 64), listes noires, autoriser le collage ; rate limiting/throttling avec limitation à 100 tentatives erronées consécutives maximum.
OWASP Password Storage Cheat Sheet – méthodes appropriées (Argon2, scrypt, PBKDF2, bcrypt), salt/facteurs de travail.
OWASP Authentication Cheat Sheet – recommandations sur la saisie des mots de passe, la longueur, les listes noires et les mécanismes de verrouillage.
BSI : créer des mots de passe sécurisés – notamment des mots de passe longs/complexes et des phrases de passe ; conseils pratiques.
Presse BSI 31.01.2025 – pas de changements de mot de passe réguliers imposés ; privilégier la 2FA/les passkeys.
distributed.net RC5 / statut actuel du proxy – exemple concret de recherche exhaustive et de puissance de calcul distribuée.

Créer des mots de passe sécurisés

Découvrez comment créer des mots de passe qui résistent aux attaques par force brute.

Conseils pour des mots de passe sécurisés