Comprendre l'Entropie des Mots de Passe
L'entropie est la mesure mathématique de la force des mots de passe. Comprendre ce concept vous aide à créer des mots de passe vraiment sécurisés.
Qu'est-ce que l'Entropie ?
L'entropie mesure l'imprévisibilité en bits. Chaque bit double le nombre de combinaisons possibles. Un tirage à pile ou face a 1 bit d'entropie (2 possibilités). Un dé a environ 2,6 bits (6 possibilités). Pour les mots de passe, l'entropie se calcule comme : log2(caractères_possibles^longueur). Un mot de passe de 8 caractères avec uniquement des minuscules (26 caractères) a log2(26^8) = 37,6 bits. Le craquage de mots de passe fonctionne en essayant des combinaisons. Avec 37,6 bits, un attaquant devrait essayer en moyenne la moitié de 2^37,6 (environ 100 milliards) de possibilités. Les GPU modernes peuvent essayer des milliards de hashs par seconde, rendant une faible entropie dangereuse. Les mots de passe sécurisés devraient avoir au moins 60 bits d'entropie, tandis que 80+ bits restent sécurisés même contre le matériel futur.
Calcul de l'Entropie
Calcul de base : Bits = log2(Taille du jeu de caractères) × Longueur Tailles de jeux de caractères : Minuscules uniquement (a-z) = 26 caractères. Plus majuscules (+A-Z) = 52. Plus chiffres (+0-9) = 62. Plus caractères spéciaux (+!@#$...) = ~95. Exemples de calculs : 8 caractères, minuscules uniquement : log2(26) × 8 = 37,6 bits. 12 caractères, majuscules/minuscules et chiffres mixtes : log2(62) × 12 = 71,5 bits. 16 caractères, tous types : log2(95) × 16 = 105 bits. Ces calculs supposent un vrai aléatoire. "password1234" a presque zéro entropie malgré 12 caractères car ce n'est pas un motif aléatoire. Les humains sont mauvais pour générer des séquences aléatoires - c'est pourquoi vous avez besoin d'un générateur.
Recommandations Pratiques
Basé sur la puissance de calcul actuelle : 40-50 bits offrent une sécurité minimale (attaques en ligne uniquement), 60-70 bits sont bons (sécurisés contre la plupart des attaques), 80+ bits sont forts (sécurisés même contre les attaques hors ligne) et 100+ bits sont excessifs, mais pourquoi pas. Recommandations de longueur minimale lors de l'utilisation de tous les types de caractères : 10 caractères offrent une sécurité minimale, 12-14 caractères sont bons pour la plupart des comptes, 16+ caractères sont recommandés pour les comptes critiques et 20+ caractères pour une sécurité maximale. Les phrases de passe peuvent atteindre une entropie plus élevée avec une meilleure mémorabilité. Une phrase de passe de 4 mots d'un dictionnaire de 7 776 mots a log2(7776^4) = 51,7 bits. Une phrase de passe de 6 mots a 77,5 bits et reste raisonnablement mémorable. Rappelez-vous : la longueur bat la complexité. "éléphant-orange-trampoline-fenêtre" est plus fort que "Xy7$" et beaucoup plus facile à taper.
Essayer l'Outil
Générateur de Mots de Passe