On sait tous (?) que le problème avec avec les « bons » mots de passe, c’est qu’ils sont d’autant plus difficile à « casser » qu’on a du mal à les retenir.
Personnellement, je n’ai jamais expérimenté le « cassage » de mot (les gens me le donnent quand je le leur demande) et concrètement, je ne sais pas ce que cela représente vraiment: 1 minute? 1 heure?
Est ce séquentiel? Est que certains programmes prennent en comptes les périodes de suspension?…
Je n’ai d’ailleurs plus de notion du temps supplémentaire qu’il faut pour « casser » un mot de passe de 8 caractères par rapport à un de 6.
Sur son blog Thomas Baekdal donne quelques indications chiffrées et reprend avec des exemples simples les temps « nominaux » nécessaires pour trouver un mot de passe .
Bien sur, et les commentaires en fin d’article le souligne bien, c’est très théorique. Mais on a quand même des indications sur ces temps mais aussi sur les différentes techniques utilisés.
De plus, il propose aussi un moyen simple d’avoir des mots de passe plus long. J’avoue que c’est simple et que j’ai vraiment honte de n’y avoir jamais pensé tout seul : personne n’a jamais dit qu’un mot de passe ne devait comportait qu’un seul mot!
Ainsi, un mot de passe comme « this is fun » est plus sûr que « ergs43 » (ce sont ses exemples). Normal, le « premier, si « user friendly » fait 11 caractères contre 7 pour celui difficile a retenir.
Évidemment, un mot de passe complexe de 11 caractères est mieux que « this is fun » mais aujourd’hui, on peut admettre qu’il est suffisant.