Phrase secrète vs mot de passe : entropie et sécurité expliquées
Comprenez les mathématiques derrière l'entropie des mots de passe et apprenez quand les phrases secrètes surpassent les mots de passe traditionnels. Inclut calculs d'entropie, méthodologie Diceware et recommandations pratiques.
Lecture essentielle
Le problème de l'entropie : pourquoi la plupart des mots de passe échouent
Chaque mot de passe possède une propriété mesurable appelée entropie — le nombre de bits d'aléatoire qu'il contient. Plus d'entropie signifie plus de combinaisons possibles qu'un attaquant doit essayer. Un mot de passe avec 50 bits d'entropie a 2^50 possibilités. À un milliard d'essais par seconde, cela prend environ 13 jours. À 80 bits, même un billion d'essais par seconde prendrait 38 000 ans.
L'idée clé est que l'entropie dépend de la façon dont le mot de passe a été généré, pas de son apparence. "Tr0ub4dor&3" semble complexe mais n'a qu'environ 28 bits d'entropie. Pendant ce temps, "correct horse battery staple" fournit environ 52 bits avec la liste EFF de 7 776 mots.
La plupart des politiques se concentrent sur la composition des caractères plutôt que l'entropie réelle. Cela crée un faux sentiment de sécurité : "Summer2026!" satisfait toutes les exigences mais tombe face à une attaque par dictionnaire en secondes.
Comment l'entropie des mots de passe est calculée
Pour un mot de passe vraiment aléatoire, l'entropie = log₂(C^L), où C est la taille du jeu de caractères et L la longueur. Un mot de passe de 12 caractères d'un ensemble de 95 a ≈ 79 bits.
Pour les phrases, l'entropie = log₂(W^N), où W est la taille de la liste et N le nombre de mots. Avec la liste EFF (7 776 mots) : 4 mots ≈ 51,7 bits ; 5 mots ≈ 64,6 bits ; 6 mots ≈ 77,5 bits ; 7 mots ≈ 90,5 bits.
Ce calcul suppose que l'attaquant connaît votre méthode de génération. C'est la mesure de sécurité conservative et réaliste.
- 8 caractères aléatoires (a-z) : log₂(26^8) ≈ 37,6 bits
- 12 caractères aléatoires (a-z, A-Z, 0-9, symboles) : log₂(95^12) ≈ 78,8 bits
- 4 mots Diceware : log₂(7776^4) ≈ 51,7 bits
- 6 mots Diceware : log₂(7776^6) ≈ 77,5 bits
- 16 caractères aléatoires (ASCII complet) : log₂(95^16) ≈ 105 bits
- 8 mots Diceware : log₂(7776^8) ≈ 103,4 bits
L'argument en faveur des phrases secrètes
Les phrases offrent un avantage unique : elles échangent la complexité de caractères contre la longueur, atteignant une haute entropie tout en restant mémorables. Une phrase de six mots a environ 78 bits d'entropie — égalant un mot de passe aléatoire de 12 caractères — mais est bien plus facile à retenir.
Le facteur de mémorabilité n'est pas qu'une commodité — c'est un avantage de sécurité. Quand les mots de passe sont difficiles à retenir, les utilisateurs les notent de façon non sécurisée ou les réutilisent.
Les phrases résistent aussi mieux à l'observation par-dessus l'épaule que les mots de passe en caractères.
La méthode Diceware, développée par Arnold Reinhold en 1995, utilise des dés physiques pour sélectionner des mots d'une liste numérotée. L'EFF a mis à jour la liste en 2016 pour utiliser uniquement des mots anglais courants.
L'argument en faveur des mots de passe aléatoires
Les mots de passe aléatoires atteignent une entropie plus élevée par caractère. Un mot de passe de 16 caractères fournit environ 105 bits — il faudrait 8 mots Diceware pour égaler cela.
Pour les comptes gérés par un gestionnaire, les mots de passe aléatoires sont strictement supérieurs. Le gestionnaire gère tout, donc la mémorabilité est sans importance.
Les mots de passe aléatoires sont aussi plus compacts, ce qui compte dans les systèmes avec des limites de longueur basses.
L'inconvénient clé est qu'ils sont impossibles à mémoriser. Si vous perdez l'accès à votre gestionnaire, la récupération dépend de votre stratégie de sauvegarde.
Quand utiliser chaque approche
Utilisez des phrases pour : votre mot de passe maître ; les connexions ordinateur ; les PINs de téléphone ; les mots de passe de chiffrement de disque ; et tout identifiant où vous ne pouvez pas compter sur le remplissage automatique.
Utilisez des mots de passe aléatoires pour : tous les comptes dans votre gestionnaire ; les clés API ; les comptes de service ; les mots de passe de base de données.
Pour une sécurité maximale, combinez les deux approches : une phrase forte comme mot de passe maître et des mots de passe aléatoires uniques pour chaque compte individuel.
Renforcer votre phrase secrète
Commencez avec un minimum de 5 mots pour les comptes personnels et 6-7 pour les cibles à haute valeur. Utilisez la liste EFF ou une liste équivalente avec au moins 7 776 entrées.
Envisagez d'ajouter une ou deux modifications : mettez en majuscule un mot aléatoire, insérez un chiffre entre deux mots ou utilisez un séparateur inhabituel.
Ne sélectionnez jamais les mots vous-même. La sélection humaine est fortement biaisée vers les mots communs. Utilisez toujours des dés ou un générateur cryptographique.
- Minimum 5 mots pour comptes standard, 6-7 pour les critiques
- Utilisez des dés ou un CSPRNG — ne choisissez jamais manuellement
- Ajoutez une petite modification (majuscule, chiffre, séparateur)
- Utilisez une liste de 7 776+ mots (EFF Diceware)
- Entraînez-vous à taper jusqu'à développer la mémoire musculaire
- Conservez une copie écrite dans un lieu physiquement sûr
Conclusion
Les phrases et les mots de passe aléatoires peuvent offrir une excellente sécurité utilisés correctement. Le choix dépend du contexte : phrases pour la mémoire humaine, mots de passe aléatoires pour la gestion machine.
Quelle que soit la méthode, le facteur le plus important est l'unicité. Une phrase parfaite réutilisée sur trois sites est bien moins sécurisée que trois mots de passe médiocres mais uniques.
Étapes suivantes
Que faire avec un mot de passe sécurisé ?
Un mot de passe fort n'est que la première étape. Pour protéger réellement vos comptes, vous avez besoin d'un gestionnaire de mots de passe fiable qui stocke, remplit automatiquement et synchronise vos identifiants sur tous vos appareils.
Nous avons comparé les gestionnaires de mots de passe les plus populaires de 2026 pour vous aider à faire le bon choix.
NordPass se distingue par son chiffrement XChaCha20 à connaissance zéro, le support natif des passkeys et l'interface la plus intuitive parmi les gestionnaires premium.
| Fonctionnalité | NordPass | 1Password | Bitwarden Free |
|---|---|---|---|
| Prix/mois | $1.49/mo | $2.99/mo | $0 |
| Appareils | Illimité | Illimité | Illimité |
| Passkeys | Oui | Oui | Non |
| Scan de fuites | Oui | Oui | Non |
| 2FA intégré | Oui | Oui | Oui |
| Partage sécurisé | Oui | Oui | Limité |
| Remplissage auto | Oui | Oui | Oui |
Ceci est un lien d'affiliation. Si vous effectuez un achat, je peux recevoir une commission — cela aide à maintenir le site gratuit.