L'entropie des mots de passe expliquée : ce qui rend un mot de passe robuste
Lorsqu'un site web vous indique que votre mot de passe est « faible » ou « fort », il mesure l'entropie — le caractère aléatoire mathématique de votre mot de passe. Comprendre l'entropie vous aide à créer des mots de passe véritablement sécurisés plutôt que simplement difficiles à taper.
Qu'est-ce que l'entropie ?
L'entropie, mesurée en bits, quantifie le degré d'imprévisibilité d'un mot de passe. Chaque bit d'entropie double le nombre de mots de passe possibles qu'un attaquant doit essayer. La formule est :
Entropy = log₂(C^L)
Où :
- C = taille de l'ensemble de caractères
- L = longueur du mot de passe
Alternativement : Entropie = L × log₂(C)
Entropie par ensemble de caractères
| Ensemble de caractères | Taille du pool (C) | Bits par caractère |
|---|---|---|
| Chiffres uniquement (0-9) | 10 | 3,32 |
| Lettres minuscules (a-z) | 26 | 4,70 |
| Minuscules + chiffres | 36 | 5,17 |
| Casse mixte (a-z, A-Z) | 52 | 5,70 |
| Casse mixte + chiffres | 62 | 5,95 |
| Tous les caractères ASCII imprimables | 95 | 6,57 |
Exemples de calculs :
password(8 minuscules) : 8 × 4,70 = 37,6 bits — cassable en quelques secondesP@ssw0rd(8 mixtes) : 8 × 6,57 = 52,6 bits — cassable en quelques heurescorrect-horse-battery-staple(28 minuscules + symboles) : une entropie effective bien supérieure grâce à la longueur
Longueur vs. complexité
Voici la vérité contre-intuitive : la longueur contribue plus à l'entropie que la complexité.
| Mot de passe | Longueur | Entropie | Temps de cassage (1 milliard d'essais/sec) |
|---|---|---|---|
Xy7! | 4 | 26,3 bits | < 1 seconde |
Xy7!Qp2$ | 8 | 52,6 bits | 142 ans |
mysimplepassword | 16 | 75,2 bits | 1,2 milliard d'années |
correct horse battery | 22 | 103 bits | Mort thermique de l'univers |
Un mot de passe de 16 caractères en minuscules est plus robuste qu'un mot de passe de 8 caractères avec tous les types de caractères. C'est pourquoi les recommandations de sécurité modernes (NIST SP 800-63B) préconisent des phrases de passe longues plutôt que des mots de passe courts et complexes.
Le problème des « règles de complexité »
Les politiques de mots de passe traditionnelles (doit contenir une majuscule, une minuscule, un chiffre, un symbole) sont contre-productives :
- Schémas prévisibles : Les utilisateurs mettent une majuscule à la première lettre, ajoutent
1!à la fin →Password1! - Mémorisation réduite : Les mots de passe complexes finissent sur des post-it
- Fausse sécurité : Un mot de passe « complexe » de 8 caractères a moins d'entropie qu'un mot de passe simple de 16 caractères
Recommandations modernes du NIST :
- Minimum 8 caractères, 15+ recommandés
- Pas de règles de composition (majuscules, symboles, etc.)
- Vérification dans les bases de données de mots de passe compromis
- Autoriser tous les caractères imprimables, espaces inclus
- Pas de rotation périodique forcée
Stratégie des phrases de passe
Les phrases de passe utilisent des mots aléatoires au lieu de caractères aléatoires :
method: pick 4-6 random words from a dictionary
example: "timber quantum spoon velocity"
entropy: 4 words × ~12.9 bits/word (from 7,776-word list) ≈ 51.7 bits
better: 6 words ≈ 77.5 bits
La méthode Diceware utilise une liste de 7 776 mots (6^5, correspondant à cinq lancers de dés). Chaque mot ajoute 12,9 bits d'entropie.
Avantages :
- Mémorisable (vous pouvez visualiser les mots)
- Long (naturellement 20-35 caractères)
- Entropie élevée avec suffisamment de mots
- Facile à taper
Générez des mots de passe et phrases de passe aléatoires sécurisés avec notre Générateur de mots de passe.
Vitesses d'attaque réelles
L'entropie n'a de sens que par rapport à la vitesse d'attaque :
| Type d'attaque | Vitesse | Mot de passe 40 bits | Mot de passe 60 bits | Mot de passe 80 bits |
|---|---|---|---|---|
| En ligne (limité en débit) | 1 000/sec | 12,7 jours | 36 559 ans | 38M d'années |
| Hors ligne (CPU) | 1 Md/sec | 1,1 seconde | 36,5 ans | 38 334 ans |
| Hors ligne (cluster GPU) | 1 T/sec | < 1 seconde | 13 jours | 38 ans |
| État-nation | 1 P/sec | < 1 seconde | < 1 seconde | 14 jours |
Pour les comptes en ligne avec limitation de débit et verrouillage, 40+ bits sont suffisants. Pour les attaques hors ligne (hachages de mots de passe volés), 80+ bits est le minimum. C'est pourquoi les algorithmes de hachage comme Argon2 et bcrypt existent — ils rendent chaque tentative coûteuse.
Les mathématiques du gestionnaire de mots de passe
Un gestionnaire de mots de passe change complètement l'équation :
- Un seul mot de passe maître robuste : 80+ bits d'entropie (phrase de passe de 6+ mots)
- Tous les autres mots de passe : Générés aléatoirement, 128+ bits, uniques par site
- Pas de réutilisation : Une fuite sur un site n'affecte pas les autres
Les mathématiques en faveur des gestionnaires de mots de passe sont écrasantes. Un seul mot de passe réutilisé, aussi robuste soit-il, est plus faible que des mots de passe faibles mais uniques par site, car une seule fuite compromet tous les comptes.
Évaluer votre mot de passe
Lors de l'évaluation de la robustesse d'un mot de passe, considérez :
- Est-il dans une base de données de fuites ? — Même les mots de passe « forts » sont faibles s'ils ont été divulgués (vérifiez haveibeenpwned.com)
- Est-il aléatoire ? — Les mots de passe choisis par des humains ont bien moins d'entropie que les mots de passe aléatoires
- Comment est-il stocké ? — bcrypt avec un facteur de coût de 12 ajoute environ 22 bits d'entropie effective par rapport à un simple MD5
Pour en savoir plus sur la génération sécurisée de mots de passe, consultez notre guide complet sur la génération de mots de passe forts.
FAQ
Combien de bits d'entropie me faut-il ?
Pour les comptes en ligne avec limitation de débit : 40-50 bits minimum. Pour les mots de passe protégeant des données chiffrées (chiffrement de disque, mot de passe maître du gestionnaire) : 80+ bits. Pour les clés cryptographiques : 128+ bits. La bonne réponse dépend de ce que vous protégez et de qui pourrait vous attaquer.
Ajouter un symbole à mon mot de passe le rend-il significativement plus robuste ?
Ajouter un symbole augmente le pool de caractères de 62 à 95, ajoutant environ 0,6 bit par caractère. Pour un mot de passe de 8 caractères, cela représente environ 5 bits supplémentaires — l'équivalent d'ajouter un caractère minuscule de plus. La longueur est presque toujours un meilleur investissement que l'ajout de types de caractères.
Ressources associées
- Générateur de mots de passe — Générez des mots de passe cryptographiquement sécurisés
- Générer des mots de passe forts — Guide complet sur la sécurité des mots de passe
- Comparaison des algorithmes de hachage — Comment les mots de passe sont stockés de manière sécurisée