La réponse honnête à la question phrase de passe vs mot de passe est qu'aucun format n'est intrinsèquement plus sûr. Ce qui rend un secret fort, c'est l'entropie, la quantité de véritable aléatoire qu'il contient, pas qu'il ressemble à correct horse battery staple ou T9$kq!mZ2vLp. Une phrase de passe aléatoire de quatre à six mots Diceware et une chaîne aléatoire de 15 caractères peuvent être exactement aussi difficiles à craquer. Le hic, c'est le mot « aléatoire », et c'est là que la plupart des gens se trompent.
Ce guide vous donne ce que les articles d'opinion omettent : les vrais calculs d'entropie, la preuve qu'environ 6 mots Diceware équivalent à un mot de passe aléatoire de 15 caractères, pourquoi une phrase de passe construite à partir de votre citation préférée est faible, et où chaque format l'emporte dans la vie réelle.
Mot de passe vs phrase de passe : la réponse courte#
Un mot de passe est généralement une courte chaîne de caractères mélangés (Gx7!pQ). Une phrase de passe est une séquence plus longue de mots (ancre velours jungle ozone). Les deux ne sont que des secrets, et les deux se mesurent de la même manière : en bits d'entropie.
Voici la règle qui tranche la plupart des débats :
- Un mot de passe vraiment aléatoire de 12 à 16 caractères est fort.
- Une phrase de passe vraiment aléatoire de 5 à 7 mots provenant d'une bonne liste de mots est forte, et bien plus facile à retenir.
- Une « phrase de passe » que vous avez inventée à partir d'une parole de chanson ou d'une phrase est généralement faible, quelle que soit sa longueur.
La longueur aide, mais seulement lorsque les caractères ou les mots sont choisis aléatoirement. Une longueur appliquée à quelque chose d'inventé par un humain (une citation, un nom suivi d'une année, un motif de clavier) ne vous apporte presque rien face à un véritable attaquant.
La raison tient à l'entropie, alors quantifions-la au lieu de généraliser.
Ce que l'entropie mesure réellement#
L'entropie, mesurée en bits, correspond au nombre de possibilités également probables qu'un attaquant doit explorer. Chaque bit double l'effort de recherche. Un secret avec 40 bits d'entropie a environ un billion de possibilités ; un avec 80 bits en a environ 1,2 suivi de 24 zéros.
Pour un secret généré aléatoirement, la formule est simple :
entropie (bits) = log2(taille du pool) x longueur
La « taille du pool » correspond au nombre d'options possibles à chaque position. Pour un mot de passe, c'est le jeu de caractères. Pour une phrase de passe, c'est la taille de la liste de mots.
Entropie par caractère (mot de passe aléatoire)#
| Jeu de caractères | Taille du pool | Bits par caractère |
|---|---|---|
| Minuscules uniquement (a-z) | 26 | ~4,7 |
| Minuscules + majuscules (a-z, A-Z) | 52 | ~5,7 |
| Lettres + chiffres | 62 | ~5,95 |
| Clavier complet (~95 caractères imprimables) | 95 | ~6,55 |
Ainsi, un mot de passe aléatoire de 15 caractères utilisant le jeu complet du clavier porte environ 15 x 6,55 = environ 98 bits d'entropie. Supprimez les symboles et utilisez uniquement lettres et chiffres, et les mêmes 15 caractères donnent environ 89 bits.
Entropie par mot (phrase de passe Diceware)#
La longue liste Diceware de l'Electronic Frontier Foundation contient 7 776 mots (soit 6^5, un mot pour cinq lancers de dés). Chaque mot choisi aléatoirement dans cette liste ajoute :
log2(7 776) = ~12,9 bits par mot
Ce seul nombre est la clé de toute la comparaison. Nous pouvons maintenant prouver l'affirmation du titre.
La preuve par l'entropie : 6 mots Diceware ≈ 15 caractères aléatoires#
Voici les calculs que tout le monde cite mais que presque personne ne montre. En alignant les deux formats par l'entropie, ils se rejoignent.
| Format | Entropie par unité | Unités | Entropie totale |
|---|---|---|---|
| Mot de passe lettres + chiffres aléatoires | ~5,95 bits/car. | 15 car. | ~89 bits |
| Phrase de passe Diceware (liste EFF) | ~12,9 bits/mot | 7 mots | ~90 bits |
| Mot de passe clavier complet aléatoire | ~6,55 bits/car. | 14 car. | ~92 bits |
| Phrase de passe Diceware | ~12,9 bits/mot | 6 mots | ~77 bits |
Une phrase de passe Diceware de 6 mots atteint environ 77 bits. Une de 7 mots atteint environ 90 bits, ce qui correspond presque exactement à un mot de passe alphanumérique aléatoire de 15 caractères. Ainsi, le raccourci populaire « 6 mots Diceware équivalent à 15 caractères aléatoires » est proche : 6 mots sont un peu plus légers, et 7 mots sont à égalité avec une chaîne aléatoire forte.
L'essentiel à retenir :
- 4 mots (~52 bits) : acceptable pour des connexions sans enjeu, faible pour des données sensibles.
- 5 mots (~64 bits) : un bon minimum quotidien.
- 6 mots (~77 bits) : solide, le point idéal pour les comptes importants.
- 7 mots (~90 bits) : équivaut à un mot de passe aléatoire de 15 caractères, à utiliser pour le mot de passe maître de votre gestionnaire.
Vous choisissez le format que vous retiendrez vraiment, car à entropie égale, ils sont aussi difficiles à casser. C'est tout l'intérêt.
Temps de craquage : ce que ces bits signifient dans le monde réel#
Les bits sont abstraits, traduisez-les en effort de l'attaquant. Supposons une attaque hors ligne où un voleur a volé une base de données de mots de passe hachés et devine à un rythme matériel rapide. Les configurations GPU modernes peuvent tenter des dizaines de milliards de suppositions par seconde contre un hachage faible, considérez donc ces chiffres comme des cas pessimistes pour un hachage rapide comme un simple SHA-256.
| Entropie | Possibilités | Temps de craquage hors ligne approx. (10 milliards/sec) |
|---|---|---|
| 40 bits | ~1,1 billion | moins de 2 minutes |
| 52 bits (4 mots) | ~4,5 quadrillions | ~5 jours |
| 64 bits (5 mots) | ~1,8 x 10^19 | ~58 ans |
| 77 bits (6 mots) | ~1,5 x 10^23 | ~470 000 ans |
| 90 bits (7 mots / 15 caractères) | ~1,2 x 10^27 | des milliards d'années |
Ces chiffres supposent que l'attaquant connaît votre format exact et votre liste de mots et attaque un hachage rapide. Un hachage de mot de passe correctement lent (bcrypt, Argon2id) rend les suppositions des milliers de fois plus lentes, c'est pourquoi la façon dont un site stocke votre mot de passe importe autant que la façon dont vous le choisissez.
L'information clé : une fois que vous dépassez environ 70 bits, vous êtes au-delà du point où la force brute est réaliste pour quiconque, y compris un État-nation, contre un seul compte. Plus de longueur au-delà vous protège contre le matériel futur et un mauvais hachage, pas contre une attaque réalisable aujourd'hui. Pour voir où se situe l'un de vos propres secrets, exécutez-le dans un vérificateur de force de mot de passe avant de lui faire confiance.
Pourquoi « Aléatoire » est le mot qui casse la plupart des phrases de passe#
C'est la partie que les articles d'opinion ignorent, et c'est la section la plus importante. Le calcul d'entropie ci-dessus ne tient que si chaque mot (ou caractère) est choisi aléatoirement par une machine ou par des dés. Dès qu'un humain choisit les mots, le calcul s'effondre.
Les phrases de passe auto-choisies sont faibles#
Si vous construisez une phrase de passe à partir d'un verset biblique, d'une citation de film, d'une parole de chanson ou de votre propre phrase astucieuse, vous n'avez pas créé 77 bits d'entropie. Vous avez choisi dans un minuscule réservoir de phrases célèbres et devinables. Les attaquants le savent. Ils alimentent leurs outils de craquage avec des bases de données de citations, de paroles, de passages de livres et de modèles de phrases courants.
Considérez ces deux « phrases de passe » :
MayTheForceBeWithYou1(longue, avec majuscules/minuscules, un chiffre). Craquée en quelques secondes, car c'est une citation célèbre présente dans toutes les listes de mots.tractor mellow button drift(quatre mots aléatoires ennuyeux de Diceware, sans majuscules, sans chiffres). Bien plus forte, car personne ne peut prédire la combinaison.
La première a l'air complexe et est trivialement faible. La seconde a l'air simple et est réellement forte. L'apparence n'a presque rien à voir avec la sécurité.
Les quatre règles pour une vraie phrase de passe#
- Utilisez un générateur, pas votre cerveau. Des dés ou un outil cryptographiquement sécurisé, jamais une phrase que vous avez composée.
- Utilisez une liste de mots reconnue. La liste EFF Diceware est la référence, avec 7 776 mots et aucune paire confuse.
- Gardez les mots sans lien. Une sortie aléatoire vous donne
velvet anchor jungle ozone, pas une phrase. Résistez à l'envie de la « corriger » pour la rendre mémorable, cela réintroduit de la prédictibilité. - Choisissez une longueur adaptée aux enjeux. Cinq mots minimum pour les comptes réels, six ou sept pour vos secrets les plus sensibles.
Un générateur qui fait du vrai Diceware fait tout cela pour vous. Notre générateur de mots de passe gratuit produit à la fois des chaînes de caractères aléatoires et des phrases de passe à mots aléatoires, et il choisit chaque mot avec une source aléatoire sécurisée, sans vous laisser le modifier vers quelque chose de devinable.
Passphrase vs Mot de passe : lequel l'emporte#
À entropie égale, ils sont aussi sécurisés l'un que l'autre. Le vrai choix dépend de la façon dont vous allez utiliser et mémoriser le secret.
| Cas d'usage | Meilleur choix | Pourquoi |
|---|---|---|
| Quelque chose que vous devez souvent taper de mémoire | Passphrase | Les mots sont bien plus faciles à retenir et à taper que des symboles aléatoires |
| Un secret stocké dans un gestionnaire de mots de passe | Mot de passe aléatoire | Vous ne le tapez jamais, la mémorisation est donc inutile ; maximisez la densité |
| Le mot de passe maître de votre gestionnaire | Longue passphrase (6-7 mots) | Vous devez la mémoriser, et elle doit être très forte |
| Un code PIN ou un identifiant que vous dites à voix haute | Passphrase | Plus facile à dicter sans erreurs |
| Un champ avec une limite stricte de caractères | Mot de passe aléatoire | Contient plus d'entropie en moins de caractères |
| Un système qui interdit les espaces ou les longues saisies | Mot de passe aléatoire | Certains formulaires anciens rejettent la longueur ou les espaces des passphrases |
Une stratégie simple pour la plupart des gens :
- Utilisez un gestionnaire de mots de passe comme coffre-fort.
- Protégez-le avec une passphrase forte de 6 ou 7 mots que vous mémorisez.
- Laissez le gestionnaire générer des mots de passe aléatoires longs pour chaque site individuel, puisque vous ne les tapez jamais.
Cela vous donne un secret fort et mémorisable, et une infinité de secrets ultra-forts derrière. Si vous voulez comparer les formats vous-même, générez une passphrase et un mot de passe de 16 caractères avec le générateur de mots de passe, puis collez chacun dans le vérificateur de force des mots de passe et observez les estimations d'entropie correspondre.
Mythes courants, rapidement corrigés#
Mythe : « Ajouter des symboles rend toujours un mot de passe plus fort. » Seulement si le symbole est aléatoire. Remplacer a par @ dans un mot du dictionnaire (p@ssw0rd) est la première chose que tout outil de craquage essaie.
Mythe : « Les phrases de passe sont peu sûres car elles utilisent des mots réels. » Faux lorsque les mots sont aléatoires. Une attaque par dictionnaire devine des mots uniques et des combinaisons courantes, pas des chaînes aléatoires de quatre à sept mots parmi 7 776 options.
Mythe : « Plus long est toujours mieux que plus court. » Seulement à égalité de hasard. Un mot de passe aléatoire de 12 caractères bat une phrase de chanson de 40 caractères à chaque fois.
Pour approfondir comment la longueur et l'entropie interagissent, consultez notre guide sur la longueur idéale d'un mot de passe en 2026.
Le verdict final : phrase de passe ou mot de passe#
Dans le débat entre phrase de passe et mot de passe, le format importe peu, c'est le caractère aléatoire qui compte. Une phrase de passe Diceware de 7 mots aléatoires offre environ 90 bits d'entropie, soit autant qu'un mot de passe aléatoire de 15 caractères. Les deux sont aujourd'hui impossibles à craquer. Choisissez une phrase de passe quand vous devez mémoriser et taper le secret, et un long mot de passe aléatoire quand un gestionnaire le stocke pour vous.
L'erreur à éviter est d'inventer vous-même la phrase de passe. Dès qu'un humain choisit les mots, les maths de l'entropie ne vous protègent plus. Laissez un outil lancer les dés, choisissez une longueur adaptée aux enjeux, et vous obtenez un secret à la fois fort et mémorisable.
Foire aux questions#
Une phrase de passe est-elle plus sécurisée qu'un mot de passe ? Pas intrinsèquement. À entropie égale, une phrase de passe et un mot de passe sont aussi sécurisés. En pratique, une phrase de passe générée aléatoirement est souvent plus forte car les gens choisissent des phrases plus longues et les trouvent plus faciles à retenir, mais un mot de passe aléatoire de même entropie est tout aussi difficile à casser. Le facteur décisif est le caractère vraiment aléatoire, pas le format.
Combien de mots doit comporter une phrase de passe ? Utilisez au moins cinq mots choisis aléatoirement dans une bonne liste comme EFF Diceware pour tout compte réel (environ 64 bits d'entropie). Utilisez six ou sept mots (environ 77 à 90 bits) pour les comptes sensibles et pour le secret principal de votre gestionnaire de mots de passe. Quatre mots n'est acceptable que pour les connexions à faible enjeu.
« correct horse battery staple » est-il un mot de passe sûr à utiliser ? Non, plus maintenant. C'est l'exemple de phrase de passe le plus célèbre sur Internet, il figure donc dans toutes les listes de mots des attaquants et serait craqué instantanément. Le webcomic xkcd qui l'a popularisé enseignait la méthode, pas ne donnait un mot de passe. Générez vos propres mots aléatoires et ne réutilisez jamais un exemple publié.
Pourquoi une phrase de passe tirée de ma citation préférée est-elle faible ? Parce que vous n'avez pas créé de véritable aléatoire. Les citations, paroles de chansons et phrases célèbres figurent dans les dictionnaires de craquage, donc un attaquant les devine bien avant les combinaisons de mots aléatoires. Le calcul d'entropie qui rend les phrases de passe fortes ne s'applique que lorsque chaque mot est choisi par dés ou par un générateur sécurisé, pas par votre mémoire.
Une phrase de passe peut-elle remplacer l'authentification à deux facteurs ? Non. Une phrase de passe forte protège contre les devinettes et la force brute, mais ne fait rien si le secret est hameçonné, divulgué lors d'une fuite ou volé par un logiciel malveillant. L'authentification à deux facteurs défend contre ces menaces distinctes. Utilisez une phrase de passe ou un mot de passe fort unique et l'A2F ensemble, car ils couvrent différentes voies d'attaque.
Quel est le moyen le plus sûr de générer une phrase de passe ? Utilisez des dés physiques avec la liste de mots EFF Diceware, ou un outil utilisant une source aléatoire cryptographiquement sécurisée. Évitez tout ce qui vous permet de choisir ou modifier les mots à la main, car cela réintroduit la prévisibilité humaine. Un générateur approprié sélectionne chaque mot indépendamment et aléatoirement, ce qui est exactement ce que suppose l'estimation d'entropie.


