Nous devons tous veiller à créer des mots de passe qui soient mathématiquement indéchiffrables. Et si vous faites partie des nombreux français qui utilisent « 123456 » comme mot de passe(nouvelle fenêtre) (déchiffrable en moins d’une seconde), il est temps de renforcer la sécurité de vos accès.
Dans cet article, nous expliquons comment estimer et améliorer l’entropie de votre mot de passe, ce qui est excellent pour votre sécurité en ligne. Mais il y a un compromis : maximiser l’entropie d’un mot de passe signifie essentiellement le rendre impossible à retenir pour vous.
Étant donné le nombre de services en ligne auxquels nous nous inscrivons tous (des dizaines au moins), il nous est pratiquement impossible de mémoriser un mot de passe fort pour chacun d’entre eux.
C’est pourquoi nous recommandons d’utiliser un gestionnaire de mots de passe comme Proton Pass, qui peut générer des mots de passe avec une entropie extrêmement élevée. Il les mémorisera et les remplira automatiquement pour vous.
Ci-dessous, nous expliquons ce que signifie l’entropie d’un mot de passe, comment vous pouvez la calculer et comment elle affecte la force de votre mot de passe. Cela peut vous aider à sélectionner les paramètres les plus sécurisés dans votre gestionnaire de mots de passe (ou à éviter les services qui exigent des mots de passe avec une très faible entropie).
Que signifie « entropie d’un mot de passe » ?
L’entropie d’un mot de passe fait référence à l’imprévisibilité de votre mot de passe ou phrase secrète, mesurée en bits. En général, plus il y a de bits d’entropie, plus un mot de passe est complexe et plus il est difficile à casser par des attaques par force brute.
Les attaquants par force brute utilisent des essais et erreurs pour deviner des combinaisons de caractères dans les identifiants de connexion, les mots de passe et les données de chiffrement.
Par exemple, de nombreux pirates utilisent des scripts complexes et des machines pour automatiser des milliers de tentatives de mots de passe en quelques minutes. Dans l’un des cas les plus surprenants, des chercheurs ont traité jusqu’à 350 milliards de tentatives de mots de passe(nouvelle fenêtre) par seconde.
Les attaquants utilisent des attaques par force brute pour exposer rapidement les mots de passe faibles. En mesurant et en priorisant l’entropie de vos mots de passe, vous pouvez aider à empêcher que ces données tombent entre de mauvaises mains.
Comment l’entropie d’un mot de passe affecte-t-elle la force du mot de passe ?
Plusieurs facteurs affectent l’entropie d’un mot de passe et, par conséquent, sa force. Voici ce que vous devez prendre en compte :
- La longueur (en caractères)
- L’utilisation de lettres majuscules et minuscules
- L’utilisation de caractères numériques
- L’utilisation de symboles spéciaux
De tous les éléments listés ici, la longueur du mot de passe(nouvelle fenêtre) est le plus important. Une phrase secrète suffisamment longue suffit à déjouer toute attaque par force brute. Cependant, vous améliorerez encore son entropie en utilisant des lettres majuscules aléatoires, des symboles spéciaux et des chiffres.
L’entropie et la complexité ne sont pas les seuls facteurs de la force d’un mot de passe. Les pirates peuvent utiliser des attaques par dictionnaire pour deviner vos identifiants si vous utilisez un mot reconnaissable ou une expression courante dans votre mot de passe.
Un attaquant utilisant un dictionnaire automatise les tentatives de force brute de chaque mot d’un dictionnaire qui pourrait être utilisé dans un mot de passe.
Par conséquent, indépendamment de l’entropie de votre mot de passe, vous êtes toujours à risque de piratage si vous utilisez des noms d’animaux, d’équipes sportives ou d’autres mots de passe courants (par exemple, n’utilisez jamais « motdepasse »).
Comment calculer l’entropie d’un mot de passe ?
L’entropie d’un mot de passe est mesurée en bits et dépend de deux facteurs principaux :
- Le nombre de caractères disponibles dans la plage de caractères choisie pour le mot de passe
- Le nombre de caractères dans le mot de passe
Par conséquent, l’entropie d’un mot de passe augmente en fonction de sa longueur et de l’étendue de la gamme de caractères possibles. Un long mot de passe qui utilise des lettres majuscules, des lettres minuscules, des symboles et des chiffres, comme HelpFidoSaveTony33!, aura une entropie très élevée. Un mot de passe qui utilise uniquement des lettres minuscules ou des chiffres, comme crimson ou 112233, aura une entropie très faible.
Qu’est-ce que les bits d’entropie ?
Les bits d’entropie mesurent la difficulté à craquer un mot de passe. Par exemple, un mot de passe déjà connu de vous a zéro bit.
En utilisant une formule, nous pouvons calculer combien de bits d’entropie contient un mot de passe, et avec eux, combien de tentatives un script ou une machine de l’attaquant aurait besoin pour obtenir l’accès.
Cependant, avant de pouvoir calculer l’entropie d’un mot de passe, nous devons mesurer toutes les différentes plages de caractères possibles.
Mesure des plages de caractères
Le tableau suivant montre comment vos options de caractères augmentent lorsque vous ajoutez différents caractères à votre mot de passe si vous écrivez en anglais. Le nombre de lettres et de symboles peut varier en fonction de la langue que vous utilisez.
Type de caractère | Exemple | Taille de la plage |
Numériques | 0, 1, 2, 3 | 10 |
Lettres latines (minuscules) | a, b, c, d | 26 |
Lettres latines (majuscules) | A, B, C, D | 26 |
Symboles spéciaux | !, @, %, $ | 32 |
Plus vous offrez de choix dans les caractères potentiels aux pirates potentiels, plus l’entropie de votre mot de passe augmente. Ainsi, privilégiez la plus large gamme de caractères possible et utilisez un mélange des quatre types.
Voici quelques exemples de mots de passe et leur nombre total de caractères :
Exemple | Nombre total de caractères |
112233 | 10 |
abcde | 26 |
a1b2c3d4 | 36 |
a1B2c3D4 | 62 |
a1!B2%c3^D4 | 94 |
Rappelez-vous, les données ci-dessus vous montrent la taille potentielle des gammes de caractères, non les bits d’entropie. Nous devons utiliser une formule spécifique pour calculer l’entropie précise des mots de passe en bits.
Formule d’entropie de mot de passe
Vous pouvez mesurer l’entropie d’un mot de passe en bits en utilisant la formule suivante :
E = L × log2(R)
Dans cette formule :
- E est l’entropie de votre mot de passe
- R est la gamme possible de types de caractères dans votre mot de passe (les tableaux montrés ci-dessus)
- L est le nombre de caractères dans votre mot de passe (sa longueur)
- Log2 répond à la question « quelle puissance de 2 doit être élevée pour égaler ce nombre »
En utilisant cette formule, voici comment quelques exemples de mots de passe se mesurent en bits :
Exemple | Gamme de caractères | Longueur du mot de passe | Calcul | Bits d’entropie |
Bankruptcies | 52 | 12 caractères | E = 12 x 5,7 | 68.4 |
1Bankruptcies2 | 62 | 14 caractères | E = 14 x 5,95 | 83.3 |
1Bankruptcies2&% | 94 | 16 caractères | E = 16 x 6,55 | 104.8 |
Les calculs nous montrent que plus un mot de passe est long et complexe, plus il possède de bits d’entropie.
Vous pouvez utiliser un calculateur d’entropie de mot de passe en ligne pour des résultats plus rapides, mais les équations ci-dessus sont fiables si vous préférez faire le calcul vous-même.
Encore une fois, l’entropie n’est qu’une mesure de la force. Pour éviter les attaques par dictionnaire, évitez d’utiliser des mots de passe ou des phrases couramment utilisés. Vous devriez également éviter d’utiliser des informations personnelles, comme votre date de naissance, le nom de votre animal de compagnie ou le nom de votre rue pour votre mot de passe, car les attaquants peuvent obtenir ces informations.
Quand un mot de passe est-il considéré comme fort ?
Généralement, un mot de passe fort ou à haute entropie atteint au moins 75 bits. Tout ce qui mesure moins de 72 bits est relativement facile à craquer pour une machine.
Nous calculons le nombre maximum de tentatives potentielles en utilisant le calcul 2 ^ (nombre de bits). C’est le nombre de fois que le chiffre 2 double pour atteindre le nombre total de bits.
Par exemple, un mot de passe avec 10 bits d’entropie, en utilisant 2 ^ 10, nécessiterait un maximum de 1 024 tentatives pour être cassé. Cela correspond généralement à un mot de passe numérique de trois caractères, tel que 456.
Visez une entropie de plus de 100 bits pour créer un mot de passe fort(nouvelle fenêtre), en visant aussi haut que possible. Plus l’entropie est élevée, plus il faudra de temps aux machines pour forcer brutalement une bonne tentative de mot de passe.
Les règles pour créer un mot de passe à haute entropie varient grandement selon l’expert en sécurité que vous consultez, mais il y a quelques règles générales sur lesquelles nous pouvons tous nous entendre :
- Votre mot de passe doit faire au moins huit caractères de long et utiliser un mélange de caractères (pas seulement des lettres minuscules de l’alphabet latin de base)
- Vous devriez éviter d’utiliser des phrases ou des termes qui vous sont significatifs (et sont donc faciles à deviner)
- Un mot de passe fort ne doit pas être lié à son nom d’utilisateur (considérez toujours les deux comme des entités séparées)
- Il y a un mélange d’au moins une lettre minuscule, une lettre majuscule, un chiffre et un caractère spécial (par exemple, %, ^, *, &, @, ~, etc.)
Nous recommandons également d’utiliser une liste noire de mots de passe pour aider à éviter d’utiliser des mots ou des phrases fréquemment choisis sur le web.
Si vous cherchez à créer un mot de passe administrateur sécurisé pour votre gestionnaire de mots de passe, tenez compte de ces conseils.
Pour résumer, un mot de passe véritablement sécurisé contient, par exemple :
- Au moins une lettre majuscule
- Au moins une lettre minuscule
- Au moins un symbole spécial
- Au moins un chiffre
- Une phrase secrète d’environ 20 caractères
Par exemple, HelpFidoSaveTony33! répond à toutes ces exigences et crée un mot de passe avec environ 117 bits d’entropie, ce qui est actuellement impossible à déchiffrer par attaque par force brute.
Générez des mots de passe forts avec Proton Pass
La seule manière de générer et de se souvenir de suffisamment de mots de passe forts pour tous vos comptes en ligne est d’utiliser un gestionnaire de mots de passe. Proton Pass génère pour vous des phrases secrètes en un clic. Vous pouvez l’utiliser pour créer des phrases secrètes de 10 mots ou des mots de passe aléatoires de 64 caractères et il vous donne le contrôle sur l’utilisation ou non de chiffres, de lettres majuscules et de caractères spéciaux dans chaque mot de passe, au cas où vous souhaiteriez maximiser leur entropie.
Avec Proton Pass, vos mots de passe ne sont pas seulement difficiles à craquer, ils sont stockés avec un chiffrement de bout en bout et soutenus par une authentification à deux facteurs sécurisée via le gestionnaire de mots de passe gratuit le plus sûr au monde. Consultez le modèle de sécurité de Proton Pass(nouvelle fenêtre) pour en savoir plus.
Si l’entropie des mots de passe vous laisse perplexe, inscrivez-vous et abonnez-vous à Proton Pass. Nous vous aiderons à générer, stocker et sécuriser des mots de passe pour résister aux attaques malveillantes.
Questions fréquentes
La complexité d’un mot de passe se réfère généralement à son éventail de caractères possibles, tandis que l’entropie du mot de passe se réfère aux mathématiques derrière la difficulté à le deviner. L’entropie est mesurée en bits, ce qui indique à son tour le nombre de tentatives par force brute nécessaires pour casser un mot de passe.
Cela dépend de la longueur des mots et des caractères que vous utilisez. Plus le mot de passe est long et plus vous choisissez de types de caractères différents, plus l’entropie du mot de passe sera élevée.
128 bits d’entropie signifient que votre mot de passe est probablement suffisamment fort pour résister à la plupart des attaques par force brute de la part des machines. Tout mot de passe avec une entropie supérieure à 78 bits est difficile à déchiffrer pour la plupart des machines.