Mot de passe : pourquoi la longueur compte plus que la complexité

On croit bien faire en ajoutant des majuscules et des symboles. En réalité, un mot de passe plus long - même composé uniquement de lettres - est mathématiquement plus solide. Voici pourquoi, et ce que ça change concrètement pour votre sécurité.

Vaut-il mieux un mot de passe long ou complexe ?

La longueur l'emporte sur la complexité. C'est contre-intuitif, mais les chiffres sont sans appel.

Comparons trois mots de passe :

  • 8 caractères, minuscules uniquement (26 possibilités par position) : 26⁸ = environ 208 milliards de combinaisons
  • 8 caractères, tous types confondus - minuscules, majuscules, chiffres, symboles (95 possibilités par position) : 95⁸ = environ 6 600 milliards de combinaisons
  • 16 caractères, minuscules uniquement : 26¹⁶ = environ 43 000 milliards de milliards de combinaisons

Le troisième mot de passe, le plus simple en apparence, est incomparablement plus résistant que les deux autres. Chaque caractère supplémentaire multiplie l'espace des possibilités de façon exponentielle, là où ajouter des types de caractères ne produit qu'un gain linéaire.

Pourquoi remplacer des lettres par des symboles ne sert à rien ?

Remplacer un "a" par "@", un "o" par "0" ou un "e" par "3" est une fausse bonne idée. Ces substitutions sont connues depuis des décennies et intégrées dans tous les outils de cracking modernes. "P@ssw0rd" n'est pas significativement plus résistant que "password" face à une attaque automatisée.

Cette habitude donne un sentiment de sécurité injustifié. Elle vient des premières recommandations de sécurité informatique, à une époque où les outils d'attaque étaient moins sophistiqués. Aujourd'hui, mieux vaut un mot de passe réellement long et aléatoire qu'un mot de passe court maquillé avec des symboles.

Faut-il changer son mot de passe régulièrement ?

Non. Le changement périodique des mots de passe est officiellement déconseillé depuis 2017 par le NIST, l'organisme américain de normalisation en cybersécurité.

Cette recommandation vient de loin. En 2003, Bill Burr, alors employé du NIST, rédigeait la publication SP 800-63, devenue une référence mondiale. Elle préconisait la complexité obligatoire et le changement tous les 90 jours. En 2017, à la retraite, il a publiquement reconnu que ces recommandations étaient fondées sur des hypothèses des années 80, sans données empiriques solides.

Le problème de la rotation forcée est concret : elle pousse les utilisateurs vers des variations prévisibles - "Janvier2024", "Janvier2024!", "Fevrier2024!". C'est exactement le schéma qu'un attaquant teste en premier.

Un bon mot de passe n'a pas de date de péremption. On le change uniquement en cas de compromission avérée ou suspectée.

Quelle est la différence entre une attaque en ligne et hors ligne ?

C'est une distinction fondamentale qui change radicalement le niveau de sécurité nécessaire.

Dans une attaque hors ligne, l'attaquant a obtenu une copie de la base de données (fuite, vol de backup). Il travaille en local, sans aucune limitation extérieure. Avec un GPU moderne, il peut tester plusieurs milliards de combinaisons par seconde sur un hash MD5, ou plusieurs centaines de millions sur bcrypt. Seule la longueur du mot de passe et la qualité du hashage font alors la différence.

Dans une attaque en ligne, chaque tentative passe par le réseau et le serveur. Les mécanismes de défense changent l'équation : délai progressif entre tentatives, blocage temporaire après plusieurs échecs, captcha, détection d'IP suspectes. Avec un simple délai d'une seconde entre les essais, un mot de passe de 10 caractères devient inattaquable en pratique.

Un service en ligne correctement protégé tolère un mot de passe raisonnablement plus court qu'un fichier susceptible d'être exfiltré et attaqué hors ligne.

Comment un serveur protège-t-il les mots de passe stockés ?

En cas de fuite de base de données, c'est l'algorithme de hashage qui détermine la résistance des mots de passe. Tous ne se valent pas.

MD5 et SHA1 sont obsolètes : ils se craquent à des milliards de tentatives par seconde. Bcrypt, conçu pour être volontairement lent, reste une référence éprouvée avec un coût de calcul ajustable. Argon2, gagnant du Password Hashing Competition en 2015, est aujourd'hui la recommandation : il résiste aux attaques par GPU et par circuits spécialisés (ASIC).

Le sel (salt) complète le dispositif : en ajoutant une valeur unique à chaque mot de passe avant le hashage, il garantit que deux utilisateurs ayant le même mot de passe produisent des hash différents. Cela neutralise les attaques par rainbow tables.

Pourquoi ne faut-il jamais réutiliser un mot de passe ?

Parce que des milliards de couples identifiant/mot de passe issus de fuites circulent librement. Les attaquants les testent automatiquement sur des dizaines de services - c'est le credential stuffing.

Si vous utilisez le même mot de passe pour votre messagerie et un forum piraté il y a trois ans, votre messagerie est potentiellement compromise. Et la messagerie est souvent la clé de tout le reste : c'est par elle que transitent les liens "mot de passe oublié" de tous vos autres comptes.

La seule défense : un mot de passe unique par service, sans exception. C'est ce qui rend un gestionnaire de mots de passe indispensable en pratique - personne ne peut retenir des dizaines de mots de passe longs et aléatoires.

Des services comme Have I Been Pwned (haveibeenpwned.com) permettent de vérifier si une adresse mail ou un mot de passe apparaît dans une base compromise connue. C'est un outil utile pour décider objectivement de changer un mot de passe, sans attendre une rotation arbitraire.

Qu'est-ce qu'une passphrase et pourquoi c'est efficace ?

Une passphrase est une suite de mots aléatoires utilisée comme mot de passe - par exemple "cheval batterie agrafe montagne cactus". Elle est à la fois longue, solide, et mémorisable.

L'entropie d'une passphrase de 5 mots tirés d'un dictionnaire de 7 776 entrées (méthode Diceware) est comparable à celle d'un mot de passe aléatoire de 12 à 14 caractères. La mémorisation est incomparablement plus facile.

La passphrase est particulièrement adaptée pour le mot de passe maître d'un gestionnaire - le seul qu'on doive réellement retenir. Pour tous les autres mots de passe, un générateur intégré est préférable : il produit un aléatoire cryptographique sans biais humain, ce que le cerveau ne sait pas faire. Le gestionnaire de mots de passe d'Octopussian inclut un tel générateur.

Un mot de passe solide suffit-il à se protéger ?

Non. Plusieurs vecteurs de compromission rendent la qualité intrinsèque du mot de passe sans objet.

Le shoulder surfing - un regard par-dessus l'épaule dans un open space ou les transports - est sous-estimé parce qu'il ne ressemble pas à une cyberattaque. Un keylogger, matériel ou logiciel, capture le mot de passe avant même qu'il soit transmis au serveur. Et le phishing amène l'utilisateur à saisir lui-même son mot de passe sur un site frauduleux : dans ce cas, la longueur et la complexité sont totalement hors sujet.

Ces réalités plaident pour une approche multicouche : un bon mot de passe est nécessaire mais pas suffisant. L'authentification à deux facteurs et la vigilance face au phishing complètent le dispositif.

Pourquoi la sécurité des mots de passe est-elle un enjeu collectif en entreprise ?

Parce qu'un seul compte compromis peut exposer l'ensemble d'un espace de travail partagé - données des collègues, données clients, réputation de l'entreprise.

Un collaborateur qui sécurise mal son accès à un outil de suivi de tâches peut penser que l'enjeu est faible. Mais cet outil contient potentiellement des spécifications, des échanges clients, des informations sur l'architecture interne. Un attaquant qui entre par cette porte peut se déplacer latéralement vers des cibles bien plus sensibles.

La sécurité des mots de passe en équipe est une responsabilité collective. C'est ce qui justifie des fonctionnalités d'administration dans un gestionnaire de mots de passe : imposer des règles minimales, vérifier l'activation du double facteur par chaque membre, pouvoir révoquer un accès rapidement sans dépendre de la bonne volonté individuelle.

Pourquoi certains sites imposent-ils des règles de mots de passe absurdes ?

Parce que leurs systèmes ne gèrent pas correctement les mots de passe côté serveur. Une longueur maximale de 10 ou 12 caractères, l'interdiction de certains caractères spéciaux, ou le refus de certaines combinaisons "pour des raisons de sécurité" trahissent souvent un mot de passe stocké en clair ou mal haché.

Un mot de passe correctement haché (avec bcrypt ou Argon2) n'a aucune raison d'être limité en longueur. Si un service vous empêche d'utiliser un mot de passe long et aléatoire, c'est un signal d'alerte sur la qualité de sa sécurité globale.

Ce qu'il faut retenir

  • Privilégiez la longueur sur la complexité. 16 caractères en minuscules sont plus solides que 8 caractères avec tous les types.
  • Ne changez pas vos mots de passe par routine. Le NIST le déconseille officiellement depuis 2017.
  • Un mot de passe unique par service. Le credential stuffing exploite la réutilisation à grande échelle.
  • Une passphrase pour ce que vous devez retenir. Un générateur pour tout le reste.
  • En équipe, c'est un enjeu collectif. Un seul compte faible met tout le monde en danger.

Découvrez comment Octopussian simplifie la gestion des mots de passe en équipe →

Inscription gratuite

Pas de carte bancaire. Inscription en 1 minute

Gagnez en efficacité dès aujourd'hui. Inscrivez-vous pour essayer gratuitement.

Nous utilisons votre email et votre nom
afin de créer votre espace Octopussian.

ou
@ Continuer avec mon email

Nous respectons votre vie privée. Vos informations ne seront pas utilisées à d'autres fins.
En vous inscrivant, vous acceptez nos conditions d'utilisations et politique de vie privée