L’image montre une estimation du temps nécessaire pour casser un mot de passe en 2025 à l’aide d’un matériel très puissant (12 cartes graphiques haut de gamme) et avec un algorithme de protection appelé bcrypt.

Le tableau compare :

• le nombre de caractères (4 à 18)
• le type de caractères utilisés :
  • chiffres uniquement
  • lettres minuscules
  • majuscules + minuscules
  • majuscules + minuscules + chiffres
  • majuscules + minuscules + chiffres + symboles

Plus le mot de passe est long et varié, plus le temps nécessaire pour le casser augmente.

Ce que montre concrètement le tableau

Quelques exemples simplifiés :

• 6 caractères uniquement en chiffres
  → cassé instantanément.
• 8 lettres minuscules
  → environ 3 semaines.
• 8 caractères avec majuscules, minuscules et chiffres
  → environ 62 ans.
• 10 caractères avec majuscules, minuscules et symboles
  → plusieurs centaines de milliers d’années.
• 14 caractères complets (lettres + chiffres + symboles)
  → plusieurs milliards d’années.

Le principe est simple :
chaque caractère ajouté multiplie énormément le nombre de combinaisons possibles. La sécurité augmente de façon exponentielle.

Attention : la réalité est différente

Ces chiffres supposent une attaque dite “brute force” pure, c’est-à-dire tester toutes les combinaisons possibles au hasard.

En pratique, les pirates utilisent surtout :

• des listes de mots de passe déjà fuités
• des mots courants (azerty, password, soleil…)
• des variantes prévisibles (Soleil123!, Bonjour2026…)

Un mot de passe comme :

Soleil123 peut être trouvé en quelques secondes même s’il fait 9 caractères.

En revanche :

0v!Qm9$Zr est beaucoup plus difficile à deviner.

Protection des mots de passe dans i7iCMS

i7iCMS utilise l’algorithme bcrypt pour protéger les mots de passe.

Cela signifie que :

• Les mots de passe ne sont jamais enregistrés en clair dans la base de données.
• Ils sont transformés en une empreinte sécurisée (hash).
• Même en cas de fuite de la base de données, il est extrêmement difficile de retrouver les mots de passe d’origine.

Protection contre le brute force sur l’administration

i7iCMS ne se contente pas de chiffrer les mots de passe.
Il intègre également une protection active contre les tentatives de connexion répétées.

Concrètement :

• Si une personne tente de forcer l’accès à l’administration avec plusieurs mots de passe incorrects,
• le compte ciblé est automatiquement bloqué pendant X minutes.
• À chaque nouvel échec, le temps de blocage augmente.
• Plus les tentatives continuent, plus l’attente devient longue.

Ce mécanisme rend les attaques automatisées inefficaces.
Un robot ne peut pas tester des milliers de combinaisons à la suite, car le système impose des délais croissants entre chaque tentative.

Résultat : même si quelqu’un essaie de deviner un mot de passe, l’attaque devient rapidement impraticable.

Bonnes pratiques pour les utilisateurs

Voici les règles simples à retenir :

1. Minimum 12 caractères.
2. Mélanger majuscules, minuscules, chiffres et symboles.
3. Ne jamais utiliser :
   • prénom + année
   • nom de l’entreprise + 123
   • un mot du dictionnaire simple.
4. Ne jamais réutiliser le même mot de passe sur plusieurs sites.

La meilleure solution : un gestionnaire de mots de passe

Retenir des mots de passe complexes est difficile.
La solution recommandée est d’utiliser un gestionnaire de mots de passe.

Exemple gratuit et fiable :

• Bitwarden

Il permet :

• de générer des mots de passe très longs et complexes
• de les stocker de manière sécurisée
• de les synchroniser entre ordinateur et téléphone

Vous n’avez alors plus qu’un seul mot de passe maître à retenir pour déverrouiller le gestionnaire de mots de passe.

Ce qu’il faut retenir

La longueur protège plus que la complexité.
Un mot de passe long et unique est aujourd’hui indispensable.

Un mot de passe faible peut être trouvé en quelques secondes.
Un mot de passe bien conçu peut résister des années, voire bien plus.

La sécurité ne repose pas uniquement sur la technologie du site, mais aussi sur le comportement de l’utilisateur.