Qu’est-ce que l’entropie d’un mot de passe ?

Nous devons tous faire preuve de vigilance lors de la création de mots de passe mathématiquement impénétrables. Et si vous faites partie des centaines de milliers de personnes qui utilisent des noms et des dates de naissance dans leurs mots de passe(nouvelle fenêtre), il est alors grand temps de renforcer la sécurité de vos identifiants.

Dans cet article, nous expliquons comment estimer et améliorer l’entropie de votre mot de passe, ce qui est excellent pour votre sécurité en ligne. Mais il y a un compromis : maximiser l’entropie d’un mot de passe revient essentiellement à le rendre impossible à retenir pour vous. Comme toujours, il existe une bande dessinée XKCD(nouvelle fenêtre) qui résume bien le problème.

Étant donné le nombre de services en ligne auxquels nous nous inscrivons tous (au moins des dizaines), il est presque impossible pour une personne moyenne de mémoriser un mot de passe fort pour chacun d’entre eux.

C’est pourquoi nous recommandons d’utiliser un gestionnaire de mots de passe comme Proton Pass, capable de générer des mots de passe à entropie extrêmement élevée. Il les retiendra et assurera le remplissage automatique pour vous.

Ci-dessous, nous expliquons ce que signifie l’entropie d’un mot de passe, comment vous pouvez la calculer et comment elle affecte la robustesse de votre mot de passe. Cela peut vous aider à sélectionner les paramètres les plus sécurisés dans votre gestionnaire de mots de passe (ou à éviter les identifiants pour les services qui exigent des mots de passe à très faible entropie).

Que signifie « entropie d’un mot de passe » ?

L’entropie d’un mot de passe fait référence au caractère imprévisible de votre mot de passe ou de votre phrase secrète, mesuré en bits. Généralement, plus il y a de bits d’entropie, plus un mot de passe est complexe et plus il est difficile à briser par des attaques par force brute.

Les attaquants par force brute utilisent la méthode des essais et erreurs pour deviner des combinaisons de caractères dans les identifiants, les mots de passe et les données de chiffrement.

Par exemple, de nombreux pirates utilisent des scripts complexes et des machines pour automatiser des milliers de tentatives de mots de passe en quelques minutes. Dans l’un des cas les plus révélateurs, des chercheurs ont traité jusqu’à 350 milliards de tentatives de mots de passe(nouvelle fenêtre) par seconde.

Les attaquants utilisent des attaques par force brute pour exposer rapidement les mots de passe faibles. En mesurant et en donnant la priorité à l’entropie de vos mots de passe, vous pouvez aider à empêcher que ces données ne tombent entre de mauvaises mains.

Comment l’entropie d’un mot de passe affecte-t-elle sa robustesse ?

Plusieurs facteurs affectent l’entropie d’un mot de passe et, par conséquent, sa robustesse. Vous devrez prendre en compte les éléments suivants concernant votre mot de passe :

• Longueur (en nombre de caractères)
• Utilisation de lettres majuscules et minuscules
• Utilisation de caractères numériques
• Utilisation de symboles spéciaux

De tous les éléments listés ici, la longueur du mot de passe est le plus important. Une phrase secrète suffisamment longue viendra à bout de presque toutes les attaques par force brute. De plus, vous pouvez augmenter davantage l’entropie en utilisant des majuscules aléatoires, des symboles spéciaux et des chiffres.

Cependant, l’entropie ne concerne pas uniquement l’aspect ou la complexité apparente de votre mot de passe. Elle peut également dépendre de la manière dont il a été créé. Une chaîne de caractères réellement aléatoire possède une entropie bien plus élevée qu’un mot ou une phrase courants, même si les deux ont la même longueur.

Les pirates peuvent utiliser des attaques par dictionnaire pour deviner vos identifiants si vous utilisez un mot reconnaissable ou une expression courante dans votre mot de passe.

Un attaquant utilisant un dictionnaire automatise les tentatives par force brute pour chaque mot d’un dictionnaire susceptible d’être utilisé dans un mot de passe.

Par conséquent, quelle que soit l’entropie de votre mot de passe, vous restez vulnérable au piratage si vous utilisez des noms d’animaux de compagnie, des équipes sportives ou d’autres mots de passe courants (par exemple, n’utilisez jamais « password ») dans vos informations de connexion.

Comment calculer l’entropie d’un mot de passe

Nous expliquons comment calculer l’entropie d’un mot de passe, mais il est important de noter qu’il ne s’agit que d’une démonstration. Vous ne pouvez pas estimer en toute sécurité l’entropie d’un mot de passe en fonction de son apparence. Les mots de passe générés par les humains — même les plus longs — sont souvent très prévisibles. À moins qu’il n’ait été créé avec un générateur aléatoire, vous devez supposer que l’entropie est plus faible que ce que vous pensez.

En supposant que vous utilisiez une chaîne de caractères aléatoire, l’entropie d’un mot de passe est mesurée en bits et dépend de deux facteurs principaux :

1. Le nombre de caractères disponibles dans la plage choisie pour le mot de passe
2. Le nombre de caractères dans le mot de passe

Par conséquent, l’entropie d’un mot de passe augmente avec la longueur de ce dernier et avec l’étendue de la plage de caractères possible. Un mot de passe long qui utilise des lettres majuscules, des lettres minuscules, des symboles et des chiffres, comme kmXz2=zs[m%7?y4A, aura une entropie très élevée.

Un mot de passe qui utilise uniquement des lettres minuscules ou des chiffres, comme dzormybs ou 119022833, aura une entropie très faible.

Les phrases secrètes sont plus faciles à retenir, mais vous devez être prudent. Elles doivent être plus longues pour créer des niveaux d’entropie similaires. Par exemple, une phrase secrète comme HelpFidoSaveChocolate33! semble complexe, mais parce qu’elle utilise quatre mots courants et une combinaison chiffre-symbole prévisible à la fin, sa véritable entropie peut être plus proche de 50 bits. C’est beaucoup moins que l’entropie de kmXz2=zs[m%7?y4A, même si elle est huit caractères plus courte.

Que sont les bits d’entropie ?

Les bits d’entropie mesurent la difficulté à déchiffrer un mot de passe. Par exemple, un mot de passe que vous connaissez déjà possède zéro bit d’entropie.

À l’aide d’une formule, nous pouvons calculer combien de bits d’entropie contient un mot de passe, et ainsi, combien de tentatives le script ou la machine d’un attaquant nécessiterait pour y accéder.

Cependant, avant de pouvoir calculer l’entropie d’un mot de passe, nous devons mesurer toutes les différentes plages de caractères possibles.

Mesure des plages de caractères

Le tableau suivant montre comment vos options de caractères augmentent lorsque vous ajoutez différents caractères à votre mot de passe si vous écrivez en anglais. Le nombre de lettres et de symboles peut varier en fonction de la langue que vous utilisez.

Type de caractère	Exemple(s)	Taille de la plage
Numériques	0, 1, 2, 3	10
Lettres latines (minuscules)	a, b, c, d	26
Lettres latines (majuscules)	A, B, C, D	26
Symboles spéciaux	!, @, %, $	32

Plus vous offrez de choix de caractères potentiels aux pirates informatiques, plus l’entropie de votre mot de passe devient élevée. Par conséquent, privilégiez une plage de caractères aussi large que possible et utilisez un mélange des quatre types.

Voici quelques exemples de mots de passe et leurs plages de caractères totales :

Exemple	Plage totale de caractères
112233	10
abcde	26
a1b2c3d4	36
a1o2c3o4	62
a1!o2%c3^o4	94

N’oubliez pas que les données ci-dessus vous montrent la taille potentielle des plages de caractères, non les bits d’entropie. Nous devons utiliser une formule spécifique pour calculer l’entropie précise des mots de passe en bits.

Formule d’entropie du mot de passe

Vous pouvez mesurer l’entropie d’un mot de passe en bits en utilisant la formule suivante :

E = L × log₂(R)

Dans cette formule :

• E est votre entropie de mot de passe
• R est la plage possible de types de caractères dans votre mot de passe (les tableaux ci-dessus le montrent)
• L est le nombre de caractères dans votre mot de passe (sa longueur)
• Log₂ répond à la question « à quelle puissance 2 doit-il être élevé pour être égal à ce nombre »

À l’aide de cette formule, voici comment quelques exemples de mots de passe se mesurent en bits :

Exemple	Plage de caractères	Longueur du mot de passe	Calcul	Bits d’entropie
fygwcbjnhsbh	26	12 car.	E = 12 x 4,7	56,4
HzgNhHkY1WQ8AM	62	14 car.	E = 14 x 5,95	83,3
kmXz2=zs[m%7?y4A	94	16 car.	E = 16 x 6,55	104,8

Les mathématiques nous montrent que plus un mot de passe est long et complexe, plus il possède de bits d’entropie.

N’oubliez pas que ces calculs ne s’appliquent qu’aux mots de passe générés de manière aléatoire. Les phrases secrètes qui utilisent des mots courants doivent être plus longues et utiliser des mots rares et sans rapport (idéalement avec des chiffres et des symboles) pour générer un niveau de sécurité similaire.

Et n’oubliez pas que ces calculs sont davantage destinés à la démonstration qu’à une utilisation pratique. Vous devriez vous fier aux générateurs de mots de passe plutôt que d’essayer de calculer vous-même la robustesse d’un mot de passe.

Vous pouvez utiliser notre générateur de mots de passe gratuit pour faire des essais et voir la robustesse de différents mots de passe.

Encore une fois, l’entropie n’est qu’une mesure de la robustesse. Pour éviter les attaques par dictionnaire, évitez les mots de passe ou les phrases couramment utilisés. Vous devez également éviter d’utiliser des informations personnelles, comme votre date de naissance, le nom de votre animal de compagnie ou le nom de votre rue pour votre mot de passe, car les attaquants peuvent obtenir ces informations.

Quand un mot de passe est-il considéré comme robuste ?

Généralement, un mot de passe robuste ou à haute entropie atteint au moins 75 bits. Tout ce qui est inférieur à 72 bits est raisonnablement facile à déchiffrer pour une machine.

Nous calculons le nombre maximal de tentatives potentielles en utilisant le calcul 2 ^ (nombre de bits). C’est le nombre de fois que le chiffre 2 double pour atteindre le nombre total de bits.

Par exemple, un mot de passe avec 10 bits d’entropie, utilisant 2 ^ 10, nécessiterait un maximum de 1 024 tentatives pour être déchiffré. Il s’agit généralement d’un mot de passe numérique à trois caractères, tel que 456.

Visez une entropie supérieure à 100 bits pour créer un mot de passe robuste, en visant le plus haut possible. Plus l’entropie est élevée, plus il faudra de temps aux machines pour forcer un mot de passe par brute force.

Les règles pour créer un mot de passe à haute entropie diffèrent énormément selon l’expert en sécurité à qui vous vous adressez, mais il existe quelques règles générales sur lesquelles nous sommes tous d’accord :

1. Votre mot de passe doit comporter au moins 14 caractères et utiliser un mélange de caractères (pas seulement des lettres minuscules de l’alphabet latin de base)
2. Vous devez éviter d’utiliser des phrases ou des termes qui ont une signification pour vous (et qui sont donc faciles à deviner)
3. Un mot de passe robuste ne doit pas être lié à son nom d’utilisateur (traitez toujours les deux comme des entités distinctes)
4. Il doit contenir un mélange d’au moins une lettre minuscule, une lettre majuscule, un chiffre et un caractère spécial (par exemple, %, ^, *, &, @, ~, etc.)

Nous recommandons également d’utiliser une liste de blocage de mots de passe pour éviter d’utiliser des mots ou des expressions couramment choisis sur le web. Par exemple, le projet Bad Passwords du NIST(nouvelle fenêtre) est un outil open-source populaire pour créer des expressions à haute entropie.

Si vous cherchez à créer un mot de passe administrateur sécurisé pour votre gestionnaire de mots de passe, tenez compte des consignes suivantes

En résumé, un mot de passe réellement sécurisé contient, par exemple :

• Au moins une lettre majuscule
• Au moins une lettre minuscule
• Au moins un symbole spécial
• Au moins un chiffre
• Au moins 14 caractères (ou au moins 30 pour les phrases secrètes, en supposant que les mots soient peu courants et sans lien entre eux)

L’exemple ci-dessus, kmXz2=zs[m%7?y4A, répond à toutes ces exigences et crée un mot de passe avec environ 105 bits d’entropie, ce qui prendrait un temps impossible à craquer par force brute.

Générez des mots de passe robustes avec Proton Pass

La seule façon de générer et de mémoriser suffisamment de mots de passe robustes pour tous vos comptes en ligne est d’utiliser un gestionnaire de mots de passe. Proton Pass génère des phrases secrètes sécurisées pour vous en un clic. Vous pouvez l’utiliser pour créer des phrases secrètes de 10 mots ou des mots de passe aléatoires de 64 caractères, et il vous permet de contrôler si chaque mot de passe utilise des chiffres, des lettres majuscules et des caractères spéciaux, au cas où vous souhaiteriez optimiser l’entropie de vos mots de passe.

Avec Proton Pass, vos mots de passe ne sont pas seulement difficiles à craquer : ils sont stockés avec un chiffrement de bout en bout et protégés par une authentification à deux facteurs sécurisée via le gestionnaire de mots de passe gratuit le plus sécurisé au monde. Lisez le modèle de sécurité de Proton Pass pour en savoir plus.

Si l’entropie des mots de passe vous pose problème, inscrivez-vous à Proton Pass. Nous vous aiderons à générer, stocker et sécuriser des mots de passe pour résister aux attaques malveillantes.

Mise à jour du 18 novembre 2025 : Cet article a été mis à jour pour expliquer plus clairement les problèmes liés au calcul de l’entropie des phrases secrètes et des mots de passe en général. La complexité des mots de passe est facile à surestimer à moins qu’ils ne soient générés de manière vraiment aléatoire.

FAQ