La complexité du mot de passe ne fait pas « tout » le temps de découverte du mot de passe !
Admettons que mon mot de passe est « a ». Vous pensez que le nombre d’essais pour le trouver sera au maximum de 26 ? Oui, si vous savez que c’est une lettre minuscule. Si vous pensez que cela peut être majuscule ou minuscule, alors il y a 52 possibilités. Si vous pensez que j’ai pu utiliser un chiffre, alors les possibilités passent à 62. Et je n’ai pourtant pas changé de mot de passe.
Donc cela dépend beaucoup de la méthode de recherche (l’attaquant teste-il d’abord que des chiffres, puis que des lettres sur n positions, ou teste-t-il d’office toute la table de caractères dans l’ordre?) et donc des limites du service accueillant votre mot de passe.
Si le service est limité (à l’utilisation de certains caractères uniquement, à un nombre de caractères…) c’est du renseignement pour l’attaquant. Et cela change le nombre de possibilités.
Partant de là, un service laissant libre le type de caractères (UTF16 ? oui c’est déjà une limite, je sais), le nombre de caractères (256 ?) exige de l’attaquant de passer en revue toutes ces possibilités, même si vous avez en fait utilisé « azerty ». Reste à l’attaquant à peut-être commencer par des choses simples.
Cependant, ces temps sont aussi les temps maximum pour passer en revue toute la gamme. On peut donc les diviser par deux pour obtenir une moyenne en estimant que le mot de passe peut être trouvé au début ou à la fin de la recherche de possibilités.
PS: choisissez quand même un mot de passe long et « complexe », ça reste plus sûr 