Mot de passe vs phrase de passe : que choisir ?
Un mot de passe court et complexe ou une phrase longue et mémorisable ? Le choix dépend du contexte. Comparatif chiffré et recommandations.
Deux écoles s'affrontent depuis quinze ans : mot de passe complexe court ou phrase de passe longue. Le célèbre comic XKCD 936 a popularisé la seconde — à raison.
Définitions
- Mot de passe — suite aléatoire de caractères (lettres, chiffres, symboles). Typiquement 12 à 20 caractères. Exemple :
k9.PqW2x@7vN!j3M - Phrase de passe — suite de mots aléatoires d'une wordlist. Typiquement 4 à 7 mots. Exemple :
jardin-radio-flute-poisson
Comparatif chiffré
| Format | Longueur | Entropie | Mémorisation | Saisie mobile |
|---|---|---|---|---|
| Mot de passe 12 car. charset complet | 12 | ~77 bits | Difficile | Lente |
| Mot de passe 16 car. charset complet | 16 | ~103 bits | Très difficile | Lente |
| Phrase 4 mots EFF wordlist | ~25 car. | ~52 bits | Facile | Facile |
| Phrase 6 mots EFF wordlist | ~38 car. | ~77 bits | Bonne | Facile |
| Phrase 7 mots EFF wordlist | ~45 car. | ~90 bits | Bonne | Acceptable |
La wordlist EFF Diceware contient 7 776 mots ⇒ ~12,9 bits d'entropie par mot. Une phrase de 6 mots atteint donc 77 bits — équivalent à un mot de passe complexe de 12 caractères, mais infiniment plus mémorisable.
L'origine du débat : XKCD 936
En 2011, le comic XKCD 936 « Password Strength » a démontré qu'une phrase de 4 mots concrets (correct horse battery staple) offrait plus d'entropie et bien meilleure mémorisation qu'un mot de passe alambiqué de 11 caractères (Tr0ub4dor&3).
Le NIST a intégré cette logique dans la révision SP 800-63B (2017) : la longueur prime sur la complexité, à condition que les mots soient choisis aléatoirement.
Générer une phrase de passe sécurisée
Quand choisir l'un ou l'autre
Choisir une phrase de passe quand
- Le mot de passe doit être tapé à la main régulièrement (mot de passe maître, déverrouillage de session).
- Vous devez le dicter ou le partager oralement à un collègue.
- Vous voulez éviter un gestionnaire pour ce compte précis.
Choisir un mot de passe complexe quand
- Le mot de passe est stocké dans un gestionnaire et rempli automatiquement.
- Le service impose une longueur maximale (souvent 16-20 caractères).
- Vous voulez la densité d'entropie maximale par caractère.
La méthode Diceware
Inventée par Arnold Reinhold en 1995, la méthode Diceware consiste à tirer des mots au hasard dans une wordlist contrôlée à l'aide de dés à 6 faces. Cinq dés tirés = un index à 5 chiffres = un mot. C'est la méthode la plus auditée et la plus reproductible pour générer une phrase de passe.
Notre générateur Diceware français automatise ce tirage avec crypto.getRandomValues.
Verdict
Pour 90 % des comptes : mot de passe complexe stocké dans un gestionnaire. Pour le mot de passe maître du gestionnaire et le déverrouillage système : phrase de passe Diceware de 6-7 mots. Ne choisissez jamais une phrase tirée d'un livre, d'une chanson ou d'une citation — elle est dans les dictionnaires d'attaque.