Phrases de passe vs mots de passe

Une solution plus fiable et plus commode que les mots de passe…

Une phrase de passe, c’est quoi ?

L’expression « phrase de passe » est peu connue du grand‑public, elle l’est plus dans les milieux plus directement impliqués dans la sécurité informatique, où elle est désignée par son équivalent Anglais, “pass‑phrase”.

Une phrase de passe, s’utilise comme, et a la même fonction, qu’un mot de passe, mais en utilisant une courte phrase de quelques mots, souvent de 3 à 5, au lieu d’un « mot », souvent composé de lettres et de chiffres.

Efficacités comparées par le calcul

Pour un bon mot de passe, il est recommandé d’utiliser au moins 6 caractères, de préférences mixant lettres minuscules, lettres majuscules et chiffres, voir même des symboles non‑alphanumériques. C’est difficile à retenir.

Une phrase de passe, c’est bien plus facile à retenir, car plus naturel.

Il se trouve qu’en plus d’être plus facile à retenir, la phrase de passe est aussi jugée en moyenne plus fiable que le mot de passe, par quelques gens qui savent de quoi il/elles parlent.

Les gens utilisent au minimum environ 2 000 mots dans leur langue natale et en connaissent jusqu’à 20 000. Avec une phrase de passe de 4 mots, on a alors 2000 ^ 4 (exposant) = 16 milles milliards de combinaisons différentes, et 16 millions de milliards sur la base de 20 000 mots. Mais on peut ajouter les prénoms, les surnoms, les mots imaginaires, les onomatopées, pour arriver facilement à des milliards de milliards.

Il y a 26 lettres dans l’alphabet, soit 26 + 26 + 10 = 62, symboles si on compte la distinction minuscule / majuscule et si on y ajoute les chiffres. Avec un mot de passe de 6 symboles, on a alors 62 ^ 6 = 56 milliards.

56 milliards, c’est bien moins que 16 milles milliards et encore bien moins que 16 millions de milliards. En essayant toutes les combinaisons, il est donc probablement plus difficile de casser une phrase de passe moyenne de 4 mots, qu’un mot de passe moyen de 6 caractères.

On pourrait s’inquiéter qu’une phrase de passe ne contienne que des lettres ordinaires et soit pour cette raison, plus facile à casser. Mais en considérant une moyenne raisonnable d’au moins 20 caractères pour une phrase de passe de 4 mots, qui seraient constituée de 26 + 1 (car comptant l’espace) = 27 symboles différents, on arrive à 27 ^ 20 = 42 milliards de milliards de milliards de combinaison différentes. Il est impensable de casser une phrase de passe en l’attaquant sur la base des combinaisons de lettres plutôt que sur la base des combinaisons de mots, dans l’espoir vain que le fait que le nombre de lettres possibles soit beaucoup plus petit que le nombre de mots possibles, il serait plus facile de tenter de la casser de cette façon.

Les phrases de passe, préférables aux mots de passe

Bref, une bonne phrase de passe est plus fiable qu’un mot de passe, tout en étant plus facile à retenir. Il faut seulement s’assurer que la phrase de passe comporte au moins de 3 à 5 mots, au moins de 15 à 20 caractères et au moins un mot imaginaire ou très peu courant… ce qui reste plus facile à concevoir et à retenir qu’un mot de passe constitué de caractère bizarres ou même simplement d’une combinaison de minuscules, majuscules et chiffres.

Quand on sait que beaucoup de mots de passe utilisées sont trop faibles, et choisi tels pour qu’ils soient plus faciles à retenir, ça fait réfléchir. D’ailleurs il est connu qu’une solution de sécurité difficilement applicable au quotidien, nuit à la sécurité. Le concept de phrase de passe répond à ces deux problèmes liés.

Il n’y a techniquement rien à changer pour utiliser une phrase de passe quelque part au lieu d’un mot de passe; il faut seulement s’assurer que le nombre de caractères permis est assez grand. D’ailleurs je vais vérifier plus tard si le forum peut accepter des phrases de passe en guise de mots de passe de 20 caractères ou plus.

En savoir plus

Pour aller plus loin et trouver confirmation de affirmations faites dans ce sujet, voir en Anglais :

• Passwords vs. pass phrases (codinghorror.com). Juillet 2005.
• Why multi-word phrases make for more secure passwords than incomprehensible gibberish (lifehacker.com). Avril 2011.

Je viens de vérifier : 6 caractères minimum et 30 caractères maximum. Il est donc possible d’utiliser une phrase de passe par exemple ici, pour les gens qui le souhaitent.

Ce n’est pas pour un forum comme ici que c’est le plus important (mais ça peut l’être assez), pourtant je tenais à vérifier quand‑même si c’est possible ou pas d’en utiliser ici.

C'est vrai que pour un forum comme la bulle ça n'a pas vraiment d’intérêt mais perso, je vais consulter mes comptes bancaires sur le net et là, une phrase peut être plus rassurante qu'un mot de passe.

Comme expliqué plus haut, c’est leur longueur qui rend les phrase de passe plus fiable, et leur nature qui les rend plus facile à retenir.

Concernant le longueur, une phrase de passe trop courte, est autant vulnérable qu’un mot de passe trop court, et concernant la longueur, les deux ont le même statut.

À une époque, un mot de passe de 6 caractère, était considéré comme suffisant. C’est maintenant bien peu, et de nos jours, le minimum recommandé est plutôt 12 caractères.

Cet article en parle, vers la fin : Speed Hashing (codinghorror.com). Avril 2012.




Retenez bien que ce n’est pas leur nature qui fait que les phrases de passe sont plus fiables que les mots de passe, c’est par leur longueur. Leur nature les rends plus facile à retenir, ce qui est très bien, néanmoins suffisant.

Les phrases de passe ne font pas de la magie, elle sont avant tout une astuce pour avoir de longs mots de passe facile à retenir.

Je repasserai plus tard pour expliquer des choses au sujet des mots de passe, sur leur traitement et comment ils sont typiquement utilisé, par exemple sur un forum comme ici. Vous y apprendrez comment vous pouvez vous connecter alors que votre mot de passe n’est pourtant stocké en clair nul‑part… il l’est en fait sous une forme pas directement lisible, et j’expliquerai comment et pourquoi.