Utilia
Back to blog
·5 min read

L'entropie des mots de passe expliquée : pourquoi 80 bits tient les hackers à distance (2026)

L'entropie mesure la difficulté à deviner un mot de passe — en bits. Voici la formule, ce que 80 bits signifie vraiment, et pourquoi la longueur bat toujours la complexité.

entropie mot de passesécurité des mots de passecybersécuritéforce du mot de passebits d'entropiemot de passe aléatoire

Quand un outil de sécurité vous dit que votre mot de passe a « 80 bits d'entropie », la plupart des gens acquiescent et passent à autre chose. Le nombre semble technique. Mais l'entropie est l'un des concepts les plus utiles en matière de sécurité des mots de passe — et une fois que vous le comprenez, vous ne penserez plus jamais aux mots de passe de la même façon.

Ce que signifie l'entropie d'un mot de passe

L'entropie, en théorie de l'information, mesure l'imprévisibilité. Dans le contexte des mots de passe, elle répond à une question précise : combien de tentatives un attaquant a-t-il besoin en moyenne pour craquer ce mot de passe par force brute ?

La réponse est 2^(bits d'entropie). Un mot de passe avec 40 bits d'entropie nécessite en moyenne 2^40 ≈ un billion de tentatives. Un mot de passe avec 80 bits nécessite 2^80 ≈ 1,2 quintillion de tentatives.

La différence entre 40 bits et 80 bits n'est pas ×2. C'est 2^40 ≈ un billion de fois plus difficile.

La formule

L'entropie d'un mot de passe se calcule ainsi :

entropie (bits) = longueur × log₂(taille du pool)

Où la taille du pool est le nombre de caractères distincts que le mot de passe peut utiliser :

| Jeu de caractères | Taille du pool | Bits par caractère | |---|---|---| | Chiffres uniquement | 10 | 3,32 | | Lettres minuscules | 26 | 4,70 | | Majuscules + minuscules | 52 | 5,70 | | Alphanumériques | 62 | 5,95 | | ASCII complet (tous types) | 95 | 6,57 |

Un mot de passe de 16 caractères avec tous les types : 16 × 6,57 = 105 bits. Un mot de passe de 16 caractères en minuscules : 16 × 4,70 = 75 bits. Les deux sont forts, mais la longueur reste plus efficace que la complexité.

Ce que différents niveaux d'entropie signifient en pratique

Les GPU modernes peuvent effectuer des milliards à des centaines de milliards de tentatives de mots de passe par seconde, selon l'algorithme de hachage utilisé par le site compromis.

| Entropie | Temps de crack (hors ligne, hash rapide) | Évaluation | |---|---|---| | < 30 bits | Millisecondes | Complètement non sécurisé | | 30–40 bits | Minutes à heures | Faible | | 40–60 bits | Jours à mois | Moyen — non recommandé | | 60–80 bits | Décennies | Fort pour la plupart des usages | | 80–100 bits | Plus long qu'une vie humaine | Très fort | | 100+ bits | Plus long que l'âge de l'univers | Pratiquement inviolable |

Pourquoi la longueur bat la complexité

Chaque caractère supplémentaire multiplie l'espace de recherche par la taille du pool. Chaque type de caractère supplémentaire ajoute moins d'un bit par caractère.

Conclusion : la longueur augmente l'entropie de façon linéaire et efficace. Plus de types de caractères aident, mais l'effet marginal diminue avec chaque nouveau type ajouté.

Les mots de passe choisis par les humains ont bien moins d'entropie qu'il n'y paraît

Un mot de passe « aléatoire » de 16 caractères choisi par un humain n'a pas 75 bits d'entropie. Les humains favorisent : les mots connus, les noms et dates, les patterns de clavier, les substitutions simples.

Des études empiriques sur des bases de données de mots de passe issus de violations montrent que les mots de passe choisis par les humains ont une entropie effective 2–5 fois inférieure à ce que la formule mathématique suggère.

C'est l'argument central pour les générateurs de mots de passe. Un générateur utilisant crypto.getRandomValues() produit des mots de passe où l'entropie mathématique est l'entropie réelle — pas de biais humain, pas de patterns.

Comment atteindre 80+ bits sans y penser

| Longueur | Caractères | Entropie | |---|---|---| | 16 | Alphanumériques uniquement | 95 bits | | 16 | Tous types | 105 bits | | 20 | Minuscules uniquement | 94 bits | | 20 | Tous types | 131 bits | | 24 | Tous types | 157 bits |

Générer un mot de passe avec affichage d'entropie en direct — observez le compteur de bits changer en temps réel.

Questions fréquemment posées

De combien de bits d'entropie un mot de passe a-t-il besoin ?

80 bits est la recommandation courante pour les comptes standard. Pour les comptes importants (e-mail, banque), 100+ bits est préférable. En dessous de 60 bits n'est pas recommandé pour quoi que ce soit d'important.

Quelle est la différence entre Math.random() et crypto.getRandomValues() ?

Math.random() est un générateur de nombres pseudo-aléatoires — rapide et pratique, mais prévisible et explicitement documenté comme inadapté à un usage sécurisé. crypto.getRandomValues() utilise la source d'entropie du système d'exploitation, conçue pour les opérations cryptographiques.

Pourquoi la formule d'entropie utilise-t-elle log₂ ?

Parce que nous mesurons l'entropie en bits — des unités en base 2. log₂(taille du pool) indique combien de bits d'information chaque position de caractère porte. Un caractère d'un alphabet de 26 lettres porte log₂(26) ≈ 4,7 bits. Un lancer de pièce porte exactement log₂(2) = 1 bit.