Qu’est-ce que la « force » d’un mot de passe ?

Par abus de langage, on parle souvent de « force » d’un mot de passe pour désigner sa capacité à résister à une énumération de tous les mots de passe possibles.

Cette « force » dépend de la longueur L du mot de passe et du nombre N de caractères possibles. Elle suppose que le mot de passe est choisi de façon aléatoire. Elle se calcule aisément par la formule NL. Mais il est plus difficile d’estimer si la valeur ainsi obtenue est suffisante ou pas.

Comment estimer la « force » d’un mot de passe ?

La force d’un mot de passe peut être estimée par comparaison avec les techniques cryptographiques. Une taille de clé cryptographique de 64 bits est aujourd’hui considérée comme non sûre car les capacités de calcul modernes permettent de retrouver cette clé en énumérant toutes les clés possibles. Or une telle clé peut être vue comme un mot de passe de 64 caractères où les seuls caractères possibles sont 0 et 1. La « force » d’un tel mot de passe est donc 264.

Les règles édictées par l’ANSSI en matière de mécanismes cryptographiques imposent par exemple une taille de clé minimale de 100 bits. Il est même recommandé une taille de clé de 128 bits pour des clés dont l’usage présumé est de longue durée. Il est par ailleurs communément admis que des tailles de clé de 80 bits sont désormais exposées à des attaques utilisant des moyens techniques conséquents.

Ces chiffres permettent de calibrer la « force » d’un mot de passe.

Taille de clé équivalente Force d’un mot de passe 64 très faible 64<80 faible 80<100 moyen > 100 fort

Comment renforcer mon mot de passe ?

Une question qui se pose fréquemment est : mais quels critères dois-je employer pour mes mots de passe ? Huit caractères, dix caractères, des chiffres, des majuscules, etc ?

Une première règle à savoir est qu’il est souvent plus efficace d’allonger un mot de passe que de chercher à le rendre plus complexe. Mais pour s’en rendre compte, le mieux est d’utiliser le petit calculateur ci-dessous :

Longueur : 4 (PIN code) 6 8 (mot de passe « classique ») 10 12 16 20 25 30 caractères. Alphabet : 2 symboles 0 ou 1 (code binaire) 10 symboles de 0 à 9 (code décimal) 16 symboles 0 à 9 et A à F (code hexadécimal) 26 symboles de A à Z (code alphabétique) 36 symboles 0 à 9 et A à Z (code alphanumérique) 52 symboles A à Z et a à z 62 symboles 0 à 9, A à Z et a à z 70 symboles 0 à 9, A à Z, a à z et  ! #$*% ? 90 symboles 9, A à Z, a à z et  ! #$*% ? &[|]@^µ§ :/ ;.,<>°²³ Un mot de passe avec ces caractéristiques est à peu près équivalent à une clé de bits.

Quelques résultats typiques