Guide de sécurité

Mot de passe vs phrase de passe

Comparez les mots de passe à caractères aléatoires et les phrases de passe à mots aléatoires, y compris la mémorisation, l'entropie, le stockage et les cas d'utilisation sécurisés.

Résumé

Un mot de passe est généralement une chaîne de caractères aléatoires. Une phrase de passe est généralement une séquence de mots. Les deux peuvent être forts s’ils sont générés aléatoirement, uniques et stockés ou mémorisés en toute sécurité. Le bon choix dépend de si vous avez besoin d’une compacité maximale, d’une facilité de frappe ou d’une mémorisation.

Utilisez le générateur de phrase de passe lorsque vous voulez des mots aléatoires, ou le générateur de mot de passe lorsqu’un site attend un mot de passe compact.

Mots de passe à caractères aléatoires

Les mots de passe à caractères aléatoires sont efficaces : chaque caractère peut augmenter l’espace de recherche. Ils sont idéaux pour les gestionnaires de mots de passe, les panneaux d’administration, le WiFi, les services bancaires, les e-mails et les secrets de développeur. L’inconvénient est qu’ils sont difficiles à mémoriser et désagréables à taper sur les petits claviers.

Phrases de passe à mots aléatoires

Les phrases de passe sont plus faciles à lire et à taper. Le mot important est « aléatoire ». Une phrase que vous inventez, une citation, une parole de chanson ou une phrase familière peut être devinée par des outils basés sur des motifs. Une phrase de passe doit être composée de mots sélectionnés indépendamment à partir d’une liste suffisamment grande.

Recommandations pratiques

• Utilisez des mots de passe à caractères aléatoires pour la plupart des comptes stockés dans un gestionnaire.
• Utilisez des phrases de passe pour les identifiants que vous pourriez avoir besoin de retenir.
• Ne réutilisez aucun des deux formats.
• Évitez les phrases personnelles, les citations, les noms et les dates.
• Vérifiez si les espaces ou les séparateurs sont acceptés par la destination.

Guide détaillé

Ce guide se concentre sur le choix entre les mots de passe à caractères aléatoires et les phrases de passe aléatoires. Il est écrit pour les personnes qui ont besoin à la fois de mots de passe stockés sécurisés et de secrets de connexion mémorisables, donc l’objectif pratique n’est pas de créer une revendication de sécurité dramatique. L’objectif est de choisir une habitude de mot de passe qui peut survivre à une utilisation quotidienne : formulaires de connexion, gestionnaires de mots de passe, claviers mobiles, récupération de compte, appareils partagés et le service occasionnel avec des règles de validation étranges. Une recommandation sécurisée n’est utile que si une personne réelle peut la suivre de manière cohérente.

Le point de départ le plus sûr est le caractère aléatoire plus l’unicité. Le caractère aléatoire signifie que la valeur est sélectionnée dans un grand espace par une source aléatoire cryptographiquement appropriée, non inventée à partir d’un anniversaire, d’un nom d’animal, d’un motif de clavier ou d’une citation préférée. L’unicité signifie que le même mot de passe n’est utilisé nulle part ailleurs. Un mot de passe long mais réutilisé peut échouer rapidement après une violation non liée, tandis qu’un mot de passe aléatoire unique limite les dégâts au seul compte où il a été utilisé.

Pour ce sujet, un préréglage pratique est de quatre à six mots aléatoires pour la mémorisation, ou des caractères aléatoires pour le stockage dans un gestionnaire de mots de passe. Vous pouvez appliquer ce préréglage avec le générateur de phrase de passe puis stocker la valeur finale dans un gestionnaire de mots de passe de confiance. PwdGen génère les valeurs localement dans le navigateur avec Web Crypto ; le mot de passe généré n’est pas envoyé à un serveur PwdGen. Cette conception locale réduit l’exposition côté serveur, mais elle ne protège pas contre toutes les menaces. Une extension de navigateur malveillante, un appareil compromis, une page de phishing ou une gestion non sécurisée du presse-papiers peuvent toujours exposer un secret après sa génération.

Les problèmes les plus courants à éviter sont les phrases manuscrites, les citations célèbres, les paroles de chansons, les slogans personnels et les phrases de dictionnaire choisies par un humain. Ces problèmes comptent car les attaquants ont rarement besoin de forcer brutalement tous les mots de passe possibles lorsque les habitudes humaines leur donnent un raccourci. Le credential stuffing, le phishing, les listes de mots de passe divulguées et l’abus de récupération de compte sont souvent plus réalistes qu’une recherche mathématique pure. C’est pourquoi le meilleur conseil combine la qualité du mot de passe avec des contrôles au niveau du compte tels que MFA, les passkeys, le stockage des codes de récupération et la vérification régulière des paramètres de l’e-mail ou du téléphone de récupération.

Utilisez cette liste de contrôle lors de l’application de la recommandation :

• Utilisez des mots sélectionnés aléatoirement, pas une phrase que vous inventez.
• Gardez les séparateurs cohérents avec le formulaire de destination.
• Ne réutilisez pas une phrase de passe sur plusieurs comptes.
• Utilisez un gestionnaire pour les mots de passe longs et aléatoires.

Si un site Web rejette le réglage idéal, ne forcez pas le mot de passe dans un motif plus faible à la main. Ajustez une variable à la fois. Si les symboles sont rejetés, gardez les majuscules, les minuscules et les chiffres activés et augmentez la longueur. Si une longueur maximale est faible, utilisez la plus grande longueur acceptée et assurez-vous que la valeur est unique. Si un mot de passe doit être lu à voix haute, imprimé ou tapé sur un écran de télévision ou de routeur, envisagez d’exclure les caractères ambigus et d’augmenter la longueur pour compenser l’alphabet plus petit.

Enfin, rappelez-vous la limite des conseils sur les mots de passe. Un mot de passe fort est une couche de défense, pas une garantie. Il ne peut pas rendre une page de phishing sûre, réparer un logiciel malveillant ou compenser un service qui stocke mal les identifiants. L’habitude utile est ennuyeuse mais durable : générez une valeur unique, stockez-la en toute sécurité, protégez le chemin de récupération et remplacez-la rapidement si vous soupçonnez une exposition.

Questions fréquentes

Une phrase de passe est-elle toujours plus forte qu’un mot de passe ?

Non. Une phrase de passe aléatoire peut être forte, mais une citation ou une phrase familière n’est pas équivalente à des mots sélectionnés aléatoirement.

Quand dois-je choisir une phrase de passe ?

Choisissez une phrase de passe lorsque vous pourriez avoir besoin de la retenir ou de la taper manuellement, en particulier pour un identifiant maître de gestionnaire de mots de passe.

Combien de mots une phrase de passe doit-elle utiliser ?

Quatre mots aléatoires est un point de départ pratique ; ajoutez plus de mots pour des utilisations de plus grande valeur ou des listes de mots plus petites.