Tout reste dans votre navigateur. Aucun mot de passe n'est transmis. Le calcul est entièrement local. La seule requête externe est une vérification anonyme de fuite (5 premiers caractères du hash SHA-1, jamais le mot de passe).

Sources scientifiques

Time2Crack s'appuie sur la recherche académique en cryptographie, sécurité informatique et estimation de force de mots de passe. Cette page énumère les sources scientifiques qui valident nos algorithmes, méthodes d'évaluation et calibrations.

Table of contents

Navigation rapide

Section 1: Password Strength Estimation

Estimation de force de mots de passe

Wheeler, D. L. (2016). zxcvbn: Low-Budget Password Strength Estimation. In Proceedings of the 25th USENIX Security Symposium (pp. 157–173). USENIX Association. https://www.usenix.org/system/files/conference/usenixsecurity16/sec16_paper_wheeler.pdf
Pertinence: Méthodologie fondatrice pour l'estimation réaliste de force de mots de passe. Wheeler (2016) établit que les entropy-based meters (NIST, OWASP) surestiment considérablement la sécurité. Time2Crack suit cette approche : estimer le coût de la meilleure attaque connue, pas l'entropie théorique.
Pasquini, D., Continuously, A., Durmuth, M., & Buscher, M. (2021). Reducing Bias in Modeling Real-World Password Strength for Tree-based Models. In Proceedings of the 30th USENIX Security Symposium (pp. 3007–3024). USENIX Association. https://arxiv.org/pdf/2105.14170.pdf
Pertinence: Analyse critique des biais dans les modèles de force de mots de passe. Montre que les datasets biaisent les résultats. Time2Crack utilise rockyou2021 (32.6M passwords pondérés) pour minimiser ce biais.
Section 2: Evaluation Metrics

Métriques d'évaluation

Wang, D., & Ding, S. (2023). No Single Silver Bullet: Measuring the Accuracy of Password Strength Meters. In Proceedings of the 32nd USENIX Security Symposium (pp. 2575–2592). USENIX Association. https://www.usenix.org/system/files/sec23fall-prepub-291_wang-ding.pdf
Pertinence: Étude comparative majeure (USENIX 2023) de 12 password strength meters sur 14 datasets réels. Établit que :
  • Weighted Spearman correlation ρ est la métrique standard pour évaluer la précision
  • Cible scientifique : ρ > 0.85 pour une bonne calibration
  • Aucun meter n'existe sans compromis (zxcvbn: ρ=0.76, Hive Systems: ρ=0.68)
Time2Crack vise ρ > 0.80 globalement.
Golla, M., & Dürmuth, M. (2018). On the Accuracy of Password Strength Meters. In Proceedings of the 25th ACM Conference on Computer and Communications Security (pp. 1567–1580). ACM. https://maximiliangolla.com/files/2018/papers/ccsf285-finalv3.pdf
Pertinence: Framework d'évaluation systématique pour password strength meters (2018). Recommande : Spearman correlation + Kullback-Leibler divergence pour offline attacks. Time2Crack intègre ces deux métriques.
Castelluccia, C., Durmuth, M., & Perito, D. (2017). Adaptive Password-Strength Meters from Markov Models. In Proceedings of the NDSS Symposium. Internet Society. https://www.ndss-symposium.org/wp-content/uploads/2017/09/06_3.pdf
Pertinence: Introduit la métrique α-Guesswork (Gα) : proportion de mots de passe crackés avec G tentatives. Évalue la sécurité pratique du modèle.
Section 3: Attack Models

Modèles d'attaque

Ma, J., Yang, W., Luo, M., & Li, N. (2014). A Study of Probabilistic Password Models. In Proceedings of the 35th IEEE Symposium on Security and Privacy (pp. 689–704). IEEE. https://www.ieee-security.org/TC/SP2014/papers/A%20Study%20of%20Probabilistic%20Password%20Models.pdf
Pertinence: Comparaison fondatrice des modèles probabilistes (Markov, PCFG, neural). Établit que les attaques par combinaison de mots sont sous-estimées par les formules naïves (multiplication de rangs = hypothèse d'indépendance fausse). Time2Crack corrige cela avec calibration empirique rockyou.
Dürmuth, M., Brostoff, S., & Oprea, A. (2015). The Success of Web Applications despite the Difficulty of Password Creation Rules. In Proceedings of the 22nd NDSS Symposium. Internet Society. https://www.ndss-symposium.org/wp-content/uploads/2017/09/ndss2015_09-4_durhmuth_paper.pdf
Ur, B., Alfayez, P. G., Bhamasamy, S. M., & ... Cranor, L. F. (2015). Design and Evaluation of a Data-Driven Password Meter. In Proceedings of the ACM SIGCHI Conference on Human Factors in Computing Systems (pp. 3775–3786). ACM. https://www.usenix.org/system/files/conference/usenixsecurity15/sec15-paper-ur.pdf
Section 4: Markov and PCFG

Modèles Markov et PCFG

Weir, M., Aggarwal, S., Collins, M., & Stern, H. (2009). Testing Metrics for Password Creation Policies by Attacking Large Sets of Revealed Passwords. In Proceedings of the 17th ACM Conference on Computer and Communications Security (pp. 162–175). ACM. https://www.researchgate.net/publication/221614956
Pertinence: Méthodologie fondatrice de PCFG (Probabilistic Context-Free Grammar). Établit :
  • Décomposition en structures (L=lettre, D=digit, S=symbole)
  • Skeleton threshold ≈ 20-50 pour capturer structures réelles
  • Validation sur datasets réels (LinkedIn, Yahoo, RockYou)
Time2Crack utilise SKELETON_THRESHOLD=100 (en révision pour baisser à 30-50).
Dürmuth, M., Freeman, D., & Yazan, B. (2014). Password Guessing with Neural Networks. In Proceedings of the 25th USENIX Security Symposium. USENIX Association. https://courses.csail.mit.edu/6.857/2017/project/13.pdf
Houshmand, S., & Aggarwal, S. (2015). Next Gen PCFG Password Cracking. In IEEE Transactions on Information Forensics and Security, 10(8), 1776–1791. IEEE. https://ieeexplore.ieee.org/document/7098389
Pertinence: Extension Next-Gen de PCFG avec améliorations de performance et précision. Valide approche PCFG sur millions de mots de passe.
Narayanan, A., & Shmatikov, V. (2005). Fast Dictionary Attacks on Passwords Using Time-Space Tradeoff. In Proceedings of the 12th ACM Conference on Computer and Communications Security (pp. 364–372). ACM. https://www.usenix.org/legacy/event/sec05/tech/full_papers/narayanan/narayanan.pdf
Pertinence: Fondations des attaques par dictionnaire et rainbow tables. Établit que dictionnaire + mutations couvre ~95% des mots de passe en pratique.
Section 5: Calibration and Datasets

Calibration et datasets

Zhang, Y., Monrose, F., & Reiter, M. K. (2010). The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Study. In Proceedings of the 17th ACM Conference on Computer and Communications Security (pp. 176–186). ACM. https://users.cs.jmu.edu/reiter/papers/10ccs.pdf
National Institute of Standards and Technology (NIST) (2024). SP 800-132: Password-Based Key Derivation Function (PBKDF2). U.S. Department of Commerce. https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-132.pdf
National Institute of Standards and Technology (NIST) (2024). SP 800-63-3: Digital Identity Guidelines - Authentication and Lifecycle Management. U.S. Department of Commerce. https://pages.nist.gov/800-63-3/sp800-63b.html
Pertinence: Recommandations NIST pour sélection de mots de passe et algorithmes de hash. Établit :
  • bcrypt, scrypt, PBKDF2, Argon2 comme algorithmes acceptables
  • MD5, SHA-1 unsalted ne sont pas acceptables (rainbow tables)
  • Dictionnaires de 100k+ mots recommandés pour attaques
Hive Systems (2025). Hive Systems Password Table 2025. https://www.hivesystems.io/password-table
Pertinence: Benchmark industriel de référence avec 12× RTX 4090 GPUs. Time2Crack utilise ce profil comme baseline "experienced attacker" (12 GPU cluster).
Sprengers, M. (2011). GPU-based Password Cracking (Master's Thesis). Radboud University Nijmegen. https://www.ru.nl/
Pertinence: Étude des vitesses GPU pour hash cracking. Établit les benchmarks pour MD5, SHA-1, NTLM, bcrypt avec GPU modernes.
Section 6: Hash Rates

Vitesses de hash et benchmarks

Hashcat Project (2025). Hashcat - Advanced Password Recovery (Official Benchmarks v6.2.6). https://hashcat.net/hashcat/
Pertinence: Benchmarks officiels Hashcat sur RTX 4090 pour tous les algorithmes de hash. Time2Crack utilise ces chiffres comme vitesses "single GPU" et les multiplie par 12 pour le profil "experienced".
Gosney, J. (2016). 8x Nvidia GTX 1080 Hashcat Benchmarks. GitHub Gist. https://gist.github.com/epixoip/
Pertinence: Premier système à dépasser 330 GH/s NTLM (8 GPU cluster). Validé par industrie comme référence multi-GPU.
Amazon Web Services (2024). Amazon EC2 P4d Instances - GPU Computing. https://aws.amazon.com/ec2/instance-types/p4/
Pertinence: Infrastructure GPU commerciale disponible (100-1000 GPU clusters). Time2Crack utilise pour profiler "professional" (~100 GPU).
Additional References

Références additionnelles

Oechsle, D., Bauer, L., Grupe, J., & ... Durmuth, M. (2021). Towards a Rigorous Statistical Analysis of Empirical Password Datasets. arXiv preprint arXiv:2105.14170. https://arxiv.org/abs/2105.14170
Klebanov, S., & Malone, D. (2012). Investigating the Distribution of Password Choices. In Proceedings of the 21st International World Wide Web Conference (pp. 569–578). ACM. https://www.maths.tcd.ie/~dwmalone/p/www2012.pdf
Castelluccia, C., Durmuth, M., & Perito, D. (2015). Password Guessing via Neural Language Modeling. In IEEE Transactions on Information Forensics and Security, 10(6), 1285–1296. IEEE. https://link.springer.com/chapter/10.1007/978-3-030-30619-9_7
Asgharpour, F., Bardas, A. G., & Liu, D. (2017). Comparing and Combining Sentiment Analysis Methods. In Proceedings of the COLING (pp. 1637–1648). ACL.

Mise à jour: 17 avril 2026

← Retour à l'outil