- Une phrase de passe est une suite de mots aléatoires, souvent quatre à six. Facile à retenir, dure à casser.
- Des mots tirés au hasard battent les phrases astucieuses. C'est le hasard qui protège, pas les mots.
- Utilisez une phrase de passe pour ce que vous devez taper de mémoire. Un mot généré pour le reste.
- Votre mot de passe maître de gestionnaire est l'endroit idéal pour une bonne phrase de passe.
Les deux fonctionnent. Ils protègent des choses différentes de façons différentes. Une phrase de passe sert à ce que vous devez retenir. Un mot de passe sert à ce que votre gestionnaire retient pour vous. Utilisez les deux.
Voici la version longue, avec les calculs, les compromis, et comment construire une phrase de passe qui tient vraiment la route.
Ce qu'est une phrase de passe
Une phrase de passe est une séquence de mots. Pas une phrase grammaticale, pas une citation, mais une liste de mots sans rapport tirés au hasard d'une grande liste. Un exemple simple:
marbre saumon bouilloire dérive temps
Cinq mots, 36 caractères avec espaces, facile à taper et raisonnablement facile à retenir. Assez fort pour résister à la force brute pendant des siècles.
La technique a été popularisée par une méthode appelée Diceware, conçue par Arnold Reinhold en 1995. L'idée: prendre une liste de 7 776 mots, lancer cinq dés pour en choisir un, recommencer jusqu'à en avoir assez. Cinq mots donnent environ 64 bits d'entropie, six donnent 77, sept donnent 90.
Pourquoi des mots aléatoires battent les phrases astucieuses
Le premier instinct est de rendre la phrase mémorable en la liant à quelque chose de signifiant. Une parole de chanson. Une réplique de film. Une citation d'un livre favori.
C'est exactement ce que les attaquants attendent. Les phrases courantes sont dans leurs dictionnaires. Les outils de cassage ont des listes complètes de paroles, citations, textes religieux et discours célèbres. Dès que vous vous contraignez à du français grammatical, l'espace de recherche s'effondre.
La force d'une phrase de passe vient entièrement du tirage au hasard. Cinq mots tirés au hasard d'une liste de 7 776 donnent environ 64 bits d'entropie. Cinq mots formant une phrase mémorable peuvent en donner 20.
Elle est trop prévisible. Utilisez un générateur qui choisit les mots par tirage aléatoire, pas par votre imagination.
Quand utiliser une phrase de passe
Les phrases de passe brillent dans une situation précise: quand vous devez retenir l'identifiant et le taper de zéro. Les deux cas les plus communs:
- Le mot de passe maître de votre gestionnaire. Si vous l'oubliez, vous perdez tous vos autres identifiants. Il doit être fort, mémorable et unique.
- Le chiffrement de disque. Quand vous chiffrez votre portable avec FileVault, BitLocker ou LUKS, le mot de passe déverrouille le disque. Pas de remplissage automatique ici.
Pour tout le reste, utilisez votre gestionnaire et un mot de passe aléatoire généré. Le gestionnaire remplit, donc la mémorabilité ne compte pas, et une chaîne aléatoire de 20 caractères est plus courte à stocker qu'une phrase mémorable.
Comment générer une phrase de passe pour de vrai
Ne choisissez pas les mots vous même. Utilisez un outil qui tire d'une liste avec un vrai hasard. Quelques options:
- La plupart des gestionnaires modernes ont un générateur de phrase de passe intégré.
- La liste Diceware originale est gratuite et bien documentée si vous voulez lancer de vrais dés.
- Bitwarden, 1Password et Proton Pass exposent tous la génération de phrases dans leurs applications.
Visez au moins cinq mots aléatoires. Six, c'est mieux. Sept si le compte est vraiment critique, comme un mot de passe maître ou une clé de récupération.
La longueur en caractères compte encore
Certains sites ont des limites maximales, souvent 64 ou 128 caractères. La plupart des phrases passent. Quelques sites ont encore des limites absurdes comme 16 ou 20 caractères. Pour ceux là, vous ne pouvez pas utiliser de longue phrase, donc vous tombez sur un mot de passe aléatoire généré plus court. Votre gestionnaire fait cette distinction sans vous y faire penser.
Ajouter chiffres et symboles
Certains systèmes insistent pour avoir au moins un chiffre et un symbole. La façon la plus propre est d'ajouter à la fin:
marbre saumon bouilloire dérive temps 7!
L'entropie ajoutée est petite, mais l'exigence est satisfaite. Ne vous embêtez pas à déguiser les mots avec des substitutions comme remplacer o par 0. Les outils de cassage testent déjà toutes les substitutions communes. Vous n'y gagnez rien et perdez en lisibilité.
L'angle canadien
Si vous êtes francophone, vous pouvez bâtir vos phrases en français. Le principe est identique: une liste de mots français courants, tirés au hasard. L'entropie dépend de la taille de la liste, pas de la langue.
Certains utilisateurs bilingues mélangent intentionnellement anglais et français. Très bien, à condition que les mots soient toujours choisis par tirage aléatoire d'une liste connue, pas par préférence personnelle. chevreuil hammac salmon érable orage n'est pas plus faible que cinq mots anglais aléatoires, tant que tous ont été vraiment tirés au hasard.
Pour le mot de passe maître de votre gestionnaire, écrivez la phrase sur papier et rangez la physiquement. Gardez la deux semaines pendant que vous bâtissez la mémoire musculaire, puis détruisez la.
L'essentiel
Une phrase de passe est un outil pour les rares identifiants que vous devez retenir. Un mot de passe généré est un outil pour la centaine d'autres que vous ne devriez pas. Les deux reposent sur le même principe sous jacent: assez de hasard, dans assez de longueur, pour rendre la force brute inutile.
Si vous n'adoptez qu'une seule habitude, faites en votre mot de passe maître. Bâtissez une phrase de six mots aléatoires, apprenez la, et laissez tout le reste devenir une chaîne générée de 20 caractères à laquelle vous ne penserez plus jamais. Nous parcourons l'installation complète dans notre guide des gestionnaires.