Comme chaque année, Hive Systems dresse l'état d'avancement de la capacité à craquer un mot de passe par force brute en utilisant les derniers matériels disponibles.
En 2025, place à la carte graphique GeForce RTX 5090 de Nvidia et sa puissante architecture Blackwell qui contribue à raccourcir inexorablement le délai de découverte d'un mot de passe, surtout s'il n'a pas été très complexifié...et si le hacker n'utilise pas un cluster de RTX 5090 !
L'autre menace vient désormais de l'intelligence artificielle qui peut associer la puissance de grands nombres d'accélérateurs IA pour accélérer grandement la tâche.
8 caractères, la base...mais avec différents types de caractères
Selon la table de Hives Systems actualisée en 2025 et s'appuyant sur un système de 12 cartes graphiques RTX 5090 en cluster, trouver un mot de passe protégé par l'algorithme de hashage Bcrypt est instantané ou presque si le mot de passe fait entre 4 et 6 caractères.
Au-delà, cela devient plus long mais seulement si le mot de passe comprend toute la panoplie : lettres majuscules et minuscules, chiffres et symboles. Dans ce cas, il faudra 164 ans pour percer une combinaison de 8 caractères.
Si des mots de passe plus longs mais comprenant uniquement des chiffres mettent à peine plus de temps pour être devinés, mélanger les types de caractères fait rapidement grimper le compteur à des milliers d'années....sauf en utilisant la puissance de clusteurs d'accélérateurs IA, ramenant le temps de 164 ans avec les 12 RTX 5090 à quelques mois seulement.
C'est encore plus facile s'il y a des indices pour orienter
Encore faut-il que ce soit des suites aléatoires de caractères. Tout mot, expression ou phrase, répétition de séquence ou utilisation pour sécuriser plusieurs accès fragilise fortement la sécurisation.
Dans ces cas, Hive Systems indique que même des mots de passe de 18 caractères peuvent alors être trouvés instantanément. Les estimations de temps proposées sont faites en supposant que le pirates partent de zéro et réalisent une opération de force brute sans indication sur la nature du mot de passe mais c'est en quelque sorte une situation idéale ou à l'aveugle, sans données complémentaires pour aider à cibler l'attaque du mot de passe.
Des fuites de données comme celle de LastPass en 2023 sont une aubaine pour les pirates cherchant à réduire le temps de traitement en force brute et toute indication pouvant aider à deviner le mot de passe d'un utilisateur ciblé facilitera le travail.
