Cryptomarmot

English EN

Le méta-générateur de mots de passe de la marmotte

Introduction

L'entropie d'un mot de passe, exprimée en bits, mesure son imprévisibilité : plus elle est élevée, plus il résiste aux attaques. C'est la mesure de référence des standards de sécurité comme le NIST SP 800-63B ou encore les recommandations de l'ANSSI.

Cette valeur est cependant contextuelle : elle dépend de la durée de vie du mot de passe et des mécanismes d'authentification en place — notamment la présence ou non d'un MFA. La matrice ci-dessous donne quelques repères.

Référence

Seuils d'entropie recommandés selon le contexte d'usage, d'après le NIST SP 800-63B et les bonnes pratiques de l'industrie.

Scénario Entropie min Justification
Mot de passe à usage unique ~25 bits Fenêtre d'exposition très courte
Compte web avec MFA ~45 bits Le MFA compense — attaque en ligne seulement
Laptop local (hors réseau) ~45 bits Attaque physique requise, hash lent
Compte web sans MFA ~65 bits Fuite de BDD possible, attaque offline
Compte admin / root ~85 bits Cible attractive, privilèges élevés
Chiffrement disque / sauvegarde ~90 bits Offline GPU, enjeu maximal, durée de vie longue

Générer un mot de passe

Conseils pratiques

  • Générez plusieurs mots de passe et choisissez celui qui vous plaît — facile à taper et à mémoriser.
  • Préférez les passphrases si vous les mémorisez mieux — c'est d'ailleurs la recommandation de l'ANSSI.
  • Utilisez un gestionnaire de mots de passe — il génère, stocke et retient tout ça pour vous.
  • Les mots de passe construits à partir de patterns humains (Pa$$w0rd, prénom + date, phrase mémorisable) sont vulnérables aux attaques par dictionnaire — même s'ils semblent complexes. La marmotte vous recommande de n'utiliser que des mots de passe purement et strictement aléatoires.
  • Aucun algorithme générique ne peut calculer ni garantir l'entropie réelle d'un mot de passe basé sur des heuristiques facilitant la mémorisation : l'entropie affichée par cet outil suppose une génération purement aléatoire.

Références

L'entropie affichée est calculée selon la formule de l'entropie de Shannon, appliquée à une sélection uniforme et aléatoire :

Mot de passe aléatoire : H = L × log₂(N)

Passphrase : H = W × log₂(N)

Avec L = longueur, W = nombre de mots, N = taille du pool (caractères ou mots). Cette formule suppose une sélection parfaitement uniforme et aléatoire — hypothèse satisfaite par l'utilisation d'un CSPRNG (OsRng côté serveur, module secrets dans le script Python).

  • Claude E. Shannon, A Mathematical Theory of Communication, Bell System Technical Journal, 1948 — fondement théorique de la mesure d'entropie.
  • NIST SP 800-63B — Digital Identity Guidelines : applique explicitement cette formule pour l'évaluation des secrets mémorisés.
  • EFF Large Wordlist — liste de 7 776 mots utilisée pour les passphrases, dont l'entropie par mot est log₂(7 776) ≈ 12,9 bits.