Phrase secrète vs mot de passe : lequel est le plus sûr ?
Les phrases secrètes à mots aléatoires et les mots de passe complexes à caractères résolvent le même problème de manières différentes. Voici comment ils se comparent en matière d'entropie, de mémorisation et de sécurité réelle — et quand utiliser chacun.
La réponse honnête : cela dépend de la façon dont ils sont créés
Une phrase secrète n'est pas automatiquement plus sûre qu'un mot de passe, et inversement. Ce qui compte, c'est l'entropie — la quantité de véritable aléatoire que contient le secret — et la capacité d'un humain à réellement l'utiliser. Une phrase secrète de six mots générée aléatoirement et un mot de passe de 20 caractères généré aléatoirement peuvent tous deux être extrêmement solides. Un mot de passe que vous avez inventé vous-même et une phrase secrète que vous avez inventée vous-même peuvent tous deux être faibles.
Comparer l'entropie
L'entropie se mesure en bits, et plus de bits signifient exponentiellement plus de tentatives pour la casser. Un mot de passe complexe concentre plus d'entropie dans chaque caractère, et peut donc être solide tout en étant court. Une phrase secrète répartit l'entropie sur des mots entiers, et a donc besoin de plus de caractères pour atteindre la même robustesse — mais ces caractères sont bien plus faciles à retenir. Six mots aléatoires atteignent environ 70 à 80 bits ; un mot de passe entièrement aléatoire de 16 caractères se situe dans une plage similaire. Les deux résistent confortablement au crackage hors ligne.
Comparer la mémorisation et la facilité d'usage
C'est là que les phrases secrètes l'emportent. On retient « harbor-violin-cobalt-stamp » bien plus sûrement que « 7xQ!r2$kPm9# », et on peut le saisir correctement sur un téléphone, une télécommande de téléviseur ou une console. Pour tout secret qu'un humain doit retenir — un mot de passe maître, une connexion à un appareil, une clé Wi-Fi —, cet avantage de facilité d'usage est décisif.
Où chacun l'emporte
Utilisez un long mot de passe aléatoire pour les comptes que votre gestionnaire de mots de passe stocke et saisit, car la densité l'emporte sur la mémorisation quand une machine fait le travail. Utilisez une phrase secrète pour les secrets que vous devez retenir vous-même. En pratique, la configuration idéale combine les deux : une phrase secrète solide pour déverrouiller un gestionnaire de mots de passe qui contient de longs mots de passe aléatoires pour tout le reste.
Ce qui n'aide pas beaucoup
Les astuces prévisibles apportent peu de sécurité réelle : mettre une majuscule à la première lettre, remplacer « a » par « @ », ou ajouter « 1! » à un mot du dictionnaire sont autant de schémas que les outils de crackage essaient en premier. Que vous choisissiez une phrase secrète ou un mot de passe, la robustesse doit provenir de l'aléatoire et de la longueur — pas de substitutions d'apparence astucieuse.
Foire aux questions
Une phrase secrète est-elle toujours plus sûre qu'un mot de passe ?
Non. Les deux ne valent que ce que vaut leur entropie. Une phrase secrète générée aléatoirement et un mot de passe généré aléatoirement peuvent tous deux être très solides ; les versions auto-inventées de l'un comme de l'autre ont tendance à être faibles.
Pourquoi recommande-t-on si souvent les phrases secrètes ?
Parce qu'elles atteignent une forte entropie tout en restant mémorisables et faciles à saisir. Pour les secrets qu'un humain doit retenir, cette facilité d'usage rend les choix solides praticables.
Un mot de passe plus long vaut-il mieux qu'un mot de passe court et complexe ?
En général, oui. La longueur augmente le nombre de possibilités plus vite que l'ajout de quelques symboles. Un long mot de passe aléatoire ou une phrase secrète à plusieurs mots l'emportent tous deux sur un mot de passe court et « complexe ».
Lequel utiliser pour le mot de passe maître de mon gestionnaire de mots de passe ?
Une phrase secrète de six mots aléatoires ou plus. Elle est à haute entropie et mémorisable, ce qui est exactement ce dont un mot de passe maître a besoin.
Les substitutions de caractères comme @ pour a aident-elles ?
À peine. Les outils de crackage anticipent ces substitutions. La vraie robustesse provient de l'aléatoire et de la longueur ; ajoutez donc plutôt un mot ou des caractères.