L'entropie des mots de passe expliquée — et pourquoi ton mot de passe "complexe" est plus faible qu'une passphrase
L'entropie est la seule mesure honnête de la force d'un mot de passe. Voici comment elle se calcule, combien de temps les attaquants mettent à casser différents niveaux, et pourquoi quatre mots aléatoires battent souvent un "P@ssw0rd!" de 12 caractères.
"Fais un mot de passe complexe" est un conseil inutile. Il te dit d'ajouter un symbole et un chiffre comme si ça rendait le mot de passe sûr. Non. La seule mesure honnête de la force d'un mot de passe est l'entropie, et la plupart des mots de passe "complexes" y scorent moins bien que tu ne le penses.
Ce que l'entropie mesure vraiment
L'entropie est le nombre de bits d'aléatoire dans ton mot de passe — en d'autres termes, combien de tentatives un attaquant doit faire en moyenne pour le casser par force brute. Elle se calcule : longueur × log₂(taille du pool).
Exemple : un mot de passe de 10 caractères utilisant uniquement des minuscules (pool = 26) a une entropie de 10 × log₂(26) ≈ 47 bits. Un 10 caractères avec minuscules, majuscules, chiffres et symboles (pool = 88) fait 10 × log₂(88) ≈ 64.6 bits. Même longueur, mais chaque caractère travaille plus.
Combien de bits pour être "sûr" ?
Seuils modernes approximatifs (en supposant un mot de passe bien hashé qui survit à une fuite DB — si le site utilise bcrypt ou argon2, ce qu'il devrait) :
- Sous 40 bits : cassable en minutes par un seul GPU.
- 40–60 bits : cassable en heures à semaines par un attaquant sérieux avec une ferme GPU.
- 60–80 bits : sûr contre la force brute offline d'aujourd'hui. Bon objectif pour les comptes individuels.
- 80–100 bits : résistant à n'importe quel adversaire actuel, États inclus, pour la durée de vie du matériel actuel.
- 100+ bits : excessif pour tout modèle de menace réaliste.
Vise 80 bits pour tout ce qui protège argent, identité ou infrastructure. Vise 100+ pour le master password de ton gestionnaire.
Le piège du mot de passe "complexe"
Les utilisateurs à qui l'on demande un mot de passe "complexe" choisissent des patterns prévisibles : majuscule en première lettre, chiffre à la fin, a remplacé par @. Password1! fait 10 caractères et paraît complexe à un humain. Pour un cracker, c'est une seule tentative — il apparaît dans tous les dictionnaires de mots de passe fuités.
L'entropie réelle des mots de passe choisis par les humains est dramatiquement plus basse que la taille de pool suggère, parce que les humains ne sont pas bons pour être aléatoires. Les études la placent constamment autour de 20–30 bits quelle que soit la complexité prétendue.
Pourquoi les passphrases gagnent
Une passphrase est composée de 4–7 mots aléatoires joints par des tirets : jardin-riviere-crayon-fort-coucher-pont. Six mots aléatoires tirés d'une liste de 512 donnent 6 × log₂(512) = 54 bits d'entropie — plus que ce que la plupart atteignent avec leur mot de passe "complexe", et dramatiquement plus mémorables.
Passe à sept mots et tu franchis 63 bits. Huit mots d'une liste de 7776 (Diceware) donne 103 bits. Tout en restant facile à taper, mémoriser, et immunisé contre la plupart des attaques par dictionnaire (parce que la combinaison est aléatoire même si chaque mot est commun).
Mots de passe prononçables : la voie médiane
Pour les scénarios où un mot de passe doit être dicté au téléphone, les mots de passe prononçables alternent consonnes et voyelles : baketomiloguno. Chaque syllabe (consonne + voyelle) a log₂(21 × 5) ≈ 6.7 bits, donc six syllabes donnent ~40 bits.
Plus faibles que les passphrases mais plus forts que les mots de passe humains typiques, et surtout plus faciles à lire à voix haute sans demander "c'était un O ou un zéro ?".
Générer des mots de passe sûrs
Ne te fie pas à l'aléatoire humain. Utilise un outil. Le générateur de mots de passe aukimi offre trois modes — aléatoire, passphrase, prononçable — avec un meter d'entropie en direct pour que tu voies exactement la force de ton output. Il utilise crypto.getRandomValues (la source aléatoire cryptographiquement sûre du navigateur) et applique du rejection sampling pour éliminer le biais modulo.
Critique : la génération se fait entièrement dans ton navigateur. Rien n'est transmis, loggé ou stocké. Ouvre ton onglet réseau devtools pendant la génération — zéro requête.
La règle unique
Utilise un gestionnaire de mots de passe. Génère un mot de passe aléatoire long pour chaque site (ton gestionnaire ne l'oublie jamais, donc la longueur ne compte pas pour l'usabilité). Utilise une passphrase comme master password du gestionnaire — c'est celle que tu dois retenir.
Tout le reste est de l'optimisation. Fais ce seul pattern correctement et tu es devant 95 % des utilisateurs.
Vous avez aimé cet article ?
Articles similaires
La stack créative vient de s'effondrer : une semaine d'outils IA, fin avril 2026
Entre le 27 avril et le 4 mai 2026, Adobe, Luma, Novi, fal, Figma, Canva, HeyGen et Anthropic ont tous franchi le même seuil en huit jours. Voici ce qui a été lancé, ce que cela signifie, et ce que cela laisse aux suites créatives navigateur qui essaient de tout consolider.
Musique et SFX par IA en 2026 : ce qui marche vraiment dans l'audio des jeux indé
Il y a trois ans, l'audio de jeu indé voulait dire soit licencier des bibliothèques royalty-free (pas cher, générique, tous les jeux sonnent pareil) soit embaucher un compositeur (top, cher). En 2026, l'IA génère du score qui ship. Voilà quels outils livrent — et où un humain gagne encore.
Génération de mesh par IA en 2026 : ce qui passe vraiment en pipeline de jeu
L'image-vers-3D est passé de "démo bizarre" à "expédié dans des projets indé" en 18 mois. Voilà ce que Tripo, Meshy, Rodin et Hyper3D font vraiment en production — et où l'artiste 3D bat encore le modèle à chaque fois.