Selon Hive Systems, les mots de passe de moins de 13 caractères sont désormais trop faciles à pirater, même lorsqu’ils incluent majuscules, chiffres et symboles. Grâce aux GPU modernes, des attaques par force brute suffisent à les casser en quelques secondes.
Les GPU défoncent les mots de passe trop courts
Chaque année, Hive Systems publie un tableau de référence indiquant le temps nécessaire pour casser un mot de passe selon sa complexité. En 2025, les résultats sont plus inquiétants que jamais : les GPU comme les RTX 5090 permettent de brute-forcer un mot de passe de 8 caractères en quelques secondes, y compris s’il combine lettres, chiffres et symboles. Pire, certaines combinaisons sont instantanément cassées : une suite de 8 chiffres n’a aucune chance, et même avec des lettres minuscules, on dépasse à peine les quelques minutes.
Longueur et diversité : les deux piliers d’un bon mot de passe
Le tableau repose sur une configuration de 12 cartes RTX 5090 et l’algorithme de hachage bcrypt (facteur 10), encore largement utilisé en 2025. Il montre que seule la longueur couplée à une bonne variété de caractères (majuscules, minuscules, chiffres, symboles) permet une vraie résistance. Un mot de passe de 13 caractères bien construit demande 275 milliards d’années pour être cassé. En revanche, même 11 ou 12 caractères sans symboles ni majuscules restent vulnérables.
Les IA et les bases de données piratées accélèrent les attaques
L’évolution ne se limite pas au matériel. Les attaques intègrent désormais des bases de données de mots de passe réels (fuites comme celles de LastPass), des dictionnaires optimisés, et surtout, des modèles d’IA capables de prédire des schémas humains. Hive Systems rappelle que même un mot de passe complexe de 8 caractères peut tomber en deux mois avec le matériel qui entraîne les IA comme GPT-4.
Les conseils sont pourtant simples, mais rarement appliqués
La conclusion de Hive Systems est simple : pour sécuriser un mot de passe aujourd’hui, il faut viser au minimum 14 caractères, mêlant les quatre types de caractères. Idéalement, on passe aux passkeys (plus robustes face aux attaques par force brute et insensibles au phishing). Et pour éviter de se casser la tête, un gestionnaire de mots de passe reste la bonne solution : il génère, stocke et renseigne automatiquement des mots de passe solides, sans dépendre de votre mémoire.
