Le mot de passe est l'un des plus anciens dispositifs de sécurité de l'histoire humaine. Dans la Rome antique, les sentinelles exigeaient un "tessera" — un mot de passe gravé sur une tablette de bois — pour autoriser le passage des soldats la nuit. L'historien grec Polybe (IIe siècle av. J.-C.) décrit dans ses Histoires comment le "watchword" était distribué chaque soir par le tribun militaire, transmis de garde en garde à travers le camp. La Bible mentionne un usage similaire dans le Livre des Juges (12:5-6) : les Galaadites identifiaient les Éphraïmites en leur demandant de prononcer "Shibboleth" — ceux qui disaient "Sibboleth" étaient démasqués. Ce "mot de passe linguistique" est devenu un concept fondamental en sécurité informatique.
Au Moyen Âge, les châteaux forts et les villes fortifiées utilisaient des mots de passe pour contrôler l'accès aux portes. Les guildes médiévales, notamment les francs-maçons, développèrent des systèmes élaborés de mots, signes et attouchements pour reconnaître leurs membres. Le "Mot du Maçon", transmis oralement lors de l'initiation, servait à prouver son appartenance à la confrérie. Pendant la guerre de Cent Ans (1337-1453), les armées anglaises et françaises utilisaient des mots de passe quotidiens pour distinguer alliés et ennemis lors des combats nocturnes. Le chroniqueur Jean Froissart rapporte que la confusion des mots de passe lors de la bataille de Crécy (1346) causa la mort de nombreux soldats par "tir ami".
L'ère informatique du mot de passe débute en 1961 au MIT, quand Fernando Corbató implémente le premier système d'authentification par mot de passe pour le Compatible Time-Sharing System (CTSS). Ce système permettait à plusieurs utilisateurs de partager un même ordinateur IBM 7094 en protégeant les fichiers de chacun. Dès 1962, Allan Scherr, un doctorant du MIT, réalisa la première "attaque" connue : il trouva le fichier maître contenant tous les mots de passe en clair et les imprima, obtenant ainsi du temps de calcul supplémentaire. Cette anecdote illustre la vulnérabilité fondamentale du stockage en clair.
La science du mot de passe connaît un tournant majeur en 1976 quand Robert Morris Sr., chercheur aux Bell Labs, invente le hachage de mots de passe sous Unix avec la fonction crypt(), basée sur l'algorithme DES. Pour la première fois, les mots de passe ne sont plus stockés en clair mais sous forme de "hash" irréversible. En 1979, Morris ajoute le concept de "sel" (salt) — une valeur aléatoire ajoutée avant le hachage pour empêcher les attaques par tables précalculées. L'entropie, concept emprunté à la théorie de l'information de Claude Shannon (1948), devient la mesure standard : E = L × log₂(N), où L est la longueur et N le nombre de caractères possibles. Un mot de passe de 12 caractères mixtes atteint environ 79 bits d'entropie, suffisant pour résister au brute force pendant des millénaires.
La psychologie des mots de passe révèle des paradoxes fascinants. En 2003, Bill Burr du National Institute of Standards and Technology (NIST) publia l'annexe A du document SP 800-63, recommandant les mots de passe complexes avec majuscules, chiffres et caractères spéciaux. En 2017, dans une interview au Wall Street Journal, il reconnut que cette recommandation était "largement erronée" : les utilisateurs contournent la complexité avec des substitutions prévisibles ("P@ssw0rd!") et les changements fréquents poussent à des schémas faibles. Le psychologue Jeff Yan de l'université de Cambridge a démontré en 2004 que les mots de passe basés sur des phrases mnémotechniques sont à la fois plus forts et plus mémorables que ceux basés sur la complexité pure.
L'industrie contemporaine vit une transformation profonde. Le NIST a révisé ses directives en 2017 (SP 800-63B), privilégiant la longueur sur la complexité et abandonnant l'expiration périodique obligatoire. Microsoft a suivi en 2019 en supprimant la rotation des mots de passe de ses baselines de sécurité. La fuite de données RockYou en 2009 — 32 millions de mots de passe en clair exposés — a révélé que "123456" dominait le classement, suivi de "12345" et "password". En 2023, le rapport NordPass confirme que "123456" reste le mot de passe le plus utilisé au monde, cracké en moins d'une seconde. L'algorithme Argon2, vainqueur du Password Hashing Competition en 2015, représente l'état de l'art du hachage. Parallèlement, les passkeys (clés d'accès) basés sur FIDO2/WebAuthn, promus par Google, Apple et Microsoft depuis 2022, annoncent peut-être la fin de l'ère des mots de passe traditionnels.