Guide d'analyse de la force des mots de passe : Évaluer et générer des mots de passe sécurisés

Encodage

Trois dimensions de la force d'un mot de passe

La sécurité d'un mot de passe est déterminée par trois dimensions fondamentales :

1. Longueur

La longueur est le facteur le plus important. Chaque caractère supplémentaire multiplie les tentatives de force brute par la taille du jeu de caractères.

Longueur Combinaisons chiffres uniquement Temps de crack (1Md/sec)
4 10 000 Instantané
6 1 000 000 0,001 sec
8 100 000 000 0,1 sec
12 1 billion 17 min
16 10 billiards 50 ans
20 100 trillions 30 000 ans

2. Taille du jeu de caractères

Un jeu de caractères plus large signifie plus de combinaisons par caractère :

Jeu de caractères Caractères disponibles Exemple
Chiffres uniquement 10 0-9
Minuscules 26 a-z
Majuscules + minuscules 52 a-z, A-Z
Majuscules + minuscules + chiffres 62 a-z, A-Z, 0-9
Jeu complet 95 a-z, A-Z, 0-9, !@#$%...

3. Entropie

L'entropie mesure mathématiquement le caractère aléatoire du mot de passe :

Entropie (bits) = log₂(taille_jeu ^ longueur) = longueur × log₂(taille_jeu)
Mot de passe Jeu de caractères Longueur Entropie Évaluation
123456 Chiffres 6 19,9 bit Très faible
abc123 Minuscules+chiffres 6 31,0 bit Faible
Abc123 Mixte+chiffres 6 35,7 bit Faible
Kx9#mP2v Complet 8 52,6 bit Moyen
Kx9#mP2vLq5! Complet 12 78,9 bit Fort
Kx9#mP2vLq5!nR8@ Complet 16 105,2 bit Très fort

Standard de l'industrie : entropie ≥ 80 bit est fort, ≥ 100 bit est très fort.


Méthodes d'attaque courantes

Force brute

Essayer toutes les combinaisons possibles. Défense :

  • Augmenter la longueur et le jeu de caractères
  • Utiliser le verrouillage de compte et la limitation du débit

Attaque par dictionnaire

Essayer des mots de passe courants issus de dictionnaires (ex., rockyou.txt avec 14M d'entrées). Défense :

  • Éviter les mots de passe courants (123456, password, qwerty)
  • Éviter les mots du dictionnaire (sunshine, iloveyou)

Attaque par table rainbow

Pré-calculer des tables de hachage pour rechercher les mots de passe en sens inverse. Défense :

  • Hachage salé côté serveur (Salt + Hash)
  • Utiliser des algorithmes de hachage lents comme Bcrypt

Credential Stuffing

Utiliser des identifiants divulgués d'un site pour tenter de se connecter à d'autres. Défense :

  • Mot de passe unique par site
  • Utiliser un gestionnaire de mots de passe

Utiliser l'outil de force de mot de passe

Étape 1 : Ouvrir l'outil

Ouvrez Force de mot de passe, tapez le mot de passe à tester.

Étape 2 : Examiner les résultats

L'outil affiche en temps réel :

  • Évaluation de la force : Très faible / Faible / Moyen / Fort / Très fort
  • Entropie : En bits
  • Analyse du jeu de caractères : Quels types de caractères sont utilisés
  • Temps de crack estimé : Basé sur différentes vitesses d'attaque
  • Suggestions d'amélioration : Comment renforcer le mot de passe

Étape 3 : Améliorer

Si l'évaluation est trop basse :

  • Augmenter la longueur (le plus efficace)
  • Ajouter les types de caractères manquants
  • Éviter les motifs séquentiels et répétitifs

Utiliser le générateur de mots de passe

Créer des mots de passe forts manuellement est difficile. Utilisez le Générateur de Mots de Passe :

Étape 1 : Configurer

  • Longueur : 16-24 caractères recommandés
  • Jeu de caractères : Activer majuscules, minuscules, chiffres, symboles
  • Exclure les caractères ambigus : Comme 0/O, 1/l/I

Étape 2 : Générer

Cliquez sur « Générer » — produisez plusieurs mots de passe parmi lesquels choisir.

Étape 3 : Vérifier

Collez le mot de passe généré dans Force de mot de passe pour confirmer qu'il atteint le niveau « Fort » ou « Très fort ».


Bonnes pratiques de sécurité des mots de passe

1. Utiliser un gestionnaire de mots de passe

  • Générer des mots de passe aléatoires uniques pour chaque site
  • Ne retenir qu'un seul mot de passe maître
  • Recommandés : Bitwarden, 1Password, KeePass

2. Activer l'authentification à deux facteurs (2FA)

Même si le mot de passe est divulgué, la 2FA bloque l'accès non autorisé. Préférez TOTP à la vérification par SMS.

3. Vérifier régulièrement les fuites

Utilisez des services comme Have I Been Pwned pour vérifier si votre adresse e-mail apparaît dans des fuites de données.

4. Côté serveur : Utiliser Bcrypt

Si vous êtes développeur, hachez toujours les mots de passe avec Bcrypt (salé) avant le stockage. Ne stockez jamais de mots de passe en clair.


Idées reçues courantes

« Des règles complexes = un mot de passe fort »

Beaucoup de sites exigent majuscule+minuscule+chiffre+symbole, mais P@ssw0rd respecte toutes les règles tout en étant trivialement craqué par des attaques par dictionnaire. La longueur est plus importante que les règles de complexité.

« Remplacer des lettres par des symboles est sûr »

Les motifs de substitution de p@$$w0rd sont déjà couverts par les outils d'attaque. Ne vous fiez pas à la simple substitution de caractères.

« Ne jamais changer mon mot de passe, c'est bien »

Si votre mot de passe a été divulgué, ne pas le changer signifie que vous restez exposé. Vérifiez régulièrement les fuites et changez-le immédiatement en cas de compromission.

« Les vérificateurs de force divulguent mon mot de passe »

La Force de mot de passe de ToolsKu s'exécute entièrement dans votre navigateur. Votre mot de passe n'est jamais envoyé à aucun serveur.


Outils associés


Résumé

Le cœur de la sécurité des mots de passe est une entropie suffisante, déterminée par la longueur et la taille du jeu de caractères. Utilisez Force de mot de passe pour évaluer les mots de passe existants, le Générateur de Mots de Passe pour en créer de forts, et combinez avec un gestionnaire de mots de passe et la 2FA pour une sécurité complète du compte. Rappelez-vous : longueur d'abord, unique par site, traitement local, salage côté serveur.

#密码强度#安全##字典攻击#暴力破解