Introduction
Dans le monde numérique d’aujourd’hui, la sécurité de vos comptes repose largement sur la qualité de vos identifiants de connexion. Deux approches principales existent : le mot de passe traditionnel et la phrase de passe. Cet article explore leurs différences, leurs avantages respectifs et vous guide vers la meilleure pratique.
1. Qu’est-ce qu’un mot de passe ?
Un mot de passe est une chaîne de caractères utilisée pour authentifier votre identité. Traditionnellement, il suit ces caractéristiques :
| Caractéristique | Description |
|---|---|
| Longueur | Souvent 8-16 caractères |
| Composition | Lettres, chiffres, symboles |
| Complexité | Doit inclure majuscules, minuscules, chiffres, caractères spéciaux |
| Exemple | Tr0ub4dor&3 |
Avantages :
- Facile à entrer sur tous les appareils
- Compatible avec tous les systèmes
Inconvénients :
- Difficile à mémoriser quand il est complexe
- Vulnérable aux attaques par dictionnaire si trop court
- Les humains ont tendance à réutiliser les mêmes mots de passe
2. Qu’est-ce qu’une phrase de passe ?
Une phrase de passe est une séquence de plusieurs mots aléatoires formant une suite mémorable mais difficile à deviner. Popularisée par la célèbre BD xkcd comic « Correct Horse Battery Staple ». Pour en savoir plus, l’article Wikipedia sur le sujet.
| Caractéristique | Description |
|---|---|
| Longueur | 4+ mots, souvent 20+ caractères |
| Composition | Mots séparés par espaces ou caractères |
| Complexité | La longueur compense le manque de symboles |
| Exemple | correct horse battery staple (c’est l’exemple toujours donné en langue anglaise et popularisé par la BD. En français, nous avons par ex.) : écho toubib lèvre os noix casser. |
Avantages :
- Beaucoup plus longue = plus résistante aux attaques par force brute
- Plus facile à mémoriser (histoire ou image mentale)
- Moins tentation de réutilisation
Inconvénients :
- Plus long à taper sur certains appareils
- Certains systèmes limitent la longueur du mot de passe et donc des phrase de passe
3. Comparaison de sécurité
La sécurité d’un mot de passe dépend de son entropie (mesure du hasard). Voici une estimation :
| Type | Longueur | Entropie estimée | Temps de craquage (avec GPU moderne) |
|---|---|---|---|
| Mot de passe simple | 8 caractères | ~48 bits | Quelques heures |
| Mot de passe complexe | 12 caractères | ~72 bits | Quelques jours |
| Phrase de passe (4 mots) | 20+ caractères | ~64-80 bits | Plusieurs années |
| Phrase de passe (5 mots) | 25+ caractères | ~80-100 bits | Des siècles |
Conclusion : Une phrase de passe de 4-5 mots aléatoires offre généralement une sécurité supérieure à un mot de passe complexe de 12 caractères, tout en étant plus facile à retenir.
4. Meilleures pratiques pour créer une phrase de passe robuste
✅ À FAIRE
- Utilisez 4 à 6 mots aléatoires
- Choisissez des mots sans lien sémantique entre eux
- Utilisez un générateur aléatoire, pas votre imagination, voir ici pour un générateur de mots français : https://diceware.fr/
- Ajoutez de la variation
- Majuscules/minuscules mélangées
- Un chiffre ou symbole occasionnel
- Exemple :
Chaise-Tigre@Lune-7
- Créez une image mentale
- Visualisez les mots ensemble pour faciliter la mémorisation, créez-vous un histoire avec
- Exemple : imaginez un tigre assis sur une chaise sous la lune
- Utilisez un gestionnaire de mots de passe (notre article sur le sujet)
- Proton Pass, Bitwarden, KeePass
- Stockez vos phrases de passe de manière sécurisée
- Activez l’authentification à deux facteurs (A2F) (notre article sur le sujet)
- Même la meilleure phrase de passe peut être compromise
- L’A2F ajoute une couche de protection essentielle
❌ À ÉVITER
- Mots liés à votre vie personnelle
- Noms, dates de naissance, anniversaires
- Prénoms d’enfants, noms d’animaux domestiques
- Séquences prévisibles
1234,abcd,qwerty- Mots du dictionnaire seuls sans variation (majuscule, minuscule, chiffres, symboles)
- Réutilisation entre sites
- Chaque compte doit avoir sa propre phrase de passe
- Partage par message non sécurisé
- Évitez à tout prix de partager vos phrases (et mots) de passe par SMS, courriels non chiffrés, messageries instantanées non chiffrées (utilisez Signal)
5. Méthode recommandée : la technique Diceware
La méthode Diceware est considérée comme l’étalon-or pour créer des phrases de passe :
- Utilisez un dé à 6 faces (ou générateur aléatoire certifié)
- Jetez 5 fois pour chaque mot → donne un nombre à 5 chiffres
- Correspondance avec liste Diceware (environ 7776 mots que l’on trouve ici : https://diceware.fr/)
- Répétez pour 4-6 mots
Exemple de génération :
Dé 1: 31425 → "table"
Dé 2: 52134 → "orange"
Dé 3: 14562 → "pluie"
Dé 4: 62341 → "musique"
→ Phrase : "table orange pluie musique"
Cette méthode garantit un hasard véritable, impossible à prédire même par vous-même et de plus c’est amusant à faire.
6. Recommandation finale
Pour la plupart des utilisateurs, voici ma recommandation hiérarchisée :
| Priorité | Action | Pourquoi |
|---|---|---|
| 1 | Utilisez un gestionnaire de mots de passe | Génère et stocke des identifiants uniques |
| 2 | Activez l’A2F partout où possible | Protection supplémentaire indispensable |
| 3 | Pour le mot de passe principal : phrase de passe +5 mots | Équilibre sécurité/mémoire optimal |
| 4 | Pour les comptes secondaires : mots de passe complexes | Suffisant avec gestionnaire + A2F |
| 5 | Changez uniquement en cas de compromission | Pas besoin de rotation régulière |
Ma recommandation personnelle : créez une phrase de passe de 5 mots aléatoires pour votre compte principal (courriel, gestionnaire de mots de passe), puis laissez votre gestionnaire générer des mots de passe uniques pour chaque autre service. Et surtout : activez systématiquement l’authentification à deux facteurs.
Ressources Utiles
- Gestionnaires de mots de passe : Proton Pass, Bitwarden
- Générateurs Diceware : https://diceware.fr/
- Utilisez notre vérificateur de fuite pour savoir si vos comptes ont été compromis : https://survienumerique.com/verifier-si-mes-donnees-ont-ete-compromises/
- Et surtout, formez-vous, suivez la formation Survie Numérique où vous apprendrez les meilleures pratiques pour sécuriser vos données et bien d’autres choses.