Skip to content
Back to Blog
passwordspassphrasedicewarecomparison

Passphrase vs Mot de passe : lequel est plus sûr ?

Une passphrase de quatre mots que vous pouvez retenir peut être aussi forte qu'une chaîne aléatoire de 15 caractères, si elle est bien générée. Voici les maths de l'entropie, la méthode Diceware, des exemples concrets, et où chacun l'emporte.

SZ
Founder, Molixa
14 min read
Partager
Passphrase vs Mot de passe : lequel est plus sûr ?
Table of contents9 sections

La réponse honnête à la question phrase de passe vs mot de passe est qu'aucun format n'est intrinsèquement plus sûr. Ce qui rend un secret fort, c'est l'entropie, la quantité de véritable aléatoire qu'il contient, pas qu'il ressemble à correct horse battery staple ou T9$kq!mZ2vLp. Une phrase de passe aléatoire de quatre à six mots Diceware et une chaîne aléatoire de 15 caractères peuvent être exactement aussi difficiles à craquer. Le hic, c'est le mot « aléatoire », et c'est là que la plupart des gens se trompent.

Ce guide vous donne ce que les articles d'opinion omettent : les vrais calculs d'entropie, la preuve qu'environ 6 mots Diceware équivalent à un mot de passe aléatoire de 15 caractères, pourquoi une phrase de passe construite à partir de votre citation préférée est faible, et où chaque format l'emporte dans la vie réelle.

Mot de passe vs phrase de passe : la réponse courte#

Un mot de passe est généralement une courte chaîne de caractères mélangés (Gx7!pQ). Une phrase de passe est une séquence plus longue de mots (ancre velours jungle ozone). Les deux ne sont que des secrets, et les deux se mesurent de la même manière : en bits d'entropie.

Voici la règle qui tranche la plupart des débats :

  • Un mot de passe vraiment aléatoire de 12 à 16 caractères est fort.
  • Une phrase de passe vraiment aléatoire de 5 à 7 mots provenant d'une bonne liste de mots est forte, et bien plus facile à retenir.
  • Une « phrase de passe » que vous avez inventée à partir d'une parole de chanson ou d'une phrase est généralement faible, quelle que soit sa longueur.

La longueur aide, mais seulement lorsque les caractères ou les mots sont choisis aléatoirement. Une longueur appliquée à quelque chose d'inventé par un humain (une citation, un nom suivi d'une année, un motif de clavier) ne vous apporte presque rien face à un véritable attaquant.

La raison tient à l'entropie, alors quantifions-la au lieu de généraliser.

Ce que l'entropie mesure réellement#

L'entropie, mesurée en bits, correspond au nombre de possibilités également probables qu'un attaquant doit explorer. Chaque bit double l'effort de recherche. Un secret avec 40 bits d'entropie a environ un billion de possibilités ; un avec 80 bits en a environ 1,2 suivi de 24 zéros.

Pour un secret généré aléatoirement, la formule est simple :

entropie (bits) = log2(taille du pool) x longueur

La « taille du pool » correspond au nombre d'options possibles à chaque position. Pour un mot de passe, c'est le jeu de caractères. Pour une phrase de passe, c'est la taille de la liste de mots.

Entropie par caractère (mot de passe aléatoire)#

Jeu de caractèresTaille du poolBits par caractère
Minuscules uniquement (a-z)26~4,7
Minuscules + majuscules (a-z, A-Z)52~5,7
Lettres + chiffres62~5,95
Clavier complet (~95 caractères imprimables)95~6,55

Ainsi, un mot de passe aléatoire de 15 caractères utilisant le jeu complet du clavier porte environ 15 x 6,55 = environ 98 bits d'entropie. Supprimez les symboles et utilisez uniquement lettres et chiffres, et les mêmes 15 caractères donnent environ 89 bits.

Entropie par mot (phrase de passe Diceware)#

La longue liste Diceware de l'Electronic Frontier Foundation contient 7 776 mots (soit 6^5, un mot pour cinq lancers de dés). Chaque mot choisi aléatoirement dans cette liste ajoute :

log2(7 776) = ~12,9 bits par mot

Ce seul nombre est la clé de toute la comparaison. Nous pouvons maintenant prouver l'affirmation du titre.

La preuve par l'entropie : 6 mots Diceware ≈ 15 caractères aléatoires#

Voici les calculs que tout le monde cite mais que presque personne ne montre. En alignant les deux formats par l'entropie, ils se rejoignent.

FormatEntropie par unitéUnitésEntropie totale
Mot de passe lettres + chiffres aléatoires~5,95 bits/car.15 car.~89 bits
Phrase de passe Diceware (liste EFF)~12,9 bits/mot7 mots~90 bits
Mot de passe clavier complet aléatoire~6,55 bits/car.14 car.~92 bits
Phrase de passe Diceware~12,9 bits/mot6 mots~77 bits

Une phrase de passe Diceware de 6 mots atteint environ 77 bits. Une de 7 mots atteint environ 90 bits, ce qui correspond presque exactement à un mot de passe alphanumérique aléatoire de 15 caractères. Ainsi, le raccourci populaire « 6 mots Diceware équivalent à 15 caractères aléatoires » est proche : 6 mots sont un peu plus légers, et 7 mots sont à égalité avec une chaîne aléatoire forte.

L'essentiel à retenir :

  • 4 mots (~52 bits) : acceptable pour des connexions sans enjeu, faible pour des données sensibles.
  • 5 mots (~64 bits) : un bon minimum quotidien.
  • 6 mots (~77 bits) : solide, le point idéal pour les comptes importants.
  • 7 mots (~90 bits) : équivaut à un mot de passe aléatoire de 15 caractères, à utiliser pour le mot de passe maître de votre gestionnaire.

Vous choisissez le format que vous retiendrez vraiment, car à entropie égale, ils sont aussi difficiles à casser. C'est tout l'intérêt.

Temps de craquage : ce que ces bits signifient dans le monde réel#

Les bits sont abstraits, traduisez-les en effort de l'attaquant. Supposons une attaque hors ligne où un voleur a volé une base de données de mots de passe hachés et devine à un rythme matériel rapide. Les configurations GPU modernes peuvent tenter des dizaines de milliards de suppositions par seconde contre un hachage faible, considérez donc ces chiffres comme des cas pessimistes pour un hachage rapide comme un simple SHA-256.

EntropiePossibilitésTemps de craquage hors ligne approx. (10 milliards/sec)
40 bits~1,1 billionmoins de 2 minutes
52 bits (4 mots)~4,5 quadrillions~5 jours
64 bits (5 mots)~1,8 x 10^19~58 ans
77 bits (6 mots)~1,5 x 10^23~470 000 ans
90 bits (7 mots / 15 caractères)~1,2 x 10^27des milliards d'années

Ces chiffres supposent que l'attaquant connaît votre format exact et votre liste de mots et attaque un hachage rapide. Un hachage de mot de passe correctement lent (bcrypt, Argon2id) rend les suppositions des milliers de fois plus lentes, c'est pourquoi la façon dont un site stocke votre mot de passe importe autant que la façon dont vous le choisissez.

L'information clé : une fois que vous dépassez environ 70 bits, vous êtes au-delà du point où la force brute est réaliste pour quiconque, y compris un État-nation, contre un seul compte. Plus de longueur au-delà vous protège contre le matériel futur et un mauvais hachage, pas contre une attaque réalisable aujourd'hui. Pour voir où se situe l'un de vos propres secrets, exécutez-le dans un vérificateur de force de mot de passe avant de lui faire confiance.

Pourquoi « Aléatoire » est le mot qui casse la plupart des phrases de passe#

C'est la partie que les articles d'opinion ignorent, et c'est la section la plus importante. Le calcul d'entropie ci-dessus ne tient que si chaque mot (ou caractère) est choisi aléatoirement par une machine ou par des dés. Dès qu'un humain choisit les mots, le calcul s'effondre.

Les phrases de passe auto-choisies sont faibles#

Si vous construisez une phrase de passe à partir d'un verset biblique, d'une citation de film, d'une parole de chanson ou de votre propre phrase astucieuse, vous n'avez pas créé 77 bits d'entropie. Vous avez choisi dans un minuscule réservoir de phrases célèbres et devinables. Les attaquants le savent. Ils alimentent leurs outils de craquage avec des bases de données de citations, de paroles, de passages de livres et de modèles de phrases courants.

Considérez ces deux « phrases de passe » :

  • MayTheForceBeWithYou1 (longue, avec majuscules/minuscules, un chiffre). Craquée en quelques secondes, car c'est une citation célèbre présente dans toutes les listes de mots.
  • tractor mellow button drift (quatre mots aléatoires ennuyeux de Diceware, sans majuscules, sans chiffres). Bien plus forte, car personne ne peut prédire la combinaison.

La première a l'air complexe et est trivialement faible. La seconde a l'air simple et est réellement forte. L'apparence n'a presque rien à voir avec la sécurité.

Les quatre règles pour une vraie phrase de passe#

  1. Utilisez un générateur, pas votre cerveau. Des dés ou un outil cryptographiquement sécurisé, jamais une phrase que vous avez composée.
  2. Utilisez une liste de mots reconnue. La liste EFF Diceware est la référence, avec 7 776 mots et aucune paire confuse.
  3. Gardez les mots sans lien. Une sortie aléatoire vous donne velvet anchor jungle ozone, pas une phrase. Résistez à l'envie de la « corriger » pour la rendre mémorable, cela réintroduit de la prédictibilité.
  4. Choisissez une longueur adaptée aux enjeux. Cinq mots minimum pour les comptes réels, six ou sept pour vos secrets les plus sensibles.

Un générateur qui fait du vrai Diceware fait tout cela pour vous. Notre générateur de mots de passe gratuit produit à la fois des chaînes de caractères aléatoires et des phrases de passe à mots aléatoires, et il choisit chaque mot avec une source aléatoire sécurisée, sans vous laisser le modifier vers quelque chose de devinable.

Passphrase vs Mot de passe : lequel l'emporte#

À entropie égale, ils sont aussi sécurisés l'un que l'autre. Le vrai choix dépend de la façon dont vous allez utiliser et mémoriser le secret.

Cas d'usageMeilleur choixPourquoi
Quelque chose que vous devez souvent taper de mémoirePassphraseLes mots sont bien plus faciles à retenir et à taper que des symboles aléatoires
Un secret stocké dans un gestionnaire de mots de passeMot de passe aléatoireVous ne le tapez jamais, la mémorisation est donc inutile ; maximisez la densité
Le mot de passe maître de votre gestionnaireLongue passphrase (6-7 mots)Vous devez la mémoriser, et elle doit être très forte
Un code PIN ou un identifiant que vous dites à voix hautePassphrasePlus facile à dicter sans erreurs
Un champ avec une limite stricte de caractèresMot de passe aléatoireContient plus d'entropie en moins de caractères
Un système qui interdit les espaces ou les longues saisiesMot de passe aléatoireCertains formulaires anciens rejettent la longueur ou les espaces des passphrases

Une stratégie simple pour la plupart des gens :

  • Utilisez un gestionnaire de mots de passe comme coffre-fort.
  • Protégez-le avec une passphrase forte de 6 ou 7 mots que vous mémorisez.
  • Laissez le gestionnaire générer des mots de passe aléatoires longs pour chaque site individuel, puisque vous ne les tapez jamais.

Cela vous donne un secret fort et mémorisable, et une infinité de secrets ultra-forts derrière. Si vous voulez comparer les formats vous-même, générez une passphrase et un mot de passe de 16 caractères avec le générateur de mots de passe, puis collez chacun dans le vérificateur de force des mots de passe et observez les estimations d'entropie correspondre.

Mythes courants, rapidement corrigés#

Mythe : « Ajouter des symboles rend toujours un mot de passe plus fort. » Seulement si le symbole est aléatoire. Remplacer a par @ dans un mot du dictionnaire (p@ssw0rd) est la première chose que tout outil de craquage essaie.

Mythe : « Les phrases de passe sont peu sûres car elles utilisent des mots réels. » Faux lorsque les mots sont aléatoires. Une attaque par dictionnaire devine des mots uniques et des combinaisons courantes, pas des chaînes aléatoires de quatre à sept mots parmi 7 776 options.

Mythe : « Plus long est toujours mieux que plus court. » Seulement à égalité de hasard. Un mot de passe aléatoire de 12 caractères bat une phrase de chanson de 40 caractères à chaque fois.

Pour approfondir comment la longueur et l'entropie interagissent, consultez notre guide sur la longueur idéale d'un mot de passe en 2026.

Le verdict final : phrase de passe ou mot de passe#

Dans le débat entre phrase de passe et mot de passe, le format importe peu, c'est le caractère aléatoire qui compte. Une phrase de passe Diceware de 7 mots aléatoires offre environ 90 bits d'entropie, soit autant qu'un mot de passe aléatoire de 15 caractères. Les deux sont aujourd'hui impossibles à craquer. Choisissez une phrase de passe quand vous devez mémoriser et taper le secret, et un long mot de passe aléatoire quand un gestionnaire le stocke pour vous.

L'erreur à éviter est d'inventer vous-même la phrase de passe. Dès qu'un humain choisit les mots, les maths de l'entropie ne vous protègent plus. Laissez un outil lancer les dés, choisissez une longueur adaptée aux enjeux, et vous obtenez un secret à la fois fort et mémorisable.

Foire aux questions#

Une phrase de passe est-elle plus sécurisée qu'un mot de passe ? Pas intrinsèquement. À entropie égale, une phrase de passe et un mot de passe sont aussi sécurisés. En pratique, une phrase de passe générée aléatoirement est souvent plus forte car les gens choisissent des phrases plus longues et les trouvent plus faciles à retenir, mais un mot de passe aléatoire de même entropie est tout aussi difficile à casser. Le facteur décisif est le caractère vraiment aléatoire, pas le format.

Combien de mots doit comporter une phrase de passe ? Utilisez au moins cinq mots choisis aléatoirement dans une bonne liste comme EFF Diceware pour tout compte réel (environ 64 bits d'entropie). Utilisez six ou sept mots (environ 77 à 90 bits) pour les comptes sensibles et pour le secret principal de votre gestionnaire de mots de passe. Quatre mots n'est acceptable que pour les connexions à faible enjeu.

« correct horse battery staple » est-il un mot de passe sûr à utiliser ? Non, plus maintenant. C'est l'exemple de phrase de passe le plus célèbre sur Internet, il figure donc dans toutes les listes de mots des attaquants et serait craqué instantanément. Le webcomic xkcd qui l'a popularisé enseignait la méthode, pas ne donnait un mot de passe. Générez vos propres mots aléatoires et ne réutilisez jamais un exemple publié.

Pourquoi une phrase de passe tirée de ma citation préférée est-elle faible ? Parce que vous n'avez pas créé de véritable aléatoire. Les citations, paroles de chansons et phrases célèbres figurent dans les dictionnaires de craquage, donc un attaquant les devine bien avant les combinaisons de mots aléatoires. Le calcul d'entropie qui rend les phrases de passe fortes ne s'applique que lorsque chaque mot est choisi par dés ou par un générateur sécurisé, pas par votre mémoire.

Une phrase de passe peut-elle remplacer l'authentification à deux facteurs ? Non. Une phrase de passe forte protège contre les devinettes et la force brute, mais ne fait rien si le secret est hameçonné, divulgué lors d'une fuite ou volé par un logiciel malveillant. L'authentification à deux facteurs défend contre ces menaces distinctes. Utilisez une phrase de passe ou un mot de passe fort unique et l'A2F ensemble, car ils couvrent différentes voies d'attaque.

Quel est le moyen le plus sûr de générer une phrase de passe ? Utilisez des dés physiques avec la liste de mots EFF Diceware, ou un outil utilisant une source aléatoire cryptographiquement sécurisée. Évitez tout ce qui vous permet de choisir ou modifier les mots à la main, car cela réintroduit la prévisibilité humaine. Un générateur approprié sélectionne chaque mot indépendamment et aléatoirement, ce qui est exactement ce que suppose l'estimation d'entropie.

passwordspassphrasedicewarecomparison

More from Molixa

Try Molixa Tools

50+ free AI tools for content creation, SEO, coding, and more. No signup, no watermark.

Explore all tools