Le méta-générateur de mots de passe de la marmotte
Introduction
L'entropie d'un mot de passe, exprimée en bits, mesure son imprévisibilité : plus elle est élevée, plus il résiste aux attaques. C'est la mesure de référence des standards de sécurité comme le NIST SP 800-63B ou encore les recommandations de l'ANSSI.
Cette valeur est cependant contextuelle : elle dépend de la durée de vie du mot de passe et des mécanismes d'authentification en place — notamment la présence ou non d'un MFA. La matrice ci-dessous donne quelques repères.
Référence
Seuils d'entropie recommandés selon le contexte d'usage, d'après le NIST SP 800-63B et les bonnes pratiques de l'industrie.
| Scénario | Entropie min | Justification |
|---|---|---|
| Mot de passe à usage unique | ~25 bits | Fenêtre d'exposition très courte |
| Compte web avec MFA | ~45 bits | Le MFA compense — attaque en ligne seulement |
| Laptop local (hors réseau) | ~45 bits | Attaque physique requise, hash lent |
| Compte web sans MFA | ~65 bits | Fuite de BDD possible, attaque offline |
| Compte admin / root | ~85 bits | Cible attractive, privilèges élevés |
| Chiffrement disque / sauvegarde | ~90 bits | Offline GPU, enjeu maximal, durée de vie longue |
Générer un mot de passe
Conseils pratiques
- Générez plusieurs mots de passe et choisissez celui qui vous plaît — facile à taper et à mémoriser.
- Préférez les passphrases si vous les mémorisez mieux — c'est d'ailleurs la recommandation de l'ANSSI.
- Utilisez un gestionnaire de mots de passe — il génère, stocke et retient tout ça pour vous.
- Les mots de passe construits à partir de patterns humains (
Pa$$w0rd, prénom + date, phrase mémorisable) sont vulnérables aux attaques par dictionnaire — même s'ils semblent complexes. La marmotte vous recommande de n'utiliser que des mots de passe purement et strictement aléatoires. - Aucun algorithme générique ne peut calculer ni garantir l'entropie réelle d'un mot de passe basé sur des heuristiques facilitant la mémorisation : l'entropie affichée par cet outil suppose une génération purement aléatoire.
Références
L'entropie affichée est calculée selon la formule de l'entropie de Shannon, appliquée à une sélection uniforme et aléatoire :
Mot de passe aléatoire : H = L × log₂(N)
Passphrase : H = W × log₂(N)
Avec L = longueur, W = nombre de mots, N = taille du pool (caractères ou mots). Cette formule suppose une sélection parfaitement uniforme et aléatoire — hypothèse satisfaite par l'utilisation d'un CSPRNG (OsRng côté serveur, module secrets dans le script Python).
- Claude E. Shannon, A Mathematical Theory of Communication, Bell System Technical Journal, 1948 — fondement théorique de la mesure d'entropie.
- NIST SP 800-63B — Digital Identity Guidelines : applique explicitement cette formule pour l'évaluation des secrets mémorisés.
- EFF Large Wordlist — liste de 7 776 mots utilisée pour les passphrases, dont l'entropie par mot est log₂(7 776) ≈ 12,9 bits.