Quelle doit être la longueur d’un mot de passe ?

Vous souvenez-vous de la dernière fois où vous n’avez pas eu besoin d’accéder à au moins l’un de vos mots de passe ? Cela fait probablement un certain temps. Après tout, une personne ordinaire gère environ 168 mots de passe. À cette échelle, vous pouvez vous demander si vous devez vraiment donner la priorité à votre sécurité ou prendre un peu de temps pour vous souvenir de la manière dont vous avez accédé à vos comptes.

Le fait que les nombres varient d’un pays à l’autre n’arrange rien : certains pensent que l’on peut s’en sortir avec 6 caractères, d’autres optent pour des nombres de l’ordre de 20. Réglons ce problème une fois pour toutes et répondons à quelques questions récurrentes. En fin de compte, quelle est la longueur moyenne d’un mot de passe et quelle doit être sa structure pour garantir votre sécurité en ligne ?

Quelle est la longueur minimale recommandée pour un mot de passe ?

Ne tournons pas autour du pot : la longueur de vos mots de passe est l’un des principaux points de contrôle de la cybersécurité que vous pouvez cocher. Le nombre exact de caractères fait l’objet d’une controverse.

Nous recommandons d’utiliser un mélange aléatoire de 8 caractères (comprenant des lettres majuscules et minuscules, des chiffres et des symboles spéciaux) comme le strict minimum pour votre mot de passe. Cependant, plus il est long, mieux c’est.

Vous pouvez également choisir d’utiliser une phrase secrète, une séquence de mots ou une phrase que vous pouvez utiliser pour authentifier votre identité. Par exemple, vous pouvez utiliser une réplique de votre film ou de votre livre préféré. Toutefois, assurez-vous que personne ne sait ce qu’est cette phrase spécifique. Une phrase secrète unique est aussi efficace qu’un mot de passe très complexe, car les espaces entre les mots sont considérés comme des caractères spéciaux.

Arguments en faveur de mots de passe plus longs

Mais pourquoi la longueur d’un mot de passe est-elle si importante ? Pour répondre à cette question, il faut d’abord comprendre l’une des plus grandes menaces qui pèsent sur la sécurité des mots de passe : lesattaques par force brute. Les cybercriminels utilisent des logiciels spécifiques pour essayer des millions (voire des milliards, si l’ordinateur est suffisamment puissant) de combinaisons de caractères afin de trouver les mots de passe qui fonctionnent. Ils commencent généralement par tous les mots d’un dictionnaire, de sorte que les mots de passe qui ne contiennent qu’un ou deux mots ne sont pas résistants.

S’il y a peu de caractères, il n’est pas possible de créer suffisamment de combinaisons sécurisées et aléatoires pour protéger les comptes. Si vous choisissez une longueur inférieure à 8 caractères, le risque que vos mots de passe soient forcés augmente. Plus vous avez de comptes personnels et professionnels, plus vous avez besoin de variété, et un mot de passe plus long répond à ce besoin.

Dans la liste du Top 200 des mots de passe les plus courants de NordPass, les 10 premières entrées sont constituées de mots de passe de 5 à 9 caractères. La plupart sont des séquences de chiffres et de lettres minuscules basées sur la disposition du clavier, telles que 123456 ou azerty. De telles combinaisons constituent une proie facile pour les cybercriminels, qui n’ont besoin que de moins d’une seconde pour s’introduire dans le compte et se l’approprier.

Le problème n’est pas seulement la brièveté des mots de passe, mais aussi la fréquence de leur réutilisation. Si une personne trouve un mot de passe de 6 caractères ne contenant que des lettres et des chiffres, le pirate peut exécuter un programme pour trouver facilement la combinaison correspondante. Il peut ensuite utiliser le mot de passe avec l’adresse électronique correspondante et obtenir facilement tous les comptes appartenant à leur victime. Les mots de passe plus longs et plus variés nécessitent plus de devinettes pour être prédits, ce qui augmente le temps nécessaire pour les pirater.

Pour résoudre le problème de la faiblesse des mots de passe, diverses politiques de mots de passe et des lignes directrices sont mises en place pour aider les entreprises et les particuliers à mieux gérer leurs données personnelles. Le National Institute of Standards and Technology (NIST) a mis à jour ses lignes directrices sur la sécurité des mots de passe en 2024, clarifiant ainsi l’évolution des attentes en matière de sécurité des identifiants de connexion. Selon les nouvelles lignes directrices, les mots de passe doivent comporter jusqu’à 64 caractères (une longue phrase secrète peut être utilisée à la place d’un mot de passe) et ne doivent être changés qu’en cas de preuve évidente de divulgation. Les mots de passe doivent également être générés et stockés à l’aide d’un gestionnaire de mots de passe pour une meilleure sécurité.

Équilibrer la longueur et la complexité

Un équilibre délicat doit être trouvé entre ce qui assure votre sécurité en ligne et ce qui vous permet d’être en ligne en toute simplicité. Comme indiqué précédemment, la longueur du mot de passe joue un rôle clé dans sa prévisibilité. Moins vous utilisez de caractères, moins il faudra de temps pour le déchiffrer. De même, plus la variété est grande, plus il faut de temps et de ressources pour le trouver.

C’est pourquoi les phrases secrètes sont d’une grande utilité. Elles permettent à vos identifiants de connexion d’être longs et complexes, sans être encombrés de caractères aléatoires. Si vous choisissez une citation, vous utiliserez probablement au moins 4 ou 5 mots. Cela augmente automatiquement la longueur du mot de passe, ce qui lui confère une plus grande résistance aux cybermenaces.

Vous pouvez vous demander si les phrases secrètes sont résistantes aux attaques par force brute ciblant les mots du dictionnaire. La longueur de la phrase secrète est en fait un avantage, même si elle utilise des mots provenant d’un corpus connu : elle augmente le niveau de difficulté pour identifier les mots, et le fait d’extraire chaque mot, espace et signe de ponctuation dans cet ordre demande beaucoup de ressources, ce qui rend la détection d’une correspondance exacte plus difficile à trouver pour les cybercriminels.

Maintenant, ajoutons un peu de complexité. Entre « password123 » et « PAl4p5e*tDgF!3 », c’est-à-dire la 111e entrée du Top 200 mentionné plus haut et une combinaison de touches complètement aléatoire, le premier prend moins d’une seconde à craquer, tandis que le second nécessite des centaines d’années.

L’exemple aléatoire ne suit pas un modèle facilement détectable et contient tous les caractères que nous avons mentionnés jusqu’à présent : lettres majuscules et minuscules, chiffres et caractères spéciaux. Si l’on prenait une combinaison équivalente en continuant à ajouter des caractères aléatoires au hasard, le niveau de complexité augmenterait. En bref, la longueur ajoute de la complexité, et la complexité est exactement ce qu’il faut pour les identifiants de connexion.

Conseils pour créer des mots de passe longs et sûrs

Les phrases secrètes sont une bonne idée pour obtenir des identifiants de connexion forts. Cependant, certains sites web et applications n’acceptent pas les espaces comme des caractères spéciaux, ce qui rend plus difficile l’utilisation de mots de passe plus mémorables. Comment trouver des mots de passe vraiment bons et comment s’assurer de ne pas les oublier ?

Vous pouvez essayer d’utiliser une phrase secrète : prenez les mots d’une phrase, omettez certaines lettres, remplacez-les par des caractères spéciaux, et voilà ! Vous avez entre les mains un concept de mot de passe fort. Par exemple, prenons la phrase classique « Un renard brun et rapide saute par-dessus un chien paresseux » et transformons-la en « 1.Ren.bru.sa.par.dess.1.chi.PARE. » Nous avons remplacé « un » par 1, laissé les deux ou trois premières lettres des autres mots, mis une majuscule à la première et à la dernière lettre, et terminé par un point pour faire bonne mesure. Résultat : Un mot de passe qui prendrait des siècles à pirater.

Cela dit, évitez de prendre un mot et de remplacer ses lettres par des chiffres, comme « 0v3r » pour « over » : les pirates connaissent bien ces astuces et les ont ajoutées à leur liste de variantes pour les attaques par force brute. Au lieu de suivre un modèle prévisible, faites preuve de créativité : remplacez des lettres aléatoires par des chiffres qui ne correspondraient pas au schéma habituel (comme un 5 pour L au lieu du S habituel) et créez un code que vous êtes le seul à connaître. Nous avons d’autres idées dont vous pouvez vous inspirer pour améliorer votre générateur de mots de passe intérieur dans notre article dédié.

Si vous n’êtes pas sûr que votre nouvel identifiant réponde aux critères du mot de passe fort idéal, vous pouvez le tester à l’aide du vérificateur de mot de passe sécurisé. Ne vous inquiétez pas : nous ne conservons pas les mots de passe que vous saisissez dans cet outil afin de garantir la sécurité de vos données, qu’il s’agisse d’une simple idée ou d’un mot de passe déjà utilisé.

Le moyen le plus simple de résoudre vos problèmes de longueur de mot de passe et de ne plus vous soucier de les mélanger est de vous procurer un outil qui le fait pour vous, et NordPass sait comment faire les choses correctement. NordPass est un gestionnaire de mots de passe intuitif qui conserve tous vos identifiants de connexion chiffrés en toute sécurité.

Grâce à son générateur de mots de passe intégré, vous n’aurez plus à vous soucier de trouver des mots de passe par vous-même. Vous n’aurez pas besoin de vous en souvenir non plus, car la fonction de remplissage automatique détectera vos tentatives de connexion et saisira vos identifiants de connexion à votre place en quelques secondes. En fait, avec NordPass, le seul mot de passe dont vous devez vous souvenir est le mot de passe principal pour accéder à votre coffre-fort. Tout le reste est pris en charge par notre extension de navigateur et notre application mobile.

Renforcez tous vos comptes en toute simplicité et habituez-vous à utiliser des mots de passe longs avec NordPass.

FAQ