Combien de temps faut-il pour casser un mot de passe ?
Avec une RTX 4090, un mot de passe de 8 caractères tombe en 4 heures. Tableaux complets par longueur, charset et hardware utilisé.
Le temps nécessaire pour casser un mot de passe par force brute dépend de trois paramètres : sa longueur, la taille de son pool de caractères et la puissance du matériel attaquant. En 2026, une seule carte graphique grand public suffit pour réduire à néant un mot de passe court.
Repère 2026 : combien de tests par seconde ?
Mesuré avec hashcat (la référence du domaine) sur des hashes non protégés (MD5, SHA-256) :
| Hardware | SHA-256 (G hashes/s) | bcrypt cost=12 (h/s) |
|---|---|---|
| RTX 4090 (1 GPU grand public) | ~22 milliards | ~30 000 |
| Cluster 8× RTX 4090 | ~175 milliards | ~240 000 |
| ASIC dédié (estimation Antminer-like) | ~1 000 milliards | n/a |
Lecture clé : bcrypt et Argon2 réduisent la vitesse d'attaque d'un facteur ~1 million par rapport à un SHA-256 nu. Voilà pourquoi stocker un mot de passe avec SHA-256 seul est une faute professionnelle.
Tableau de temps de cassage par force brute (SHA-256, RTX 4090)
| Longueur | Chiffres seuls | Alphanumérique | Charset complet |
|---|---|---|---|
| 6 car. | < 1 ms | 3 secondes | 30 secondes |
| 8 car. | 5 ms | 3 heures | 12 jours |
| 10 car. | 0,5 s | 1,4 an | 250 ans |
| 12 car. | 50 s | 5 400 ans | 1,8 million d'années |
| 14 car. | 1,4 h | 21 millions d'années | 13 milliards d'années |
| 16 car. | 5,8 j | 80 milliards d'années | ∞ pratique |
À partir de 14 caractères avec charset complet, le temps de cassage dépasse l'âge de l'univers (13,8 milliards d'années).
Estimer le temps de cassage de mon mot de passe
Force brute vs attaque par dictionnaire
La force brute teste toutes les combinaisons possibles — elle est sensible à la longueur. L'attaque par dictionnaire teste des mots et patterns courants — elle est sensible à la prévisibilité.
Un mot de passe comme P@ssw0rd2024! a 13 caractères et résiste plusieurs siècles à la force brute, mais tombe en moins d'une seconde face à un dictionnaire enrichi (RockYou, fuites massives, mutations leetspeak).
Cas réels : les grandes fuites
- RockYou (2009) — 32 millions de mots de passe en clair. Toujours utilisée comme dictionnaire de référence.
- LinkedIn (2012) — 117 millions de hashes SHA-1 sans salt. 90 % cassés en quelques jours.
- Yahoo (2013) — 3 milliards de comptes. Hashes MD5 + salt faible.
- Collection #1 (2019) — 773 millions d'emails et 21 millions de mots de passe agrégés. Base de toutes les attaques de credential stuffing modernes.
Conséquence : la longueur prime
Pour un mot de passe aléatoire, doubler la longueur multiplie le temps de cassage par 10²² (pour un pool de 86 caractères). Pour un mot de passe prévisible, la longueur n'apporte rien.
Conclusion pratique : 16 caractères aléatoires >> 25 caractères basés sur un dictionnaire.