Temps de calcul brute force sur wks.fr : comprendre combien de temps pour casser votre mot de passe

temps calcul brute force wks.fr

Comment fonctionne l’outil wks.fr pour estimer le temps de crackage?

Votre mot de passe vous semble solide ? wks.fr vous permet de vérifier cette intuition en quelques secondes, sans envoyer quoi que ce soit à un serveur. Tout le calcul s’exécute localement dans votre navigateur : le mot de passe que vous saisissez ne quitte jamais votre machine.

Le principe est simple. L’outil calcule l’espace combinatoire total de votre mot de passe, puis divise ce chiffre par la vitesse d’attaque théorique d’un matériel de référence. Résultat : une estimation du temps qu’un attaquant mettrait à épuiser toutes les combinaisons possibles.

Ce qui rend wks.fr utile au-delà d’un simple compteur de caractères, c’est la possibilité de sélectionner l’algorithme de hachage correspondant à votre environnement. Un hash MD5 se cracke à une vitesse radicalement différente d’un bcrypt ou d’un SHA-256. Adapter ce paramètre donne une estimation bien plus réaliste que les outils génériques.

La formule mathématique derrière le calcul brute force

Derrière l’interface se cache une opération mathématique directe. Le nombre de combinaisons possibles se calcule ainsi : taille du jeu de caractères élevée à la puissance du nombre de caractères. Cette croissance est exponentielle, pas linéaire.

Concrètement, voici ce que ça donne selon le jeu de caractères utilisé :

  • Chiffres uniquement (0-9) : 10 possibilités par position
  • Minuscules seulement (a-z) : 26 possibilités par position
  • Minuscules + majuscules : 52 possibilités par position
  • Lettres + chiffres + symboles : 95 possibilités par position ou plus

Prenez un mot de passe de 8 caractères utilisant le jeu complet de 95 caractères. Le calcul donne 95⁸, soit plus de 6 600 milliards de combinaisons. Ajoutez un seul caractère, et vous multipliez ce chiffre par 95 d’un coup.

Le temps estimé s’obtient en divisant ce nombre de combinaisons par la vitesse d’attaque en hashes par seconde. C’est cette division qui explique pourquoi choisir le bon algorithme dans wks.fr change radicalement l’estimation affichée.

Quels sont les temps de crackage réels selon la longueur et la complexité du mot de passe?

temps calcul brute force

Les données Hive Systems 2025 donnent des chiffres qui méritent qu’on s’y arrête. Avec des GPU grand public, les vitesses de crackage ont encore progressé – en baisse de près de 20 % du temps nécessaire par rapport à 2024. Un mot de passe de 8 caractères composé uniquement de minuscules se craque désormais en 3 semaines maximum.

Longueur Jeu de caractères Temps estimé (GPU grand public)
8 caractères Minuscules seulement 3 semaines
8 caractères Lettres + chiffres + symboles Moins d’1 heure
11 caractères Jeu complet ~3 ans
12 caractères Jeu complet ~3 000 ans

Le saut entre 11 et 12 caractères est particulièrement frappant. On passe de 3 ans à 3 000 ans – un seul caractère supplémentaire multiplie la résistance par mille. C’est l’illustration directe de la croissance exponentielle en action.

La puissance des GPU modernes rend le brute force plus rapide que jamais

Une RTX 4090 calcule 164 milliards de hashes MD5 par seconde. Avec cette puissance, un mot de passe de 12 chiffres tombe en 6 secondes. Huit lettres minuscules ? Moins d’une seconde. Huit caractères mixtes (minuscules, majuscules, chiffres) partent en 22 minutes.

Passez à 8 GPU RTX 4090 couplés via Hashcat : un mot de passe NTLM de 8 caractères incluant chiffres, lettres et caractères spéciaux tombe en 48 minutes maximum. Un seul RTX 4090 craque le même profil en MD5 en 59 minutes. Ce type de configuration n’est plus réservé aux États ou aux grands groupes – elle est accessible à tout acteur motivé.

Le benchmark Hashcat de février 2026 sur un cluster de 16 RTX 5090 affiche 3 348 milliards de hashes MD5 par seconde. C’est une accélération brutale. Et selon Hive Systems, le matériel IA du type de celui qui fait tourner les grands modèles de langage dépasse les GPU grand public de plus de 1,8 milliard de pourcents en vitesse de crackage.

Ces chiffres expliquent pourquoi les politiques de mots de passe des entreprises gérées via des infrastructures comme un contrôleur de domaine Active Directory imposent désormais des longueurs minimales bien supérieures à 8 caractères.

Comment choisir un mot de passe réellement résistant au brute force?

temps calcul brute force

Les données sont claires : en dessous de 12 caractères, aucun mot de passe n’est vraiment sûr face aux GPU modernes, quel que soit le jeu de caractères utilisé. C’est le plancher à retenir.

Chaque caractère ajouté multiplie l’espace combinatoire par la taille du jeu utilisé. Passer de 12 à 13 caractères avec le jeu complet (95 symboles) multiplie le nombre de combinaisons par 95 d’un seul coup. Sur 16 caractères, même un attaquant avec un cluster de RTX 5090 aurait besoin de millions d’années pour un hash lent comme bcrypt.

wks.fr permet justement de tester cette logique en direct. Saisissez votre mot de passe actuel, sélectionnez l’algorithme correspondant à votre usage (NTLM pour un environnement Windows, MD5 pour certaines applications web), et comparez les temps affichés selon les variantes. C’est un moyen concret de valider une politique de mots de passe avant de la déployer.

La recommandation pratique qui découle de tout cela : visez au minimum 14 à 16 caractères, mélangez systématiquement minuscules, majuscules, chiffres et symboles, et évitez tout mot du dictionnaire ou pattern prévisible. Un gestionnaire de mots de passe vous génère et stocke ces séquences sans effort. À cette longueur, le brute force pur devient une stratégie perdante pour n’importe quel attaquant – même bien équipé. Le seul risque qui subsiste alors, c’est la fuite de base de données : un problème que la longueur du mot de passe ne résout pas seule, mais que le choix d’un algorithme de hachage lent côté serveur peut considérablement atténuer.