Passphrase Diceware : créer un mot de passe mémorisable et fort
La plupart des conseils sur les mots de passe créent un faux choix : soit un mot de passe fort mais impossible à mémoriser, soit un mot de passe mémorisable mais faible. La méthode Diceware brise ce compromis en utilisant des mots du dictionnaire choisis aléatoirement pour créer des passphrases à la fois très fortes et mémorisables. Le Générateur de Mots de Passe de WikiPlus inclut ce mode.
La méthode Diceware : aléatoire prouvé par les dés
La méthode Diceware, développée par Arnold Reinhold en 1995, utilise des dés physiques pour sélectionner des mots dans une liste numérotée. Le processus classique : jetez 5 dés, notez les 5 chiffres comme un nombre (ex: 14653). Cherchez ce nombre dans la liste Diceware — il correspond à un mot (ex: « forge »). Répétez 4 à 7 fois pour obtenir votre passphrase : « forge-delta-vieux-nuage-rose ». La liste Diceware standard contient 7 776 mots (6^5 = 7 776 combinaisons de 5 dés). Chaque mot apporte log2(7 776) ≈ 12,9 bits d'entropie. L'EFF (Electronic Frontier Foundation) publie une liste Diceware améliorée avec des mots plus simples et mémorisables. Le Générateur de WikiPlus utilise crypto.getRandomValues pour sélectionner les mots de façon équivalente aux dés physiques, garantissant la même entropie sans manipulation physique.
Entropie des passphrases : 4, 5, 6 ou 7 mots ?
Le nombre de mots dans une passphrase détermine directement son niveau de sécurité. 4 mots (51,7 bits) : protège contre les attaques en ligne (où chaque tentative est ralentie et détectée). 5 mots (64,6 bits) : protège contre les attaques hors ligne avec des GPU dédiés. 6 mots (77,5 bits) : protège contre des adversaires disposant de ressources importantes (gouvernements, organisations criminelles organisées). 7 mots (90,5 bits) : considéré comme incassable avec les technologies prévisibles des prochaines décennies, même en tenant compte des avancées quantiques de court terme. Pour le mot de passe maître d'un gestionnaire de mots de passe, 6-7 mots est recommandé — c'est le seul mot de passe que vous devez réellement mémoriser et il mérite une protection maximale. Pour les mots de passe de connexion quotidienne que vous stockez dans un gestionnaire, 16-20 caractères aléatoires sont plus appropriés.
Mémoriser efficacement une passphrase
La force d'une passphrase vient de l'aléatoire des mots, mais la mémorabilité peut être améliorée par des techniques mnémotechniques. Techniques recommandées. Narration visuelle : créez une histoire mentale absurde et vivace connectant les mots. « violet-nuage-forgeron-pivot-citron » : imaginez un forgeron violet sur un nuage, martelant un pivot en citron. Les images absurdes sont plus mémorables que les logiques. Association auditive : répétez la passphrase à voix haute plusieurs fois, en cadence, comme un poème. Le rythme aide la mémorisation. Associations émotionnelles : connectez chaque mot à une émotion, une sensation ou une personne de votre vie. Technique des loci : imaginez chaque mot dans un endroit spécifique d'une pièce familière que vous « parcourez » mentalement. Attention : ne modifiez jamais les mots pour les rendre « plus logiques » — cela réduit l'entropie. « violet-nuage-forgeron » est fort précisément parce que cette combinaison est improbable et non mémorée par aucun dictionnaire d'attaquant.
Passphrases en français vs en anglais : quel impact sur l'entropie ?
La question de la langue de la passphrase est pertinente. Les listes Diceware originales sont en anglais, avec 7 776 mots. Des équivalents existent dans d'autres langues, incluant le français. L'entropie ne dépend pas de la langue mais uniquement de la taille de la liste et du nombre de mots choisis — si une liste française contient 7 776 mots et que vous en choisissez 6, l'entropie est identique à une liste anglaise de même taille. En pratique, une passphrase en français est légèrement plus résistante aux attaques génériques (les dictionnaires d'attaque anglophones sont plus développés et complets), mais les attaquants sérieux disposent de dictionnaires multilingues. L'avantage principal d'une passphrase en français pour un utilisateur francophone est la mémorabilité — les mots français sont plus naturels et faciles à retenir. Le Générateur de WikiPlus utilise une liste de mots en anglais pour le mode passphrase — universellement reconnu et standard. Vous pouvez adapter mentalement en substituant des mots français équivalents si cela facilite votre mémorisation, en gardant un niveau de complexité équivalent.
Questions fréquemment posées
- Combien de mots doit contenir une passphrase sécurisée ?
- Pour un usage général : 5 mots (64,6 bits d'entropie). Pour un mot de passe maître de gestionnaire ou un compte très critique : 6-7 mots (77-90 bits). Ne descendez jamais en dessous de 4 mots. L'ajout d'un chiffre ou d'un symbole entre les mots ajoute un peu d'entropie mais la longueur (nombre de mots) reste le facteur principal.
- La liste Diceware française existe-t-elle ?
- Oui, plusieurs listes Diceware en français existent, notamment celle publiée par Concordance sur GitHub. Elle contient 7 776 mots français courts et courants. L'entropie par mot est identique à la liste anglaise si la taille est la même. Ces listes peuvent être utilisées manuellement avec des dés physiques.
- Peut-on ajouter des chiffres ou symboles à une passphrase ?
- Oui, et cela augmente légèrement l'entropie. Insérer un chiffre ou symbole entre deux mots — « violet3nuage-forgeron » — ajoute quelques bits d'entropie sans nuire à la mémorabilité. Cela satisfait aussi les exigences de sites qui imposent des règles de composition. Évitez cependant les patterns prévisibles comme un chiffre final ou une majuscule initiale.