Guide d'analyse de la force des mots de passe : Évaluer et générer des mots de passe sécurisés
Trois dimensions de la force d'un mot de passe
La sécurité d'un mot de passe est déterminée par trois dimensions fondamentales :
1. Longueur
La longueur est le facteur le plus important. Chaque caractère supplémentaire multiplie les tentatives de force brute par la taille du jeu de caractères.
| Longueur | Combinaisons chiffres uniquement | Temps de crack (1Md/sec) |
|---|---|---|
| 4 | 10 000 | Instantané |
| 6 | 1 000 000 | 0,001 sec |
| 8 | 100 000 000 | 0,1 sec |
| 12 | 1 billion | 17 min |
| 16 | 10 billiards | 50 ans |
| 20 | 100 trillions | 30 000 ans |
2. Taille du jeu de caractères
Un jeu de caractères plus large signifie plus de combinaisons par caractère :
| Jeu de caractères | Caractères disponibles | Exemple |
|---|---|---|
| Chiffres uniquement | 10 | 0-9 |
| Minuscules | 26 | a-z |
| Majuscules + minuscules | 52 | a-z, A-Z |
| Majuscules + minuscules + chiffres | 62 | a-z, A-Z, 0-9 |
| Jeu complet | 95 | a-z, A-Z, 0-9, !@#$%... |
3. Entropie
L'entropie mesure mathématiquement le caractère aléatoire du mot de passe :
Entropie (bits) = log₂(taille_jeu ^ longueur) = longueur × log₂(taille_jeu)
| Mot de passe | Jeu de caractères | Longueur | Entropie | Évaluation |
|---|---|---|---|---|
123456 |
Chiffres | 6 | 19,9 bit | Très faible |
abc123 |
Minuscules+chiffres | 6 | 31,0 bit | Faible |
Abc123 |
Mixte+chiffres | 6 | 35,7 bit | Faible |
Kx9#mP2v |
Complet | 8 | 52,6 bit | Moyen |
Kx9#mP2vLq5! |
Complet | 12 | 78,9 bit | Fort |
Kx9#mP2vLq5!nR8@ |
Complet | 16 | 105,2 bit | Très fort |
Standard de l'industrie : entropie ≥ 80 bit est fort, ≥ 100 bit est très fort.
Méthodes d'attaque courantes
Force brute
Essayer toutes les combinaisons possibles. Défense :
- Augmenter la longueur et le jeu de caractères
- Utiliser le verrouillage de compte et la limitation du débit
Attaque par dictionnaire
Essayer des mots de passe courants issus de dictionnaires (ex., rockyou.txt avec 14M d'entrées). Défense :
- Éviter les mots de passe courants (
123456,password,qwerty) - Éviter les mots du dictionnaire (
sunshine,iloveyou)
Attaque par table rainbow
Pré-calculer des tables de hachage pour rechercher les mots de passe en sens inverse. Défense :
- Hachage salé côté serveur (Salt + Hash)
- Utiliser des algorithmes de hachage lents comme Bcrypt
Credential Stuffing
Utiliser des identifiants divulgués d'un site pour tenter de se connecter à d'autres. Défense :
- Mot de passe unique par site
- Utiliser un gestionnaire de mots de passe
Utiliser l'outil de force de mot de passe
Étape 1 : Ouvrir l'outil
Ouvrez Force de mot de passe, tapez le mot de passe à tester.
Étape 2 : Examiner les résultats
L'outil affiche en temps réel :
- Évaluation de la force : Très faible / Faible / Moyen / Fort / Très fort
- Entropie : En bits
- Analyse du jeu de caractères : Quels types de caractères sont utilisés
- Temps de crack estimé : Basé sur différentes vitesses d'attaque
- Suggestions d'amélioration : Comment renforcer le mot de passe
Étape 3 : Améliorer
Si l'évaluation est trop basse :
- Augmenter la longueur (le plus efficace)
- Ajouter les types de caractères manquants
- Éviter les motifs séquentiels et répétitifs
Utiliser le générateur de mots de passe
Créer des mots de passe forts manuellement est difficile. Utilisez le Générateur de Mots de Passe :
Étape 1 : Configurer
- Longueur : 16-24 caractères recommandés
- Jeu de caractères : Activer majuscules, minuscules, chiffres, symboles
- Exclure les caractères ambigus : Comme
0/O,1/l/I
Étape 2 : Générer
Cliquez sur « Générer » — produisez plusieurs mots de passe parmi lesquels choisir.
Étape 3 : Vérifier
Collez le mot de passe généré dans Force de mot de passe pour confirmer qu'il atteint le niveau « Fort » ou « Très fort ».
Bonnes pratiques de sécurité des mots de passe
1. Utiliser un gestionnaire de mots de passe
- Générer des mots de passe aléatoires uniques pour chaque site
- Ne retenir qu'un seul mot de passe maître
- Recommandés : Bitwarden, 1Password, KeePass
2. Activer l'authentification à deux facteurs (2FA)
Même si le mot de passe est divulgué, la 2FA bloque l'accès non autorisé. Préférez TOTP à la vérification par SMS.
3. Vérifier régulièrement les fuites
Utilisez des services comme Have I Been Pwned pour vérifier si votre adresse e-mail apparaît dans des fuites de données.
4. Côté serveur : Utiliser Bcrypt
Si vous êtes développeur, hachez toujours les mots de passe avec Bcrypt (salé) avant le stockage. Ne stockez jamais de mots de passe en clair.
Idées reçues courantes
« Des règles complexes = un mot de passe fort »
Beaucoup de sites exigent majuscule+minuscule+chiffre+symbole, mais P@ssw0rd respecte toutes les règles tout en étant trivialement craqué par des attaques par dictionnaire. La longueur est plus importante que les règles de complexité.
« Remplacer des lettres par des symboles est sûr »
Les motifs de substitution de p@$$w0rd sont déjà couverts par les outils d'attaque. Ne vous fiez pas à la simple substitution de caractères.
« Ne jamais changer mon mot de passe, c'est bien »
Si votre mot de passe a été divulgué, ne pas le changer signifie que vous restez exposé. Vérifiez régulièrement les fuites et changez-le immédiatement en cas de compromission.
« Les vérificateurs de force divulguent mon mot de passe »
La Force de mot de passe de ToolsKu s'exécute entièrement dans votre navigateur. Votre mot de passe n'est jamais envoyé à aucun serveur.
Outils associés
- Force de mot de passe — Évaluer la sécurité du mot de passe
- Générateur de Mots de Passe — Générer des mots de passe aléatoires forts
- Hachage Bcrypt — Hachage salé pour le stockage des mots de passe
Résumé
Le cœur de la sécurité des mots de passe est une entropie suffisante, déterminée par la longueur et la taille du jeu de caractères. Utilisez Force de mot de passe pour évaluer les mots de passe existants, le Générateur de Mots de Passe pour en créer de forts, et combinez avec un gestionnaire de mots de passe et la 2FA pour une sécurité complète du compte. Rappelez-vous : longueur d'abord, unique par site, traitement local, salage côté serveur.