Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.
Les bonnes pratiques en matière de longueur de mots de passe
Lorsqu’il s’agit de créer des mots de passe forts, le facteur le plus important est la longueur du mot de passe. Tant qu’un mot de passe n’est pas facilement devinable par d’autres moyens (par exemple, l’utilisation de mots courants, d’un nom d’utilisateur, de caractères répétés), la longueur est votre meilleur ami pour atténuer les attaques par force brute.
Considérons les mots de passe qui n’utilisent que des lettres minuscules. Pour un mot de passe à 8 caractères, il y a 26 8 mots de passe possibles, ce qui peut sembler un grand nombre. Et ça l’est ! 208 827 064 576 mots de passe possibles, ce n’est rien de moins que 208 milliards. Cependant, les ordinateurs modernes sont extrêmement rapides. Un ordinateur est capable de traiter tous les mots de passe possibles parmi ces 208 milliards en quelques heures seulement et une machine multithread haut de gamme peut réduire ce délai à seulement quelques minutes, voire quelques secondes. Pour faciliter les calculs, disons que nous avons un ordinateur vraiment puissant qui peut parcourir cette liste en exactement 1 minute.
Considérons maintenant que nous avons ajouté des règles de complexité traditionnelles et que nous avons maintenant besoin d’une lettre majuscule, d’une lettre minuscule, d’un chiffre, d’un chiffre et d’un caractère spécial par mot de passe, mais que nous laissons notre exigence de longueur à 8 caractères. Cela signifie que chaque position de caractère peut inclure n’importe lequels des 26 lettres (majuscule) + 26 (minuscule) + 10 (chiffres) + 32 (caractères spéciaux disponibles sous forme de touches sur un clavier anglais américain, hors codes alternatifs, etc.) ce qui nous donne 94 caractères. Pour un mot de passe à 8 caractères, cela fait 94 8 mots de passe possibles, soit 6 095 689 385 410 816 possibilités donc environ 29 000 fois plus de possibilités que pour un mot de passe entièrement en minuscules. Ainsi, un ordinateur capable de forcer brutalement nos 208 milliards de mots de passe entièrement en minuscules en une minute aurait besoin d’un un peu moins de 3 semaines pour parcourir toutes les possibilités complexes à 8 caractères. Impressionnant, mais nous sommes encore loin d’être tirés d’affaire.
Il faut aussi tenir compte de la réalité : les utilisateurs sont humains. Ainsi, bien qu’il existe 94 8 mots de passe possibles, l’ensemble de mots de passe réels que les humains pourraient choisir est probablement beaucoup plus petit que cela. Selon vous, combien d’utilisateurs ont des mots de passe qui ressemblent à ceci :
Abcdef1 !
Si le premier caractère est toujours une lettre majuscule, les caractères 2 à 6 sont des lettres minuscules, puis les caractères 7 et 8 sont toujours 1 et ! (Cela vous semble familier ?) – cela ne laisse que 26 6 mots possibles :
[AZ][az][az][az][az][az]1 !
(26)(26)(26)(26)(26)(1)(1) = 308 915 776
Ces 308 millions de mots de passe possibles sont un bien plus petit nombre que pour notre mot de passe en minuscules. Ce supercalculateur virtuel qui pourrait vérifier 208 milliards de mots de passe en 60 secondes prendrait moins d’un dixième de seconde pour deviner par force brute un mot de passe dans cet ensemble.
Considérant que la complexité forcée n’est pas parfaite en théorie et est potentiellement encore pire en pratique, voyons ce que le simple fait d’augmenter la longueur fait à nos mots de passe potentiels :
Longueur | Complexité | Temps pour deviner (minutes) | |
6 | Tout en minuscules | 308 915 776 | 0,0015 |
7 | Tout en minuscules | 8 031 810 176 | 0,038 |
8 | Tout en minuscules | 208 827 064 576 | 1 |
9 | Tout en minuscules | 5 429 503 678 976 | 26 |
10 | Tout en minuscules | 141 167 095 653 376 | 676 |
11 | Tout en minuscules | 3 670 344 486 987 780 | 17 576 |
8 | Complexe (4 sur 4) | 6 095 689 385 410 820 | 29 190 |
12 | Tout en minuscules | 95 428 956 661 682 200 | 456 976 |
13 | Tout en minuscules | 2 481 152 873 203 740 000 | 11 881 376 |
14 | Tout en minuscules | 64 509 974 703 297 200 000 | 308 915 776 |
15 | Tout en minuscules | 1 677 259 342 285 730 000 000 | 8 031 810 176 |
16 | Tout en minuscules | 43 608 742 899 428 900 000 000 | 208 827 064 576 |
Nous voyons que lorsque nous passons de 11 à 12 caractères, nous dépassons le mot de passe « complexe » maximum de 8 caractères qui utilise tous les caractères majuscules + minuscules + chiffres + caractères spéciaux possibles.
Au fur et à mesure que nous augmentons la longueur, le nombre de possibilités augmente également. Un mot de passe de 16 caractères offre un nombre considérable de possibilités. Regardez les choses sous cet angle : 8 caractères nous donnent 208 milliards de possibilités, qui, selon nous, prendraient une minute à déchiffrer. 16 caractères nous donnent 208 milliards de fois 208 milliards de possibilités, ou autrement dit : 208 milliards de minutes pour craquer le système. Ajoutons encore un peu de maths à tout cela :
208 827 064 576 minutes / 60 = 3 480 451 076 heures
145 018 795 heures / 24 = 145 018 795 jours
145 018 795 / 365 = 397 312 ans.
Longueur maximale du mot de passe
Vos mots de passe doivent être assez longs avant de rencontrer des limitations dans le monde Windows : la longueur maximale d’un mot de passe prise en charge par Active Directory est de 256 caractères. La longueur maximale d’un mot de passe qu’un utilisateur humain peut réellement taper pour se connecter à Windows est de 127 caractères (limitation dans l’interface graphique de Windows).
127 caractères ne sont pas à proprement parlé pratiques à taper pour un utilisateur, mais la possibilitgé d’utiliser un si long mot de passe peut être utile pour les comptes d’administrateur pour lesquels les mots de passe sont extraits, copiés et collés à partir d’un coffre-fort de mots de passe. Les mots de passe de compte de service qui ne sont presque jamais saisis et potentiellement rarement modifiés (voire jamais) pourraient être encore plus longs.
Les applications qui utilisent AD/LDAP pour l’authentification connaissent leurs propres limites, et elles sont parfois malheureusement beaucoup plus courtes que nous le souhaiterions. Si vous avez une limite supérieure imposée par une application tierce, Specops Password Policy peut vous aider en imposant un âge de mot de passe maximum dans AD pour empêcher les utilisateurs de choisir des mots de passe qui seraient inutilisables dans d’autres applications.

Longueur minimale du mot de passe dans Active Directory
Politique de domaine par défaut / politique de mot de passe
Elle est généralement configurée dans votre GPO de domaine par défaut ou bien dans tout autre GPO lié directement à la racine du domaine. Vous pouvez définir une longueur minimale maximale de 14 caractères par cette méthode (exécutez un gpupdate sur votre émulateur PDC pour que les modifications prennent effet).

Vous pouvez également modifier directement l’attribut minPwdLength dans ADSI edit :

Politiques de mots de passe affinées
Pour définir des exigences de longueur minimale plus longues pour différents ensembles d’utilisateurs, vous pouvez utiliser des stratégies de mot de passe affinées (FGPP). Depuis Windows 2012, la FGPP prend également en charge les longueurs minimales supérieures à 14 caractères.
La création d’une FGPP impliquait d’aller dans ADSIEdit et d’y créer manuellement un objet Conteneur de paramètres de mot de passe. Cependant, avec Windows Server 2016, Microsoft a ajouté le centre d’administration Active Directory, ce qui simplifie considérablement le processus.
Si ADAC n’est pas installé, ajoutez-le à l’aide de l’assistant Rôles et fonctionnalités ou à partir d’un administrateur PowerShell :
>install-windowsfeature RSAT-AD-AdminCenter
Dans ADAC, accédez à Système -> Conteneur de paramètres de mot de passe sous votre domaine.

Dans la zone Tâches à droite, Nouveau -> Paramètres de mot de passe.

Configurez l’ensemble de règles souhaité et ajoutez des utilisateurs ou des groupes à la section « S’applique directement à ».
La longueur maximale du mot de passe ici peut aller jusqu’à 255 caractères (mais encore une fois, faites attention aux limitations des champs de mot de passe. Par exemple : les identifiants de connexion pour les services Windows ne peuvent pas dépasser 251 caractères).

Maintenant, pour définir un mot de passe aussi long, une interface « programmatique » telle que PowerShell est idéale. Voici un exemple (avec le vrai mot de passe remplacé par des *).
$newPasswordText = ”*********************************************** **************** ********************************** ************************************************ ** ****************************************************** **********************************”
$newPassword = convertto-securestring -string $newPasswordText -asplaintext -force
set-adaccountpassword -identity svc-password-test -newpassword $newPassword -reset
Mots de passe longs mais faciles à deviner – que faire ?
Nous avons maintenant beaucoup parlé de la longueur du mot de passe et de son importance, mais rappelez-vous qu’elle ne fait pas tout pour assurer la sécurité des mots de passe. Un mot de passe long est un mot de passe fort, mais il n’est toujours pas bon s’il contient votre nom d’utilisateur ou d’autres mots facilement devinables tels que le nom de votre organisation. Si mon mot de passe est « SpecopsSoftware1! », il est assez long et c’est tant mieux. Cependant, si quelqu’un voulait le deviner, ça ne serait pas très compliqué ! De même, si j’étais autorisé à utiliser une exigence de longueur minimale avec un caractère répétitif – par exemple « Specops11111111 » – ce ne serait pas beaucoup plus difficile à deviner que « Specops1 ».
Avec la politique de mots de passe Specops, vous pouvez vous assurer que votre exigence de longueur de mot de passe plus longue n’est pas entièrement inutile. Vous pouvez bloquer des mots de dictionnaire courants (insensibles à la casse et avec détection de substitution de caractères courants), détecter et bloquer les caractères répétés. Ainsi « SpecopsSoftware1! » serait bloqué, tout comme « Specops11111111 » ou encore « Sp3c0psS0ftw@re1 ! ».
Avec Specops Breached Password Protection, vous pouvez également bloquer plus de 3 milliards de mots de passe divulgués connus. Un long mot de passe est inutile s’il est connu des pirates.
Durée de vie du mot de passe basée sur sa longueur
Avec Specops Password Policy 7.1, nous avons introduit une nouvelle fonctionnalité : la durée de vie du mot de passe basé sur la longueur. Lorsque cette fonctionnalité est activée, vous pouvez récompenser vos utilisateurs pour avoir sélectionné un mot de passe plus long en prolongeant sa durée de vie jusqu’à ce qu’ils aient besoin de changer à nouveau leur mot de passe voire même en les laissant conserver ce long mot de passe pour toujours.

Consultez cette page pour plus d’informations sur le produit.
(Dernière mise à jour le 14/02/2023)