Que les mots deviennent des phrases

Sécurité / Vie Privée 19 févr. 2019

Salut tout le monde !

Aujourd’hui je vais vous parler de ce qui représente le point d’entrée de la sécurité informatique, et qui pourtant, d’après mes observations personnelles, n’est pas encore très bien acquis par tout le monde.

Les mots de passe 😱

Bam le sujet est lancé, j’ai pas peur de choquer moi.

Premièrement : Qu’est-ce que l’on sait des mots de passe ?

  1. C'est mes miens
  2. J’crois ça a un rapport avec la sécurité
  3. Ça sert à se connecter à des sites

Voilà. On va dire que ça donne une base.

Je vais maintenant vous révéler le plus grand secret pour créer un mot de passe sécurisé, de manière inédite. #prepareYourMindToBeBlown

« Ce qui caractérise la force d’un mot de passe ce n’est pas le contenu, c’est la longueur »

Voilà. Vous pourrez dès maintenant dire à tous vos sites favoris que demander de mettre une majuscule, un chiffre, un symbole spécial, une pizza 4 fromages, un soupçon de thé et la douzième statuette de Gladeulfeuhra dans votre mot de passe, ça ne sert à rien si celui-ci est aussi long que votre prénom.

Parce que la différence des caractères d’un mot de passe n’influe que très peu sur le temps de piratage d’icelui. Alors que si celui-ci ne comporte que des lettres et un peu de ponctuation par-ci par-là, mais fait la taille du titre de cet article, ça complique tout de suite les choses !

Vous voyez où je veux en venir avec ma ponctuation ?

Faites des phrases pour vos mots de passe !

Parce que oui, techniquement : "C6MV#krC&S9y" c’est moins efficace que : "Je me baladais dans la forêt."

Et ça c’est défini par l’entropie.
L’entropie c’est une « force » qui dépend de la longueur L du mot de passe et du nombre N de caractères possibles.

Bon c’est pas très clair alors je vais vous faire un exemple :

Un mot de passe de longueur 8 composé avec :

  • tous les chiffres
  • toutes les lettres (majuscules + minuscules)
  • les caractères spéciaux "!#?%$"

Ça équivaut à une entropie d’à peu près : 49.

C’est nul.

Tandis qu’un mot de passe avec le double de longueur (16 donc), mais avec seulement des lettres (majuscules + minuscule) ça donne une entropie d'à peu près : 91 !

Pour vous donner un ordre de grandeur approximatif, 49 c’est très faible et à partir de 104 c’est considéré comme fort. (Sachant que la taille recommandée par l’ANSSI pour des mots de passe plus sûrs est de 16 et avec une entropie d’au moins 81)

(Source)

Pour en revenir à mes exemples précédents, j’ai testé les 2 mots de passe avec ce test d’entropie et voici les résultats :

  • C6MV#krC&S9y => 59 bits d’entropie
  • Je me baladais dans la forêt. => 94 bits d’entropie

Le premier est pas si mal, mais franchement, vous avez envie de le retenir vous ?

Maintenant je sais que dans tous les cas c’est relou de retenir des trucs. Alors renseignez-vous sur les gestionnaires de mots de passe. Ils feront tout ça pour vous, et vous éviteront d’abuser de flemingite à mettre le même partout (je t’ai à l’œil, toi, derrière ton écran). Un prochain article traitant du sujet arrivera possiblement dans le futur. #teasing

Petites précisions tout de même :

  1. Je ne suis pas responsable du piratage de votre compte Facebook, si vous avez suivi certaines recommandations listées ici mais qu’un gars dans sa cave avec une capuche sur la tête a réussi à accéder à vos données, ben c’est pas de ma faute. Voilà.
  2. Le site utilisé pour les tests d’entropie utilise son propre système de notation, il en existe plein, ne vous basez pas forcément sur celui-là. Il faut aussi noter que ce site ne chiffre pas sa connexion, alors ne mettez pas un de vos mots de passe actuel dessus !
  3. Je ne suis pas un expert, juste curieux sur le sujet. N’hésitez pas à me reprendre dans les commentaires si vous êtes outrés par mon discours.

-- (Petite parenthèse à but éducatif) --

Un nouveau benchmark de l’équipe Hashcat montre un GPU 2080Ti passant 100 milliards de mots de passe par seconde (hash NTLM).

Cela signifie que l’ensemble des touches d’un clavier, ou toutes les combinaisons possibles de :

  • Majuscule
  • Minuscule
  • Nombre
  • Symbole

…d’un mot de passe de 8 caractères peuvent être devinées en :

~ 2,5 heures seulement.

Et avec la loi de Moore ça va fonctionner pour des mots de passe de plus en plus longs.

(Source)

-- (Fin de la parenthèse) --

Bon. Je vous l’accorde, pour certains d’entre vous cet article a pu paraître indigeste malgré mes efforts pour le rendre accessible au plus grand nombre. Mais parfois y a pas trop le choix et puis la réalité c’est pas toujours fait de schémas et de maquettes en pâte à modeler. Nah.

Alors si vous le pouvez et avez un peu de temps devant vous, reconsidérez vos mots de passe parce que s’il fait partie de cette liste vous vous trouvez dans le pire des cas possibles, et je ne donne pas cher de votre peau :)

Edit : J’ai eu plusieurs retours légitimes concernant cet article, et je tiens à préciser que mon discours n’est pas de mettre en avant les « passphrases » aux détriments des « passwords ». Mon but n’est pas de vous inciter à utiliser des phrases, Il est de vous démontrer que la longueur est le facteur sécurité le plus simple à mettre en place. Les robots qui trouvent les mots de passe trouveront toujours leur chemin vers votre accès, le but est de prendre le plus de leur temps possible. La meilleure solution reste les mots de passe aléatoires, et ça mon prochain article le traitera beaucoup plus clairement :)

PS : Oui je sais, il n’y a pas de « deuxièmement ». C’est bien observé bravo à toi.

‌(Merci beaucoup à bihetq de m’avoir rassuré sur le contenu et réduis ma flippe d’une possible désinformation de ma part)

Recommandé pour toi