Qu'est-ce que l'entropie d'un mot de passe ?
L'entropie d'un mot de passe mesure son caractère imprévisible, exprimé en bits. Chaque bit supplémentaire double le nombre de tentatives qu'un attaquant doit effectuer. Un mot de passe doté de 40 bits d'entropie exige jusqu'à \(2^{40}\) essais (environ mille milliards) pour être cassé par force brute, tandis que 80 bits le rendent astronomiquement plus solide. L'entropie reste le chiffre objectif le plus utile pour comparer la robustesse de deux mots de passe.
Comment utiliser ce calculateur
Indiquez la longueur de votre mot de passe et cochez chaque type de caractères qu'il contient. L'outil additionne la taille des différents ensembles — minuscules (26), majuscules (26), chiffres (10) et symboles (32) — pour obtenir la taille \(N\) du jeu de caractères, puis calcule l'entropie. Augmenter la longueur comme la variété des caractères fait grimper l'entropie, mais c'est généralement la longueur qui apporte le gain le plus important.
La formule expliquée
La formule de référence est $$E = \text{Length} \times \log_{2}(N)$$ où \(L\) désigne le nombre de caractères et \(N\) la taille du jeu de caractères. Comme chaque position peut prendre indépendamment l'un des \(N\) symboles, le nombre total de mots de passe possibles vaut \(N^{L}\), et le \(\log_{2}\) de ce total donne le nombre de bits d'entropie. Cela suppose un mot de passe réellement aléatoire : un mot du dictionnaire ou une suite prévisible possède une entropie effective bien inférieure à ce que laisse penser la formule.
Exemple concret
Prenons un mot de passe de 12 caractères mêlant minuscules, majuscules et chiffres. Le jeu de caractères vaut \(26 + 26 + 10 = 62\). $$E = 12 \times \log_{2}(62) = 12 \times 5{,}954 \approx 71{,}45 \text{ bits}$$ Cela correspond à environ \(2^{71{,}45} \approx 3{,}2 \times 10^{21}\) combinaisons — une résistance extrême à la force brute.
FAQ
Combien de bits pour un mot de passe « solide » ? 60 bits et plus conviennent à la plupart des comptes ; 80 bits et plus sont recommandés pour les mots de passe à forte valeur ou les mots de passe maîtres.
Cela tient-il compte des attaques par dictionnaire ? Non. La formule suppose des caractères aléatoires. Les vrais mots, les prénoms et les substitutions classiques réduisent considérablement l'entropie réelle — privilégiez un générateur aléatoire ou une phrase de passe.
Pourquoi retenir 10 milliards d'essais par seconde ? C'est une estimation raisonnable pour une attaque hors ligne aux moyens importants visant des mots de passe à hachage rapide ; un hachage plus lent ralentit d'autant l'attaquant.
