Les outils de mots de passe mentionnent fréquemment l'« entropie » et les « niveaux de force », mais la plupart des gens ne comprennent pas ce que ces chiffres signifient. Que signifie réellement « 64 bits d'entropie » ? Est-ce suffisamment sécurisé ? Quelle différence font 10 bits supplémentaires ?
Ce tutoriel utilise des analogies intuitives et des mathématiques simples pour vous donner une compréhension approfondie de l'entropie des mots de passe. Une fois que vous comprenez l'entropie, vous pouvez évaluer scientifiquement la sécurité de n'importe quel mot de passe au lieu de vous fier à l'intuition.
01 Qu'est-ce que l'entropie d'un mot de passe ?
L'entropie est un concept de la théorie de l'information mesurant le degré d'incertitude. L'entropie d'un mot de passe indique combien de tentatives (en termes logarithmiques) un attaquant a besoin pour le craquer.
Une analogie : un code PIN à 4 chiffres a 10 000 combinaisons possibles (10⁴), lui donnant environ 13,3 bits d'entropie (log₂(10000) ≈ 13,3). Cela signifie qu'un attaquant a besoin d'environ 5 000 tentatives en moyenne pour le deviner.
Plus l'entropie est élevée, plus le mot de passe est sécurisé. Chaque bit d'entropie supplémentaire double la difficulté de craquage. Ainsi, un mot de passe de 40 bits d'entropie est environ 1 024 fois plus difficile à craquer qu'un de 30 bits (2¹⁰ = 1024).
02 Comment l'entropie est-elle calculée ?
Pour les mots de passe générés aléatoirement, la formule est simple : Entropie = longueur du mot de passe × log₂(taille de l'ensemble de caractères). La taille de l'ensemble de caractères dépend des types de caractères disponibles.
Tailles courantes d'ensembles de caractères : chiffres uniquement = 10, minuscules = 26, majuscules et minuscules = 52, maj/min + chiffres = 62, maj/min + chiffres + symboles = 95 (ASCII imprimable).
Exemple : un mot de passe de 12 caractères maj/min + chiffres a une entropie = 12 × log₂(62) ≈ 12 × 5,95 ≈ 71,4 bits. C'est déjà un mot de passe fort.
Cette formule ne s'applique qu'aux mots de passe véritablement générés aléatoirement. Si le mot de passe contient des motifs prévisibles (mots, dates), l'entropie réelle est bien inférieure à ce que la formule suggère.
03 Entropie vs temps de craquage par force brute
Supposons qu'un attaquant dispose d'un matériel haute performance capable de 1 billion (10¹²) de tentatives de mots de passe par seconde. Dans ces conditions extrêmes, la différence de temps pour craquer des mots de passe de différents niveaux d'entropie est stupéfiante.
40 bits d'entropie : ~1,1 seconde. 50 bits : ~18,8 minutes. 60 bits : ~13,3 jours. 70 bits : ~37,4 ans. 80 bits : ~38 334 ans. Chaque 10 bits d'entropie supplémentaires augmentent le temps de craquage d'environ 1 000×.
Dans les scénarios réels, les taux d'attaque en ligne sont bien inférieurs à 1 billion par seconde (la plupart des sites limitent la fréquence des tentatives de connexion), donc les mots de passe de 40–50 bits d'entropie peuvent offrir une protection raisonnable en ligne. Mais le craquage hors ligne (où un attaquant obtient les hachages de mots de passe) nécessite 70+ bits d'entropie pour être sûr.
04 Recommandations pratiques : combien d'entropie vous faut-il ?
Choisissez des objectifs d'entropie appropriés selon le cas d'usage : comptes temporaires/non sensibles — 40+ bits suffisent ; réseaux sociaux et e-mail quotidiens — 60+ bits ; comptes financiers et de paiement — 70+ bits ; mots de passe maîtres de gestionnaires et clés de chiffrement — 80+ bits.
Le générateur de mots de passe Suried Tools génère par défaut des mots de passe mixtes de 16 caractères (~95 bits d'entropie), dépassant largement les besoins de sécurité de la plupart des scénarios. Vous pouvez raccourcir la longueur selon les besoins spécifiques, mais il est recommandé de rester au-dessus de 12 caractères.
Enfin, rappelez-vous : l'entropie ne mesure que le caractère aléatoire. Un mot de passe d'apparence complexe créé par un humain (comme Ilove2024!) peut avoir une entropie réelle très faible car il contient des motifs prévisibles. Utilisez toujours un générateur de mots de passe pour garantir une véritable aléatoire.
Une règle simple à retenir : chaque 10 bits d'entropie augmentent la sécurité d'environ 1 000×. Passer de 50 à 60 bits change le temps de craquage de « minutes » à « jours ».
FAQ
« Force » et « entropie » sont-elles la même chose dans les outils de mots de passe ?
Pas exactement. La « force » est généralement une classification simplifiée (faible/modérée/forte/très forte) basée sur l'entropie, tandis que l'entropie est une valeur numérique précise. Certains outils prennent également en compte les motifs courants pour ajuster l'évaluation de la force — un mot de passe à haute entropie pourrait quand même être évalué comme modéré s'il contient des motifs courants.
Comment l'entropie d'une phrase de passe est-elle calculée ? Est-ce pareil que pour les mots de passe à caractères ?
Même principe mais des ensembles de caractères différents. L'« ensemble de caractères » d'une phrase de passe est la taille de la liste de mots. Pour une liste de 7 776 mots, chaque mot contribue log₂(7776) ≈ 12,9 bits. 4 mots ≈ 51,7 bits, 5 mots ≈ 64,6 bits, et ainsi de suite.
« Chiffrement AES 128 bits » signifie-t-il la même chose que « mot de passe à 128 bits d'entropie » ?
Les concepts sont liés mais pas directement équivalents. AES 128 bits fait référence à la longueur de clé de l'algorithme de chiffrement, soit 2¹²⁸ clés possibles. Un mot de passe à 128 bits d'entropie signifie aussi 2¹²⁸ espaces de mots de passe possibles. En pratique, peu de mots de passe atteignent 128 bits d'entropie — même un mot de passe mixte de 22 caractères n'a « que » environ 130 bits.
Pourquoi différents vérificateurs de mots de passe donnent-ils des évaluations de force différentes pour le même mot de passe ?
Parce qu'ils utilisent des critères d'évaluation différents. Certains outils ne regardent que la composition des caractères et la longueur (calcul d'entropie pure), tandis que d'autres (comme zxcvbn) détectent aussi les motifs courants, les mots du dictionnaire, les séquences de clavier, etc. Ce dernier est plus précis — « Password123! » obtient un score décent en entropie pure mais zxcvbn identifie son mot courant et son motif.
L'informatique quantique rendra-t-elle les normes actuelles de force des mots de passe obsolètes ?
La menace de l'informatique quantique pour le chiffrement symétrique est de diviser par deux la longueur effective de la clé (algorithme de Grover). Un mot de passe de 80 bits d'entropie serait équivalent à 40 bits sous l'informatique quantique. L'informatique quantique n'impactera pas la plupart des scénarios de mots de passe en ligne pour l'instant, mais viser 128+ bits d'entropie est judicieux à long terme.
Try the Tool Now
Ce tutoriel utilise des analogies intuitives et des mathématiques simples pour vous donner une compréhension approfondie de l'entropie des mots de passe. Une fois que vous comprenez l'entropie, vous pouvez évaluer scientifiquement la sécurité de n'importe quel mot de passe au lieu de vous fier à l'intuition.