Le chiffre qui compte vraiment : l’entropie, pas la longueur seule
Quand on demande combien de caractères doit faire un mot de passe en 2026, la réponse courte est “au moins 16”. Mais la vraie métrique n’est pas la longueur : c’est l’entropie, le nombre de combinaisons possibles. Un mot de passe de 20 caractères composé uniquement de minuscules est moins fort qu’un mot de passe de 12 caractères qui mélange majuscules, minuscules, chiffres et symboles.
Ce guide explique comment choisir la bonne longueur selon le compte à protéger, et pourquoi un générateur qui calcule l’entropie en temps réel évite de se tromper dans l’arbitrage.
Rappel : comment se mesure la force d’un mot de passe
L’entropie se calcule avec la formule log2(alphabet ^ longueur). Concrètement :
| Longueur | Minuscules seules | Alphanumerique | Avec symboles (95 car.) |
|---|---|---|---|
| 8 | 37 bits | 48 bits | 52 bits |
| 12 | 56 bits | 71 bits | 79 bits |
| 16 | 75 bits | 95 bits | 105 bits |
| 20 | 94 bits | 119 bits | 131 bits |
| 24 | 113 bits | 143 bits | 157 bits |
L’ANSSI recommande au moins 75 bits d’entropie pour un compte sensible. L’OWASP grimpe à 100 bits pour les comptes à forte valeur (banque, email principal, gestionnaire de mot de passe). Un mot de passe de 16 caractères tiré dans les 95 caractères imprimables atteint 105 bits : on est largement dans la zone sûre.
Les temps de cassage en 2026
Les cartes graphiques modernes (Nvidia RTX 5090, clusters dédiés) testent jusqu’à 50 milliards de hashs NTLM par seconde. En supposant un attaquant avec accès à un cluster de 10 GPU :
| Longueur | Minuscules seules | Alphanumerique | Avec symboles |
|---|---|---|---|
| 8 | < 1 seconde | 2 secondes | 3 minutes |
| 12 | 3 heures | 8 jours | 3 ans |
| 16 | 200 000 ans | 200 milliards d’années | — |
| 20 | — | — | — |
La barrière franchit l’infeasibility (hors de portée d’un attaquant) dès 14 caractères alphanumériques avec symboles. Aller à 16 ou 20 ajoute une marge face à l’évolution du matériel dans les 10 prochaines années.
Nos recommandations selon le compte
Comptes sans valeur (forums, newsletter, jeux)
12 caractères avec majuscules, minuscules, chiffres suffisent. Personne n’investira 8 jours de GPU pour casser un compte de forum. Si vous utilisez un générateur côté client, décochez “symboles” pour éviter les problèmes de compatibilité avec les sites anciens. Si un site refuse quand même certains caractères, nous avons listé les 7 solutions quand un site bloque les symboles.
Comptes moyens (réseaux sociaux, e-commerce)
16 caractères avec symboles. Vous protégez ainsi votre identité en ligne, votre moyen de paiement enregistré et votre carnet d’adresses. Le coût d’usage est nul si vous utilisez un gestionnaire : vous ne le tapez jamais, il se remplit automatiquement.
Comptes critiques (banque, email, gestionnaire de mot de passe)
20 à 24 caractères avec tous les jeux, ou passphrase Diceware de 6-8 mots. Votre email principal, en particulier, sert à réinitialiser tous les autres : s’il tombe, tout tombe. Sur ces comptes, ajoutez systématiquement le 2FA (TOTP ou clé FIDO2) en plus du mot de passe fort.
Mot de passe maître du gestionnaire
Ici, la longueur est reine parce que vous allez le taper à la main. Une passphrase Diceware de 6 mots (ex : orange-guitare-velo-pluie-mouton-rapide) offre 77 bits d’entropie, se mémorise en 15 minutes et se tape en 5 secondes. C’est le choix optimal pour ce cas unique. Nous détaillons l’arbitrage dans notre comparatif phrase de passe vs mot de passe.
Longueur ≠ complexité : attention au piège
Certains sites imposent encore “8 caractères dont 1 majuscule, 1 chiffre, 1 symbole”. Cette règle héritée des années 2000 produit des mots de passe prévisibles du genre Password1!. Une étude de Microsoft Research de 2023 a montré que 85 % des mots de passe répondant à ces règles sont dans les top-10 millions des bases de données de fuites.
La vraie sécurité vient de la longueur combinée à l’aléatoire. Un mot de passe généré aléatoirement de 16 caractères minuscules-seules (wkfjqpanozeirhms) est plus fort qu’un Password1! et bien plus fort que le Juliette2003! que l’utilisateur choisit typiquement face à une contrainte forte. Pour éviter les pièges classiques, consultez notre top 10 des erreurs à éviter à la création d’un mot de passe.
Le compromis mémoire vs sécurité
Si vous utilisez un gestionnaire de mot de passe (Bitwarden, 1Password, KeePass), la longueur n’a aucun coût d’usage : montez à 20 caractères par défaut. Vous ne tapez jamais ces mots de passe, le gestionnaire les remplit pour vous.
Si vous préférez mémoriser certains mots de passe (le maître du gestionnaire, le PIN de session Windows, le code de l’email pro sans gestionnaire), passez en mode passphrase Diceware : vous gardez la sécurité sans sacrifier la mémoire.
Pour basculer facilement entre les deux approches, un générateur qui propose les deux modes dans la même interface permet de choisir au cas par cas plutôt que d’être verrouillé sur une méthode.
Que faire des mots de passe courts déjà en place ?
Si vous avez aujourd’hui des mots de passe de 8 ou 10 caractères, pas de panique : changez-les par ordre de priorité.
- Email principal (Gmail, Outlook, Orange, Free) — c’est la clé de tout le reste
- Banque et assurance
- Gestionnaire de mot de passe (si vous en avez un)
- Réseaux sociaux où vous êtes connecté en continu
- E-commerce avec carte enregistrée (Amazon, Cdiscount, Fnac)
- Le reste peut attendre la prochaine connexion
Comptez 3-5 minutes par compte, dont la moitié pour attendre l’email de confirmation. Faire les 10 premiers prend une heure et couvre 90 % du risque.
Questions fréquentes
Un mot de passe de 100 caractères est-il vraiment plus sûr qu’un de 20 ?
Techniquement oui, mais au-delà de 20 caractères bien aléatoires, vous êtes déjà dans l’infeasibility. Les attaquants n’essaient plus de casser votre mot de passe : ils cherchent à le voler (phishing, keyloggers, fuites de bases). La longueur supplémentaire au-delà de 20 n’améliore pas votre sécurité réelle.
Faut-il quand même éviter les mots du dictionnaire dans un mot de passe aléatoire ?
Non, si le mot de passe est vraiment généré aléatoirement. La sécurité d’un mot de passe aléatoire ne dépend pas des sous-chaînes qu’il contient, mais de l’espace total de combinaisons possibles. Si votre générateur tire catbench1! purement au hasard dans 95^10 combinaisons, il est aussi sûr que xqzf4b1! — simplement plus facile à retenir.
Les sites qui refusent les mots de passe longs (max 16 caractères) sont-ils un problème ?
C’est le signe d’un site qui hash mal ses mots de passe (probablement sans salage). Utilisez un mot de passe de 16 caractères maximum avec toute la complexité possible, activez le 2FA si disponible, et considérez ce compte comme à risque. Exportez vos données ailleurs si le site stocke des informations sensibles.
Un mot de passe “phrase” (j’aime manger des frites le mardi) est-il aussi sûr qu’un Diceware ?
Non. Un Diceware tire ses mots au hasard dans une liste publique, donc l’attaquant ne peut que tester toutes les combinaisons. Une phrase que vous inventez contient de la grammaire, des habitudes et du sens : les attaques modernes entraînées sur Wikipedia et des milliards de phrases réduisent son entropie effective de 30 à 60 %. Préférez toujours le vrai Diceware à une phrase auto-construite.
À retenir
En 2026, 16 caractères avec symboles est le plancher pour un compte important, et 20 caractères devrait être votre défaut si vous utilisez un gestionnaire. La longueur n’est efficace que si les caractères sont vraiment aléatoires : utilisez un générateur qui affiche l’entropie en direct pour vérifier que vous êtes bien au-dessus de 75 bits sur chaque mot de passe généré. La longueur seule ne fait pas tout : limiter aussi les traceurs qui exfiltrent vos métadonnées de navigation reste un complément utile, détaillé dans notre comparatif des adblockers selon la protection des données.