En 2026, la question « combien de temps pour cracker mon mot de passe ? » n’est plus théorique. Avec des rigs GPU à 8-12 cartes (RTX 5090 ou équivalents), des clusters cloud loués à l’heure et des outils comme Hashcat ultra-optimisés, les temps de craquage ont encore chuté par rapport à 2024-2025.
Voici un tableau réaliste basé sur les benchmarks actuels (Hashcat v6.2+, attaques dictionnaire + masque + force brute hybride, environ 300-500 milliards de hachages par seconde sur un rig haut de gamme 2026). Les chiffres sont des moyennes observées en conditions réelles (pas les meilleurs cas théoriques).
Tableau : Temps de craquage moyen en 2026
| Type de mot de passe | Longueur | Charset (caractères possibles) | Temps estimé (rig GPU 8 cartes) | Commentaire |
|---|---|---|---|---|
| Numérique seul | 8 | 10 (0-9) | < 1 seconde | 100 millions de combinaisons |
| Numérique seul | 10 | 10 | ~3-5 secondes | 10 milliards |
| Alphanumérique simple (lettres + chiffres) | 8 | 62 (a-z, A-Z, 0-9) | quelques minutes à 2 heures | ~218 billions |
| Alphanumérique simple | 10 | 62 | quelques jours à 2 semaines | ~839 quadrillions |
| Alphanum + symboles (classique) | 8 | 95 (~ tous caractères imprimables) | quelques heures à 3 jours | ~6.6 quintillions |
| Alphanum + symboles | 12 | 95 | quelques mois à 5-10 ans | ~5.4 × 10^23 |
| Alphanum + symboles | 15 | 95 | des milliards d’années | ~4.4 × 10^29 |
| Passphrase (5-6 mots aléatoires) | ~25-35 | ~10 000 mots dictionnaire | des siècles à millénaires | Même avec attaques dictionnaire |
| Passphrase longue (7+ mots) | ~40+ | ~10 000 mots | pratiquement impossible | Au-delà de l’univers observable |
Ce que ces chiffres veulent vraiment dire
Les temps sont des moyennes pour un rig haut de gamme 2026 (~400-600 GH/s sur bcrypt/argon2, beaucoup plus sur NTLM/LM). Si l’attaquant a accès à :
- Un cluster cloud (AWS/GCP) → divisez par 10-100
- Une ferme de 100+ GPU → divisez encore par 10
- Une attaque dictionnaire + règles (RockYou + masks) → beaucoup plus rapide sur les mots de passe humains
À l’inverse, si le site utilise un bon hachage lent (bcrypt, Argon2id avec paramètres élevés), les temps sont multipliés par 1000 ou plus.
Pourquoi la longueur bat tout
Chaque caractère supplémentaire multiplie le nombre de combinaisons par le nombre de caractères possibles :
- 8 caractères → 95^8 ≈ 6.6 × 10^15
- 12 caractères → 95^12 ≈ 5.4 × 10^23
- 16 caractères → 95^16 ≈ 4.4 × 10^31
Avec 500 milliards de tentatives par seconde (rig 2026), 16 caractères = ~88 milliards de milliards d’années. C’est plus que l’âge de l’univers.
Conseils pratiques pour 2026
- Minimum 16 caractères sur tous les comptes (idéalement 20+)
- Utilisez une passphrase mémorisable (5-7 mots aléatoires + chiffres/symboles)
- Laissez un gestionnaire générer des chaînes aléatoires pour les comptes secondaires
- Activez la 2FA (TOTP ou passkeys) partout
- Changez immédiatement tout mot de passe < 12 caractères ou réutilisé
En résumé : en 2026, la question n’est plus « est-ce que mon mot de passe est fort ? », mais « est-il assez long ? ». 15+ caractères aléatoires ou une bonne passphrase = vous êtes tranquille pour longtemps.