Des sites permettent d'évaluer la force de son mot de passe, ce qui implique de le renseigner. Pour pouvoir juger sa robustesse sans le donner directement, l'ANSSI a mis en place une approche basée sur la cryptographie.

Vous cherchez à renforcer la solidité de vos mots de passe ? Plutôt que d’utiliser des symboles complexes, il vaut mieux allonger leur taille. Telle est la recommandation de l’Agence nationale de la sécurité des systèmes d’information, alors que chaque année des classements des pires mots de passe sortent, ce qui est l’occasion de (re)voir des horreurs comme « 123456 », « Password » ou « qwerty ».

Si vous vous demandez d’ailleurs quelle est la force de votre mot de passe principal, il est possible de l’estimer grâce à un outil de l’ANSSI : celui-ci ne vous demande pas de le taper pour l’analyser — ce serait imprudent de confier votre mot de passe, même à l’ANSSI — mais de simplement indiquer sa longueur et de dire dans quelles tables vous sélectionnez vos caractères (chiffres, lettres, etc.).

Tester son mot de passe

La longueur que vous pouvez indiquer avec cet outil n’inclut pas les nombres impairs et va de 2 à 30, en ignorant certains paliers (dès lors, prenez celui qui est le plus proche du vôtre pour avoir un ordre d’idée). L’Agence calcule alors la taille de clé équivalente à votre mot de passe et détermine si elle est très faible, faible, moyenne ou forte.

Mais pourquoi parler de taille de clé équivalente ? En fait, « la force d’un mot de passe peut être estimée par comparaison avec les techniques cryptographiques », explique l’ANSSI. Dès lors, en tenant compte de ses recommandations en cryptographie, il est possible de savoir si un mot de passe est fort ou non selon l’estimation de la taille de clé et sa faculté à atteindre certains seuils.

Or avec cet outil, on se rend compte qu’il est plus efficace de renforcer le mot de passe en l’allongeant de quelques caractères plutôt que de varier entre des majuscules et des minuscules.

Un long mot de passe est préférable

Ainsi, un mot de passe de 16 symboles puisant dans une table de 36 caractères a une taille de clé de 83 bits ; ce score passe à 91 bits si l’on utilise un même mot de passe de 16 caractères qui a été créé via une table de 52 caractères (c’est en tenant compte des majuscules et des minuscules). Aux yeux de l’ANSSI, une clé de 81 bits a une solidité moyenne ; elle est forte si elle atteint 104 bits.

Si l’on opte pour un mot de passe fort de 20 symboles (donc quatre de plus que le cas précédent) en puisant toujours dans une table de 36 caractères (10 chiffres et les 26 lettres de l’alphabet), la taille de clé atteint 103 bits. Et en passant à une table de 52 symboles, le score atteint 114 bits. L’ANSSI précise qu’en cryptographie, il faut se servir d’une taille de clé minimale de 100 bits.

Bien sûr, l’idéal serait sans doute de combiner à la fois la table de caractères la plus étendue possible et un mot de passe d’une importante longueur, avec 30 caractères ou plus.

Mais encore faut-il pouvoir le retenir ! La mémorisation peut être difficile s’il n’y a aucun moyen mnémotechnique pour aider l’utilisateur. Par ailleurs, l’inscrire au clavier peut vite relever du parcours du combattant s’il fait appel à des symboles rares. Dans ce cas, un bon compromis peut être la « phrase de passe », qui repose sur le même principe que le mot de passe, mais en ayant du sens pour l’utilisateur.

Si vous voulez des conseils pour créer un mot de passe, vous pouvez consulter notre guide mais aussi celui de la Commission nationale de l’informatique et des libertés. Et si vous voulez vraiment être en sécurité, pensez aussi à activer la double authentification sur les sites web sur lesquels vous avez un compte, si cette option est disponible. Si vous avez un doute, un site s’emploie à lister les services qui la proposent.