Doctsf (Modèles & Marques)
Annonces Ce qui est une très bonne question !
En fait, le problème est mal posé (comme d’habitude) car il ne définit pas le contexte.
Pour casser un mot de passe, une première approche est d’avoir accès à un vérificateur qui réponde OK ou KO en fonction du mot de passe fourni. Pour calculer le temps nécessaire pour craquer un mot de passe, il faut calculer les combinaisons possibles de signes utilisables et dans le cas idéal pour la sécurité (mot de passe « aléatoire » et pas de chance), il faudra toutes les essayer.
Mais en réalité, cette façon de voir les choses est fausse ce qui fait dire des âneries au médias de grands chemins et autres sites Web.
Selon que le vérificateur répond quasi instantanément ou au bout d’une seconde, ou si comme c’est souvent le cas, double son temps de réponse après chaque essai faux, ou si le vérificateur refuse de répondre après 3 essais erronés, la taille pour un mot de passe sûr change du tout au tout. Un mot de passe de 4 caractères peut s’avérer sûr dans certains contextes et sera trivial dans d’autres.
Une deuxième approche moins favorable pour la sécurité est lorsqu’on récupère une base de mots de passe hachés (ou éventuellement chiffrée) par un algorithme cryptographique. C’est ce qu’on trouve dans les systèmes informatiques.
Là, on a à faire à un problème de crypto classique consistant à trouver une correspondance entre un clair et un cryptogramme. Et dans ce cas, mieux vaut que le mot de passe soit long afin que la solution la plus avantageuse soit de tenter de casser l’algorithme cryptographique (ce qui implique de faire des hypothèses sur la puissance de calcul disponible pour calculer le temps nécessaire).