Les mots de passe complexes qui utilisent une combinaison de caractères et qui sont modifiés fréquemment ne constituent plus la meilleure pratique de gestion des mots de passe. Ces informations sont basées sur les directives récemment publiées par le National Institute of Standards and Technology (NIST) des États-Unis, qui élabore et publie des directives pour aider les organisations à protéger les systèmes d'information.

Pendant des années, les mots de passe complexes, combinant des lettres majuscules et minuscules, des chiffres et des symboles, ont été privilégiés par les experts et les fournisseurs de services, car ils sont censés rendre les mots de passe plus difficiles à deviner ou à déchiffrer par des attaques par force brute.
Cependant, les mots de passe complexes sont contre-productifs et affaiblissent en réalité la sécurité. Les mots de passe complexes incitent les utilisateurs à développer de mauvaises habitudes, comme choisir des mots de passe simples ou réutiliser d’anciens mots de passe.
Dans ses dernières directives, le NIST a encouragé l’utilisation de mots de passe plus longs plutôt que de mots de passe complexes.
La première raison est que les utilisateurs ont souvent du mal à se souvenir de mots de passe complexes, ce qui les conduit à utiliser des mots de passe basés sur des règles faciles à deviner ou à utiliser le même mot de passe pour plusieurs sites Web. Ce problème est aggravé par le fait que de nombreuses organisations exigent que vous changiez votre mot de passe tous les 60 à 90 jours. Le NIST ne le recommande plus.
La force d'un mot de passe est souvent mesurée par l'entropie, le nombre de combinaisons possibles qui peuvent être créées à l'aide des caractères du mot de passe. Plus le nombre de combinaisons est élevé, plus le mot de passe est difficile à déchiffrer à l'aide d'attaques par force brute ou par devinette.
La longueur joue un rôle beaucoup plus important dans le nombre de combinaisons possibles que la complexité. Un mot de passe plus long avec plus de caractères a exponentiellement plus de combinaisons possibles.
La deuxième raison est que les mots de passe longs contenant de nombreux mots simples sont plus faciles à retenir, ce qui garantit que les utilisateurs n'ont pas recours à des pratiques dangereuses comme écrire des mots de passe ou les réutiliser.
De plus, les mots de passe longs, en raison du grand nombre de combinaisons possibles, sont plus difficiles à déchiffrer pour les algorithmes complexes que les mots de passe courts et complexes.
Par exemple, changer un mot de passe de 4 à 6 chiffres augmente le nombre de combinaisons possibles de 10 000 à 1 000 000.
Le NIST recommande aux utilisateurs de créer des mots de passe comportant jusqu'à 64 caractères. Dans ce cas, un mot de passe qui n'utilise que des lettres minuscules et des mots sera extrêmement difficile à déchiffrer, et s'il comprend des lettres majuscules et des symboles, le déchiffrage du mot de passe sera mathématiquement impossible.