ANSSI : calculer la force d’un mot de passe
Estimez rapidement la robustesse d’un mot de passe selon sa longueur, ses jeux de caractères et un scénario d’attaque réaliste. Ce calculateur fournit une approximation pédagogique de l’entropie, du temps de cassage par force brute et du niveau de risque, avec une lecture inspirée des bonnes pratiques de l’ANSSI.
Calculateur interactif de robustesse
Conseil : saisissez un mot de passe ou une phrase de passe réelle pour analyser sa longueur, les types de caractères utilisés et l’effet de schémas prévisibles.
Comment l’ANSSI aide à calculer la force d’un mot de passe
Quand on recherche “anssi calculer la force d’un mot de passe”, on cherche en réalité deux choses à la fois : une méthode de calcul et une méthode de décision. Le calcul mesure une robustesse théorique. La décision, elle, permet de savoir si le mot de passe est acceptable dans un contexte réel. L’ANSSI, agence de référence en cybersécurité en France, n’encourage pas une lecture simpliste où l’on attribue une note magique à n’importe quelle chaîne de caractères. Sa logique est plus opérationnelle : il faut examiner la longueur, la diversité des caractères, le caractère unique du secret, la résistance aux attaques hors ligne et la présence éventuelle de mesures complémentaires comme le MFA.
Le calculateur ci-dessus suit cette logique. Il ne prétend pas remplacer un audit de sécurité complet, mais il fournit une estimation utile à partir de plusieurs éléments concrets : la longueur du mot de passe, les classes de caractères détectées, certains motifs prévisibles et le scénario d’attaque choisi. C’est essentiel, car un mot de passe “fort” contre une attaque en ligne lente peut devenir “moyen” face à une attaque hors ligne rapide menée après une fuite de base de données mal protégée.
Point clé : la force d’un mot de passe n’est jamais absolue. Elle dépend du contexte, de la qualité du stockage côté serveur, du taux de tentatives possible pour l’attaquant et du comportement de l’utilisateur. C’est pour cette raison qu’une estimation sérieuse doit toujours distinguer la théorie et la pratique.
La base du calcul : longueur, alphabet et entropie
Le calcul le plus connu repose sur l’entropie théorique. Si un mot de passe est tiré de manière réellement aléatoire dans un ensemble de caractères donné, on peut estimer sa complexité avec la formule suivante :
Entropie en bits = longueur × log2(taille de l’alphabet)
Par exemple, un mot de passe de 12 caractères utilisant seulement les chiffres ne propose pas le même espace de recherche qu’un mot de passe de 12 caractères utilisant minuscules, majuscules, chiffres et symboles. Plus l’alphabet est grand et plus la longueur augmente, plus le nombre de combinaisons explose. C’est précisément cette explosion combinatoire qui ralentit une attaque par force brute.
Mais l’ANSSI, comme la plupart des organismes sérieux, rappelle implicitement qu’un mot de passe humain n’est presque jamais un tirage vraiment aléatoire. Beaucoup d’utilisateurs choisissent un prénom, une saison, un mot courant, une année de naissance, puis ajoutent un point d’exclamation ou un chiffre final. Sur le papier, la diversité de caractères semble correcte. En pratique, les attaquants testent d’abord ces structures fréquentes grâce à des dictionnaires, des règles de mutation et des attaques probabilistes.
Pourquoi la longueur compte davantage que la décoration
Une erreur fréquente consiste à croire qu’ajouter un seul symbole transforme un mot de passe faible en mot de passe robuste. Ce n’est pas vrai si la structure reste évidente. Entre Paris2024! et une phrase de passe longue comme brume-cascade-rivage-azur-91, la seconde peut être plus résistante, même si elle semble “moins technique”. La raison est simple : la longueur apporte un gain massif dans l’espace de recherche, surtout si la phrase de passe est originale et non issue d’une expression banale.
Le rôle des scénarios d’attaque
- Attaque en ligne limitée : l’attaquant doit passer par le service cible, souvent avec des limites de débit, du verrouillage de compte ou du MFA.
- Attaque en ligne rapide : il y a peu de protections ou l’attaquant peut distribuer ses tentatives.
- Attaque hors ligne : l’attaquant a récupéré un hash et peut tester localement des millions ou milliards d’essais par seconde selon l’algorithme, le matériel et la configuration.
C’est dans le scénario hors ligne que les mots de passe courts s’effondrent le plus vite. Voilà pourquoi le calculateur vous demande de choisir le contexte d’attaque : un même secret ne se juge pas de la même manière face à 10 essais par seconde ou 100 milliards d’essais par seconde.
Comparatif : effet de la longueur et des caractères sur la robustesse
| Exemple | Longueur | Jeux détectés | Entropie théorique approximative | Lecture pratique |
|---|---|---|---|---|
| 12345678 | 8 | Chiffres | 26,6 bits | Très faible, immédiatement ciblé par dictionnaires et listes courantes. |
| Motdepasse1! | 12 | Minuscules, majuscules, chiffres, symboles | 78,7 bits théoriques | Le calcul brut paraît élevé, mais la structure linguistique réduit fortement la sécurité réelle. |
| R8v!mQ2#Lp7@ | 12 | Toutes classes | 78,7 bits | Bien meilleur si généré aléatoirement et stocké dans un gestionnaire. |
| orage-lampe-rivage-42 | 22 | Minuscules, chiffres, symboles | 131,0 bits théoriques | Très solide si la phrase est originale et non réutilisée. |
| Voilier!Citron93Rivage | 24 | Minuscules, majuscules, chiffres, symboles | 157,4 bits théoriques | Excellent niveau si la construction n’est pas issue d’un motif banal. |
Ce tableau illustre un point essentiel : le score théorique ne suffit pas. Motdepasse1! utilise plusieurs classes de caractères et obtient une entropie de façade convenable, mais il reste vulnérable à des attaques intelligentes. À l’inverse, une longue phrase de passe originale offre souvent une résistance pratique supérieure parce qu’elle cumule longueur, singularité et mémorisation réaliste.
Comment interpréter le résultat du calculateur
Le calculateur renvoie quatre informations principales :
- La longueur : c’est le premier facteur de résistance.
- La taille de l’alphabet estimée : elle dépend des caractères réellement présents.
- L’entropie effective : elle part d’un calcul théorique puis applique une pénalité si des motifs prévisibles sont détectés.
- Le temps moyen de cassage : il varie selon le débit de tentatives choisi.
L’idée d’entropie effective est importante. Si vous saisissez un mot de passe contenant “azerty”, “123”, “password”, un nom courant, une suite montante ou une répétition simple, l’outil réduit le score. Cette correction n’est pas parfaite, mais elle est plus honnête qu’un calcul purement académique.
Les seuils pratiques à retenir
- Moins de 35 bits : très faible.
- 35 à 49 bits : faible à moyen, selon le contexte.
- 50 à 63 bits : acceptable pour un faible enjeu, avec MFA idéalement.
- 64 à 79 bits : solide pour beaucoup d’usages.
- 80 à 99 bits : très solide en usage sérieux.
- 100 bits et plus : excellent, surtout si le secret est unique.
- Compte sensible : il faut viser long, unique et complété par MFA.
- Compte critique : phrase de passe longue ou secret généré aléatoirement avec gestionnaire dédié.
Temps de cassage estimatif selon le niveau d’entropie
| Entropie effective | En ligne limitée 0,03 essai/s |
En ligne rapide 10 essais/s |
Hors ligne GPU 1 milliard essais/s |
Lecture pratique |
|---|---|---|---|---|
| 30 bits | Environ 567 ans | 1,7 an | 0,54 seconde | Insuffisant si une fuite permet une attaque hors ligne. |
| 40 bits | Environ 581 000 ans | 1 742 ans | 9,1 minutes | Peut sembler correct en ligne, mais reste faible hors ligne. |
| 60 bits | Environ 609 milliards d’années | 1,8 milliard d’années | 18,3 ans | Solide dans de nombreux cas, surtout avec MFA. |
| 80 bits | 6,39 x 1020 ans | 1,92 x 1018 ans | 19 millions d’années | Très robuste dans une lecture de force brute classique. |
Ces valeurs sont des ordres de grandeur fondés sur une recherche exhaustive moyenne. Elles montrent bien que la même entropie n’a pas du tout la même signification selon le canal d’attaque. Elles montrent aussi pourquoi l’ANSSI insiste sur une hygiène globale : l’attaquant ne passe pas toujours par la force brute pure. Il peut profiter de réutilisation, de phishing, de fuite de données, d’ingénierie sociale ou de mots de passe stockés dans un navigateur non protégé.
Ce que recommandent les bonnes pratiques proches de l’ANSSI
1. Préférer des secrets longs et uniques
Le meilleur mot de passe n’est pas seulement complexe ; il est surtout unique pour chaque service. La réutilisation est l’un des principaux multiplicateurs de risque. Si un site secondaire est compromis, un secret réemployé met en danger la messagerie, les outils professionnels, le cloud et parfois les accès financiers.
2. Utiliser un gestionnaire de mots de passe
Pour les comptes ordinaires, un gestionnaire permet d’adopter des mots de passe générés aléatoirement, longs et différents partout. Pour les comptes les plus sensibles, il réduit fortement la tentation du recyclage et facilite les renouvellements ciblés après incident.
3. Activer le MFA dès que possible
Le MFA ne remplace pas un mot de passe robuste, mais il réduit énormément le risque en cas de réutilisation, de phishing partiel ou de compromission d’un secret. Cela ne protège pas contre tout, mais c’est une barrière décisive pour les comptes à fort enjeu.
4. Éviter les motifs humains les plus courants
- prénom + année,
- ville ou équipe favorite,
- saisons, mois, prénoms d’enfants,
- suite clavier type azerty ou qwerty,
- chiffres en fin de mot,
- majuscule au début et symbole à la fin comme unique complexification.
5. Ne pas confondre phrase de passe et expression connue
Une vraie phrase de passe doit être longue et personnelle dans sa composition. Une citation célèbre, un refrain, une devise sportive ou une expression proverbiale est souvent moins robuste qu’on l’imagine, car elle appartient déjà aux corpus testés par les attaquants.
Méthode simple pour créer un bon mot de passe ou une bonne phrase de passe
- Choisissez 4 à 6 mots peu corrélés entre eux.
- Ajoutez une structure personnelle non évidente : ponctuation, casse, nombre mémorisable mais non biographique.
- Visez une longueur totale d’au moins 16 caractères, souvent davantage pour les comptes sensibles.
- Vérifiez qu’aucun bloc n’est trop banal ou issu d’un dictionnaire simple.
- Réservez ce secret à un seul service.
- Ajoutez le MFA.
Exemple de bonne logique : partir de plusieurs mots indépendants, comme “voilier”, “rivage”, “citron”, “nuage”, puis ajouter une construction personnelle. Le résultat sera généralement plus mémorisable et plus long qu’un mot unique maquillé par un chiffre final.
Limites d’un calculateur de force de mot de passe
Aucun calculateur public ne peut connaître tout le contexte. Il ne sait pas si le mot de passe est réutilisé ailleurs, s’il a déjà fuité, s’il contient une information personnelle facile à deviner, ni si le service emploie un hachage lent et moderne. De plus, les outils d’attaque les plus performants n’essaient pas les combinaisons au hasard : ils exploitent la psychologie humaine, les bases de données de mots déjà compromis et les structures statistiques les plus probables.
Il faut donc voir cet outil comme un indicateur d’aide à la décision, pas comme une certification. Son intérêt est de rendre visible l’impact massif de la longueur, de montrer la différence entre attaque en ligne et hors ligne, et d’encourager des habitudes conformes à une cybersécurité réaliste.
Ressources officielles à consulter
Pour approfondir le sujet avec des sources d’autorité, consultez :
- cyber.gouv.fr : portail officiel de l’ANSSI et ressources de sensibilisation en France.
- cisa.gov : bonnes pratiques officielles pour des mots de passe forts et l’activation du MFA.
- consumer.ftc.gov : recommandations gouvernementales sur les mots de passe et la protection des comptes.
Conclusion
Si vous cherchez à calculer la force d’un mot de passe selon une logique ANSSI, retenez ceci : la longueur est déterminante, la diversité des caractères reste utile, les motifs humains doivent être pénalisés, et le scénario d’attaque change complètement l’interprétation. Le meilleur résultat n’est pas seulement un score élevé, mais un secret long, unique, non prévisible, idéalement généré ou stocké dans un gestionnaire, et protégé par une authentification multifacteur. Utilisez le calculateur comme un test immédiat, puis adoptez une hygiène durable sur l’ensemble de vos comptes.