Ce que disent les experts en sécurité

Les experts en cybersécurité préconisent systématiquement des mots de passe plus longs comme élément clé d’une sécurité solide: “La longueur du mot de passe augmente de manière significative le temps et les ressources informatiques nécessaires pour le déchiffrer”, déclare Bruce Schneier, cryptographe renommé et expert en sécurité : “Un mot de passe plus long augmente de manière exponentielle la difficulté des attaques par force brute, ce qui en fait un aspect crucial de la solidité du mot de passe”.

Le National Institute of Standards and Technology (NIST) des États-Unis a recommandé par le passé de choisir un mot de passe d’une longueur minimale de plus de 14 caractères pour obtenir des mots de passe sûrs, tout en précisant que la longueur minimale absolue d’un mot de passe doit être de 8 caractères et que la longueur optimale se situe entre 14 et 16 caractères. Le NIST souligne également que les mots de passe plus longs sont plus efficaces et plus résistants face aux techniques modernes de piratage, y compris les attaques ciblées avancées, par exemple par des acteurs étatiques ou des services secrets, qui sont capables d’utiliser du matériel puissant ou même de l’informatique quantique. Avec l’augmentation de la puissance de calcul, les mots de passe doivent également être plus longs pour résister aux attaques.

Faites en sorte que votre mot de passe comporte au moins 16 caractères

Le tableau suivant sur la longueur et la complexité des mots de passe est basé sur les recommandations du NIST et de la CISA, publiées en 2024 . Avec les progrès des ordinateurs quantiques, chacun doit revoir la longueur de son mot de passe pour vérifier s’il est encore assez fort pour résister aux attaques des ordinateurs quantiques, dont la puissance de calcul est bien supérieure à celle des systèmes informatiques traditionnels.

Graphique sur la sécurité des mots de passe en fonction de leur longueur et de leur complexité, selon les recommandations du NIST et de la CISA pour 2024.

Les experts en sécurité suggèrent que la longueur minimale d’un mot de passe soit d’au moins 12 caractères, tandis que les mots de passe de 16 à 20 caractères ou plus sont idéaux pour les comptes très sensibles. L’agence américaine de cyberdéfense (CISA) recommande:

“Au moins 16 caractères - plus c’est long, plus c’est fort !

Le National Institute of Standards and Technology (NIST) des États-Unis a mis à jour ses recommandations sur la longueur des mots de passe en 2024 et déclare:

“La longueur du mot de passe est un facteur essentiel pour caractériser la force du mot de passe.

En 2024, le NIST a publié une nouvelle ligne directrice pour les services en ligne en ce qui concerne les exigences en matière de mot de passe afin de les rendre plus sûrs. À l’instar de la recommandation de la CISA, qui préconise une longueur minimale de 16 caractères pour le mot de passe idéal, le NIST indique qu’un mot de passe sécurisé DEVRAIT:

“être composé d’un minimum de 15 caractères”.

Longueur du mot de passe et complexité

Compte tenu de l’augmentation de la longueur des mots de passe, les conseils précédents concernant l’utilisation de caractères spéciaux et la non-utilisation de mots du dictionnaire ne pèsent pas aussi lourd qu’avec des mots de passe plus courts. En général, les experts en sécurité affirment que plus le mot de passe est long, mieux c’est. Mais si vous voulez viser le mot de passe parfait, il n’y a pas de mal à suivre ces recommandations :

• Lettres majuscules et minuscules : KLJDFwerfn
• Caractères numériques : 923857
• Caractères spéciaux : =)§)]€&
• Caractères aléatoires : Il est important d’éviter les motifs prévisibles, les mots du dictionnaire uniquement ou les informations personnelles.

1. Mots de passe numériques uniquement : Un mot de passe composé exclusivement de caractères numériques (0-9) ne propose que dix options possibles pour chaque caractère. Par exemple, un mot de passe numérique à huit caractères offre 10 x 10 x 10 × 10 × 10 × 10 × 10 × 10 = 100 000 000 (100 millions) de combinaisons possibles.

2. Chiffres et lettres minuscules : Si l’on ajoute les lettres minuscules (a à z), le nombre de combinaisons possibles passe à trente-six pour chaque caractère. Pour un mot de passe de huit caractères utilisant à la fois des chiffres et des lettres minuscules, le nombre de combinaisons augmente considérablement pour atteindre 36 x 36 x36 × 36 × 36 × 36 × 36 × 36 = 2,8211099e+12 (deux trillions, huit cent vingt et un milliards, cent neuf millions, neuf cent mille) combinaisons possibles.

Pour concilier sécurité et convivialité, envisagez d’utiliser des phrases de passe : une série de mots aléatoires enchaînés (par exemple, “Solar-Miles50>Lunar-Meters51 !”) qui sont faciles à mémoriser mais difficiles à deviner.

Lorsque vous choisissez un mot de passe sûr, tenez compte du fait que la longueur et la complexité sont toutes deux importantes. Toutefois, si vous avez des difficultés avec la complexité, allongez simplement votre mot de passe et vous obtiendrez un effet similaire en termes de force du mot de passe.

Longueur du mot de passe et temps de craquage

La longueur d’un mot de passe est l’un des facteurs les plus importants pour déterminer le temps nécessaire à un pirate pour le déchiffrer. Les outils de craquage de mots de passe reposent sur la force brute, une méthode qui consiste à essayer systématiquement toutes les combinaisons possibles d’un mot de passe donné jusqu’à ce qu’il trouve la bonne. Cette attaque prend du temps, qui dépend évidemment de la longueur minimale du mot de passe. En fait, le temps nécessaire à un attaquant par force brute pour déchiffrer un mot de passe augmente de manière exponentielle avec chaque caractère supplémentaire. Par exemple, un mot de passe de six caractères peut être déchiffré en quelques minutes ou quelques heures, en fonction de sa complexité et de la puissance de calcul disponible. En revanche, si l’on porte la longueur à 12 caractères, le processus de craquage peut prendre des années, voire des siècles, surtout si l’on y ajoute divers types de caractères tels que des chiffres, des lettres majuscules et minuscules, des caractères spéciaux et des symboles.

Cette augmentation exponentielle du temps souligne la raison pour laquelle les mots de passe plus longs offrent une protection plus forte.

Les recommandations du NIST pour 2024 concernant la longueur et la structure minimales des mots de passe doivent également être reflétées par les services en ligne, qui doivent mettre à jour leurs exigences en matière de mots de passe et, surtout, autoriser des mots de passe plus longs, car de nombreux services limitent encore le nombre de caractères que les utilisateurs peuvent saisir lorsqu’ils créent des mots de passe. Tuta Mail, par exemple, demande un mot de passe d’au moins 10 caractères, mais autorise un nombre illimité de mots de passe. En outre, Tuta propose un générateur de mot de passe lors de l’inscription qui intègre déjà les lignes directrices du NIST en générant de longues phrases de passe avec des mots sélectionnés de manière aléatoire afin que le mot de passe soit suffisamment long pour atteindre une force optimale.

Nous expliquons ici plus en détail comment créer un mot de passe fort.

Pourquoi des mots de passe plus longs sont-ils préférables ?

La longueur minimale d’un mot de passe est directement liée au nombre de combinaisons possibles qu’un acteur malveillant doit essayer pour le deviner. Par exemple :

• Un mot de passe de 10 caractères utilisant un mélange de majuscules, de minuscules, de chiffres et de symboles offre environ 83 sextillions de combinaisons.

• Un mot de passe de 16 caractères augmente ce nombre à plus de 10 octillions de combinaisons, ce qui représente un énorme bond en avant en termes de difficulté.

Même les ordinateurs quantiques, qui devraient poser des défis importants au cryptage traditionnel, trouveront toujours difficile de déchiffrer les longs mots de passe aux structures imprévisibles.

Les enseignements de l’enquête menée auprès des utilisateurs de Tuta Mail

Chez Tuta Mail, nous mettons l’accent sur une sécurité de pointe et avons déjà intégré un cryptage à sécurité quantique dans nos services de courrier électronique et de calendrier. Dans Tuta, la clé privée de l’utilisateur est sécurisée par son mot de passe. Il est donc d’autant plus important de choisir un mot de passe long et fort. Nous avons donc mené une enquête auprès de 2 500 utilisateurs pour mieux comprendre ce que les gens savent de la sécurité des mots de passe.

Longueur du mot de passe des utilisateurs de Tuta : Quelle est la longueur moyenne de votre mot de passe ? Il est composé de … caractères.

Étant donné que les utilisateurs de Tuta ne représentent pas l’internaute moyen, mais qu’ils sont très au fait des technologies et intéressés par la sécurité, les résultats sont choquants :

• 16% utilisent généralement des mots de passe de 10 caractères maximum.
• 32 % utilisent des mots de passe de 11 à 15 caractères.
• 31 % utilisent des mots de passe de 16 à 20 caractères pour assurer un niveau de sécurité élevé.
• 21 % préfèrent des mots de passe de plus de 20 caractères pour une protection maximale.

Il est surprenant, voire choquant, de constater que même si les utilisateurs de Tuta en savent tant sur la sécurité, 16 % d’entre eux choisissent un mot de passe de 10 caractères seulement (ce qui n’est pas assez sûr !) et 32 % se contentent d’un mot de passe de 11 à 15 caractères - même si des mots de passe plus longs seraient certainement préférables, en particulier avec l’essor des ordinateurs quantiques.

Nous devons garder à l’esprit que l’utilisateur moyen de Tuta en sait beaucoup plus sur la sécurité en ligne que l’internaute moyen. Par exemple, la même enquête a également montré que 90 % des utilisateurs savent comment crypter un courriel de bout en bout avec Tuta Mail, et que 43 % d’entre eux maîtrisent le cryptage PGP, un chiffre que nous n’atteindrions certainement pas si nous posions ces questions au grand public.

Malgré ce niveau élevé de connaissances numériques, 34% des utilisateurs de Tuta utilisent un mot de passe de 14 caractères ou moins, même pour des comptes privés comme leur boîte aux lettres cryptée.

Cela montre qu’il reste encore beaucoup à faire pour éduquer les gens aux meilleures pratiques de sécurité en ligne.

Les enseignements de l’enquête Tuta

Les résultats de l’enquête révèlent une compréhension approfondie de la sécurité chez les utilisateurs de Tuta, mais ils mettent également en évidence des possibilités d’amélioration. Si 52 % des utilisateurs visent des mots de passe de plus de 15 caractères, 16 % d’entre eux considèrent encore que les mots de passe de 10 caractères ou moins sont suffisants, ce qui rend les comptes vulnérables.

Les utilisateurs du fournisseur de messagerie électronique à sécurité quantique Tuta Mail étant mieux informés que l’internaute moyen, il est choquant de constater que 16 % d’entre eux utilisent des mots de passe de 10 caractères ou moins. On peut donc se demander combien de comptes en ligne sont vulnérables aux attaques par force brute. En bref, il doit y en avoir beaucoup.

La longueur des mots de passe est l’un des moyens les plus efficaces et les plus simples d’améliorer la sécurité en ligne. Face à la menace croissante des cyberattaques et à la menace imminente de l’informatique quantique, il est indispensable d’utiliser des mots de passe longs et complexes.

Les résultats de l’enquête de Tuta soulignent la nécessité de mieux informer les gens sur la longueur minimale optimale des mots de passe, de les encourager à utiliser des gestionnaires de mots de passe, ainsi que des générateurs de mots de passe aléatoires. En outre, les comptes importants doivent être sécurisés par une authentification à deux facteurs, de préférence avec des clés matérielles U2F.

Travaillons ensemble pour un Internet plus privé et une meilleure protection de vos données !