Guide de sécurité

Explication de l'entropie des mots de passe

Comprenez l'entropie des mots de passe, l'espace de recherche, la taille de l'alphabet, la longueur, et pourquoi les bits théoriques ne sont qu'une estimation supérieure.

Résumé

L’entropie d’un mot de passe est une façon de décrire la taille de l’espace de recherche qu’un attaquant devrait explorer. Pour un mot de passe uniformément aléatoire, une formule utile de borne supérieure est :

bits = length × log2(alphabet size)

Utilisez le calculateur de temps de cassage de mot de passe pour comparer les hypothèses.

Taille de l’alphabet

La taille de l’alphabet est le nombre de caractères possibles. Les lettres minuscules offrent 26 options. Majuscules plus minuscules donnent 52. Ajouter des chiffres donne 62. Les symboles peuvent augmenter davantage l’ensemble, mais seulement si le service les accepte et que le générateur les sélectionne aléatoirement.

Longueur

La longueur multiplie l’espace de recherche. Un mot de passe aléatoire plus long offre généralement une amélioration pratique plus importante qu’un mot de passe court agrémenté de symboles prévisibles.

Avertissement sur la borne supérieure

La formule suppose que chaque position est sélectionnée uniformément dans l’alphabet. Elle ne s’applique pas aux phrases humaines, aux mots de passe réutilisés, aux mots du dictionnaire, aux dates, aux motifs de clavier, aux identifiants divulgués ou aux résultats édités. Elle ne modélise pas non plus le hachage côté service ou les limites de taux en ligne.

Recommandations pratiques

• Traitez l’entropie comme un outil de comparaison, pas une garantie.
• Préférez les valeurs générées aléatoirement.
• Utilisez plus de longueur pour les alphabets restreints.
• Gardez chaque mot de passe unique.
• Stockez les résultats en toute sécurité.

Guide détaillé

Ce guide se concentre sur l’interprétation de l’entropie des mots de passe sans exagération. Il est écrit pour les lecteurs qui comparent la longueur, la taille de l’alphabet et les listes de mots de phrases de passe, donc l’objectif pratique n’est pas de créer une revendication de sécurité dramatique. L’objectif est de choisir une habitude de mot de passe qui puisse survivre à une utilisation quotidienne : formulaires de connexion, gestionnaires de mots de passe, claviers mobiles, récupération de compte, appareils partagés, et parfois des services avec des règles de validation étranges. Une recommandation sécurisée n’est utile que si une personne réelle peut la suivre de manière cohérente.

Le point de départ le plus sûr est l’aléatoire plus l’unicité. L’aléatoire signifie que la valeur est sélectionnée dans un grand espace par une source aléatoire cryptographiquement adaptée, non inventée à partir d’un anniversaire, d’un nom d’animal, d’un motif de clavier ou d’une citation favorite. L’unicité signifie que le même mot de passe n’est utilisé nulle part ailleurs. Un mot de passe long mais réutilisé peut échouer rapidement après une fuite non liée, tandis qu’un mot de passe unique et aléatoire limite les dégâts au seul compte où il a été utilisé.

Pour ce sujet, un préréglage pratique est la longueur multipliée par le log2 de la taille de l’alphabet aléatoire pour les mots de passe uniformément aléatoires. Vous pouvez appliquer ce préréglage avec le vérificateur de force de mot de passe puis stocker la valeur finale dans un gestionnaire de mots de passe de confiance. PwdGen génère les valeurs localement dans le navigateur avec Web Crypto ; le mot de passe généré n’est pas envoyé à un serveur PwdGen. Cette conception locale réduit l’exposition côté serveur, mais ne protège pas contre toutes les menaces. Une extension de navigateur malveillante, un appareil compromis, une page de phishing ou une gestion non sécurisée du presse-papiers peuvent toujours exposer un secret après sa génération.

Les problèmes les plus courants à éviter sont l’application de la formule simple aux mots de passe choisis par l’humain, l’ignorance de la réutilisation et le traitement des estimations comme des garanties. Ces problèmes comptent car les attaquants ont rarement besoin de forcer brutalement tous les mots de passe possibles lorsque les habitudes humaines leur offrent un raccourci. Le credential stuffing, le phishing, les listes de mots de passe divulguées et l’abus de récupération de compte sont souvent plus réalistes qu’une recherche mathématique pure. C’est pourquoi le meilleur conseil combine la qualité du mot de passe avec des contrôles au niveau du compte tels que l’authentification multifacteur (MFA), les clés d’accès, le stockage des codes de récupération et la vérification régulière des paramètres de l’email ou du téléphone de récupération.

Utilisez cette liste de contrôle lors de l’application de la recommandation :

• Utilisez l’entropie uniquement pour la génération aléatoire.
• Utilisez des vérifications de type zxcvbn pour les entrées humaines.
• Augmentez la longueur lorsque des restrictions d’alphabet s’appliquent.
• Rappelez-vous que les hachages de stockage affectent la vitesse d’attaque.

Si un site web rejette le réglage idéal, ne forcez pas le mot de passe dans un motif plus faible à la main. Ajustez une variable à la fois. Si les symboles sont rejetés, gardez les majuscules, minuscules et chiffres activés et augmentez la longueur. Si une longueur maximale est faible, utilisez la plus grande longueur acceptée et assurez-vous que la valeur est unique. Si un mot de passe doit être lu à voix haute, imprimé ou tapé sur un écran de télévision ou de routeur, envisagez d’exclure les caractères ambigus et d’augmenter la longueur pour compenser le plus petit alphabet.

Enfin, rappelez-vous les limites des conseils sur les mots de passe. Un mot de passe fort est une couche de défense, pas une garantie. Il ne peut pas rendre une page de phishing sûre, réparer un logiciel malveillant ou compenser un service qui stocke mal les identifiants. L’habitude utile est ennuyeuse mais durable : générez une valeur unique, stockez-la en toute sécurité, protégez le chemin de récupération et remplacez-la rapidement si vous suspectez une exposition.

Une prochaine étape sûre

Après avoir lu ce guide, faites un petit audit de compte au lieu d’essayer de tout réparer à la fois. Choisissez le compte qui causerait le plus de problèmes s’il était compromis, confirmez que son mot de passe est unique, et vérifiez l’email de récupération, le téléphone de récupération, la méthode MFA et le stockage des codes de secours. Si une partie de cette chaîne est faible, améliorez cette partie avant de passer aux comptes à moindre risque. Cet ordre maintient le travail gérable et protège les comptes que les attaquants sont les plus susceptibles d’utiliser comme tremplin. Pour l’explication de l’entropie des mots de passe, le meilleur résultat est une habitude reproductible : générer localement, stocker soigneusement et éviter la réutilisation.

Questions fréquentes

Quelle est la formule simple de l’entropie ?

Pour des caractères uniformément aléatoires, une formule courante de borne supérieure est la longueur multipliée par le log2 de la taille de l’alphabet.

Pourquoi l’entropie n’est-elle qu’une estimation ?

Elle suppose une sélection aléatoire uniforme et ne tient pas compte de la réutilisation, des fuites, des modifications humaines, des appareils compromis ou du stockage de destination.

Les symboles ajoutent-ils toujours plus d’entropie ?

Les symboles augmentent la taille de l’alphabet lorsqu’ils sont sélectionnés aléatoirement, mais l’ajout de longueur offre souvent un avantage plus important et plus facile à utiliser.