Qu'est-ce que l'entropie du mot de passe ?

L'entropie mesure le degré d'incertitude d'un mot de passe. Elle est calculée selon la formule H = L × log₂(N), où L est la longueur du mot de passe et N est la taille de l'ensemble des caractères utilisés. Une entropie plus élevée signifie qu'il faut plus de tentatives pour le casser. Un mot de passe aléatoire de 16 caractères tiré dans l'ensemble des caractères imprimables ASCII possède environ 105 bits d'entropie — ce qui est considérablement supérieur à un mot avec des substitutions de style l33t.

Une phrase de passe est-elle plus sécurisée qu'un mot de passe complexe ?

Oui, si les mots sont choisis au hasard. Une phrase de 4 mots de Diceware possède environ 51 bits d'entropie — comparable à ou meilleur que la plupart des « mots de passe complexes » que les gens créent effectivement, et elle atteint cette entropie en pratique car les dés sont vraiment aléatoires. Un mot avec des substitutions appliquées n'est pas aléatoire, même s'il semble complexe.

Qu'est-ce que NIST dit sur la complexité des mots de passe ?

Le document NIST SP 800-63B (2017) recommande de ne pas imposer de règles de complexité obligatoires ni de rotation périodique. Il recommande la longueur comme facteur principal, le filtrage des mots de passe contre des bases de données de fuites connues, et une autorisation de jusqu'à 64 caractères. La plupart des politiques d'entreprise n'ont pas encore suivi ces recommandations.

Pourquoi les changements de mot de passe obligatoires aggraveront-ils la situation ?

Lorsque les utilisateurs sont contraints de changer leurs mots de passe selon un calendrier, ils effectuent des modifications prévisibles et progressives : Password1 → Password2, ou l'ajout de la saison et de l'année. Cela est bien documenté dans les données de fuites. NIST recommande désormais d'abandonner les rotations planifiées sauf s'il y a des preuves spécifiques de compromission.

Les pubs vous déplaisent ? Aller Sans pub Auj. 

Pourquoi P@ssword1 n'est pas vraiment sécurisé

Mis à jour le 6 juin 2026

Les règles de complexité des mots de passe étaient censées nous rendre plus sûrs. Au lieu de cela, elles nous ont donné « Password1! » partout. Voici ce que signifie vraiment l'entropie, pourquoi la longueur est supérieure à la complexité, et ce que NIST a découvert en 2017.

Pourquoi P@ssword1 n’est pas vraiment sécurisé 1

ANNONCE · Supprimer ?

La politique de mot de passe dans la plupart des entreprises ressemble à ceci : au moins 8 caractères, une majuscule, une minuscule, un chiffre, un caractère spécial. Et ailleurs, un manager IT pense que cela sécurise les systèmes.

Pendant ce temps, « Password1! » satisfait à chaque exigence de ces règles. De même, « P@ssw0rd1 » et « Summer2024! ». Ces combinaisons apparaissent régulièrement dans les bases de données de fuites — pas malgré les règles de complexité, mais en partie à cause d'elles.

Pourquoi les règles de complexité échouent

Quand on force les utilisateurs à ajouter une majuscule, un chiffre et un symbole, ils ne créent pas de hasard — ils suivent des schémas. Majuscule à la première lettre. Remplacer « a » par « @ » et « o » par « 0 ». Terminer par « 1! » ou l'année en cours. Chaque ensemble de règles de déchiffrement inclut ces transformations. L'attaque basée sur « dictionnaire + substitutions courantes + ajout de chiffres/symboles » sur une base de hachage fuite est une attaque standard, et elle fonctionne parce que c’est exactement ce que la politique a formé les utilisateurs à faire.

La règle de complexité donne l’illusion de sécurité tout en guidant systématiquement les utilisateurs vers des schémas prévisibles. C’est du théâtre de sécurité avec des étapes supplémentaires.

Entropie : ce qui compte vraiment

La force d’un mot de passe réside dans l’entropie — une mesure d’imprévisibilité. La formule est simple :

H = L × log₂(N)

Où L est la longueur du mot de passe et N est la taille de l’ensemble de caractères utilisé. Plus de bits = plus de tentatives nécessaires = plus difficile à casser.

Le mot clé est tiré de. Cette formule suppose que chaque caractère est choisi aléatoirement parmi N possibilités. Dès que l’humain choisit les caractères, tout est perdu — car les humains sont maladroits à produire du hasard.

Les chiffres

Voici comment les stratégies courantes de mot de passe se comparent :

Type de mot de passe	Exemple	Entropie maximale théorique	Entropie efficace dans la réalité
8 caractères « complexes » (mot + substitutions)	P@ssw0rd	~52 bits	~20 bits — les attaquants utilisent des méthodes basées sur des règles
10 caractères « complexes » (mot + chiffre + symbole)	P@ssw0rd1!	~65 bits	~28 bits — même problème, un peu plus long
Passphrase à quatre mots Diceware	correct horse battery staple	~52 bits	~52 bits — vraiment aléatoire si des dés ont été utilisés
16 caractères aléatoires (ensemble complet imprimable)	Xk9#mP2vQw7&nZ4j	~105 bits	~105 bits — seulement réalisable avec un gestionnaire de mots de passe

« correct horse battery staple » et « P@ssw0rd » ont une entropie théorique similaire sur papier — mais seulement la passphrase la réalise, car le lancer de dés est vraiment aléatoire et « mot de passe avec o→0 et a→@ » ne l’est pas. Les attaquants connaissent toutes les règles de substitution que vous connaissez.

Ce que NIST a découvert en 2017

La publication spéciale NIST 800-63B a progressivement inversé les décennies de sagesse conventionnelle. Les principales modifications de la version de 2017 sont les suivantes :

Aucune règle obligatoire de complexité. Exiger des majuscules/minuscules/chiffres/symboles ne renforce pas la sécurité comme on le pensait.
Aucune rotation forcée périodique. « Changer votre mot de passe tous les 90 jours » produit Password1 → Password2 → Password3. Sauf preuve de compromission, la rotation cause plus de dommages que de bénéfices.
La longueur au-dessus de la complexité. Un mot de passe plus long est presque toujours plus sécurisé qu’un mot de passe plus court mais complexe. NIST recommande une longueur minimale de 8 caractères et suggère de permettre jusqu’à 64.
Écran contre les mots de passe exposés dans les fuites. Bloquer les mots de passe apparaissant dans les bases de données de fuites. Cela est bien plus efficace que la nécessité d’un caractère spécial.

La plupart des départements IT des entreprises exécutent des politiques de 2003 en 2025. Les recommandations ont changé. Les dialogues de mot de passe n’ont pas encore été mis à jour.

Passphrases versus mots de passe complexes

Le dessin xkcd « correct horse battery staple » n’était pas seulement une blague — le calcul tient. Une passphrase composée de quatre mots communs aléatoires a environ 44 à 52 bits d’entropie selon la liste de mots. Cela dépasse la plupart des mots de passe complexes que les gens créent en pratique, et c’est quelque chose qu’un humain peut vraiment se souvenir et taper.

La difficulté : les mots doivent être vraiment aléatoires. « Mon chien Max aime la pizza » n’est pas une passphrase — c’est une phrase avec un contexte personnel qui réduit considérablement l’espace de recherche. Choisissez des mots en lançant des dés (Diceware) ou en utilisant un générateur de nombres aléatoires, pas votre esprit.

Les mythes courants sur la sécurité des mots de passe

Mythe : Les caractères spéciaux rendent les mots de passe sécurisés. Seulement si le mot de passe sous-jacent est aléatoire. Ajouter « ! » à un mot de passe basé sur un mot apporte peut-être 6 bits d’entropie et presque rien dans une attaque basée sur des règles.
Mythe : Les mots de passe plus longs sont plus difficiles à taper, donc ils sont pires en termes d’expérience utilisateur. Une passphrase à quatre mots est plus longue en caractères mais est souvent plus facile à taper que Tr0ub4dor&3.
Mythe : Une rotation fréquente équivaut à une meilleure sécurité. Les bases de données de fuites montrent régulièrement que les rotations forçées aboutissent à des changements prévisibles. NIST recommande maintenant explicitement de les éviter sauf en cas de compromission confirmée.
Mythe : Un gestionnaire de mots de passe est risqué car une fuite expose tout. L’alternative — le réutilisation de mots de passe faibles sur plusieurs sites — expose tout sur la première fuite d’un service que vous utilisez. Les gestionnaires de mots de passe ont un avantage en termes d’attente de valeur.

Ce qui fonctionne vraiment

Utilisez un gestionnaire de mots de passe et laissez-le générer des mots de passe longs et vraiment aléatoires (16 caractères ou plus, ensemble complet des caractères). Vous vous souvenez d’un mot de passe fort de maître ; le gestionnaire gère tout le reste. Bitwarden, 1Password et KeePassXC sont les choix raisonnables selon que vous souhaitez la synchronisation en cloud ou en local uniquement.

Utilisez des passphrases Diceware pour tout ce que vous devez taper ou retenir. Lancez des dés réels, consultez les mots dans la liste de mots grande de l’EFF, assemblez quatre ou cinq mots ensemble. Ne sautez pas les dés — choisir les mots vous-même annule tout l’objectif.

Vous pouvez vérifier où un mot de passe se situe sur l’échelle de l’entropie avec le Analyseur de force de mot de passe — il affiche le temps estimé de déchiffrement réel plutôt que le théâtre de couleur vert/jaune/rouge que la plupart des sites offrent. Et si vous avez besoin d’un mot de passe vraiment aléatoire généré pour vous, le Générateur de mot de passe vous permet de définir la longueur et l’ensemble des caractères et produit quelque chose qui n’est pas « Summer2025! ».

L’essentiel

Les règles de complexité ont gagné. Elles sont intégrées dans chaque politique d’entreprise, chaque inscription à un compte consommateur, chaque dialogue « votre mot de passe doit contenir… ». Elles ont aussi échoué — les bases de données de fuites sont pleines des types de mots de passe que ces règles produisent.

La longueur et la véritable aléatoire sont les leviers qui déplacent réellement l’entropie. Tout le reste est une case à cocher qui fait croire que le dialogue de mot de passe fait quelque chose.

Vous aimerez peut-être aussi

gRPC and Protocol Buffers: <span class="heading-styled"> What Your .proto Files Actually Compile To</span>

Nouveau

gRPC and Protocol Buffers: What Your .proto Files Actually Compile To

En savoir plus "

Mis à jour le Juin 26, 2026

CORS Expliqué : <span class="heading-styled"> Why Your API Keeps Blocking You (and How to Fix It)</span>

Nouveau

CORS Expliqué : Why Your API Keeps Blocking You (and How to Fix It)

En savoir plus "

Mis à jour le Juin 26, 2026

Structured Logging: <span class="heading-styled"> Stop console.log-ing Strings and Start Logging JSON Your Ops Team Can Actually Query</span>

Nouveau

Structured Logging: Stop console.log-ing Strings and Start Logging JSON Your Ops Team Can Actually Query

En savoir plus "

Mis à jour le Juin 25, 2026

Nouveau

Content-Type and MIME Types — What That Header Actually Controls (and Why charset Breaks JSON Parsers)

En savoir plus "

Publié le Juin 24, 2026

Envie d'une expérience sans pub ? Passez à la version sans pub



 Installez nos extensions

Ajoutez des outils IO à votre navigateur préféré pour un accès instantané et une recherche plus rapide

Sur

恵 Le Tableau de Bord Est Arrivé !

Tableau de Bord est une façon amusante de suivre vos jeux, toutes les données sont stockées dans votre navigateur. D'autres fonctionnalités arrivent bientôt !

ANNONCE · Supprimer ?