Tangente Mag

De Dupont00 à 2r67W@SBZX2!r9, nous utilisons tous des mots de passe, et leur complexité apparente est le plus souvent trompeuse. Si nos mots de passe actuels sont si peu efficaces, comment pouvons-nous donc garantir la sécurité de nos données et de notre vie privée ?

Qui n’est pas déjà tombé sur un mot de passe impossible à mémoriser, et parfois impossible à changer ? Les routeurs, notamment les Freebox, adorent en proposer des particulièrement délicieux, comme la suite suivante (authentique) : libitu& domuisse7* siparetur?!. Pourtant, cette complexité apparente ne sert souvent qu’à frustrer les utilisateurs. En effet, voici une petite énigme : des trois mots de passe qui suivent, lequel est le plus difficile à « cracker » ?

1R&ducteur1998
milieu-jeu-calebassier-tatar-palais
FYkLh39pdR

Rendons à Shannon…

Il est en fait très difficile de répondre en toute généralité, car cela dépend des informations accessibles à une hackeuse potentielle. L’habitude est donc de considérer des modèles d’attaque, et le plus courant vient de Claude Shannon, père de la théorie de l’information, qui énonça le principe suivant : « L’ennemi connaît le système. » Quels sont donc les systèmes en question ?
Le premier correspond à la majorité des mots de passe utilisés aujourd’hui : un mot aléatoire, auquel on apporte quelques modifications (ajout d’une majuscule, d’un caractère spécial ou d’une date, presque toujours à la fin).
Le deuxième est simplement une suite de cinq mots pris au hasard dans un dictionnaire.
Le troisième système est une suite de dix ... Lire la suite

Calculez l'entropie de votre mot de passe

Dans le contexte de la génération d’un mot de passe, l’entropie correspond à la quantité d’information contenue dans le système, qui évolue en fonction du nombre de possibilités. Par exemple, avec mot de passe de six chiffres, on a un million de possibilités. Une hackeuse essayant de deviner le mot de passe sans information supplémentaire aura besoin de cinq cent mille essais en moyenne avant d’y arriver. Cet outil, bien qu’imparfait, rend possible une comparaison immédiate des différentes méthodes proposées. Calculons l’entropie de la dernière : chaque caractère peut être un chiffre (10 en tout), ou une lettre majuscule (26) ou minuscule (26), pour un total de 62 possibilités. Chaque caractère supplémentaire multipliant le nombre de possibilités par 62, on a 62¹⁰, soit environ 8,4 × 10¹⁷, mots de passe de dix caractères.
Passons au deuxième mot de passe. Les dictionnaires standards français comptent environ soixante mille mots. Si l’on en prend cinq au hasard indépendamment, on a donc 60 0005, soit environ 7,8 × 10²³ possibilités.
La structure du premier mot de passe est la plus complexe. Il nous faut non seulement le nombre de mots en français, mais aussi leur longueur moyenne, qui se situe entre 10 et 11 (parmi les mots du dictionnaire). Chaque lettre pouvant, en moyenne, être transformée en une autre d’une seule manière (par exemple, A devient 4, O devient 0), on se retrouve avec 2¹¹=2 048 possibilités pour ces modifications. On peut multiplier par trois cents possibilités pour les numéros à la fin (certaines dates peuvent s’écrire de plusieurs façon, comme 1998 et 98), et par une dizaine pour un chiffre initial. On se retrouve donc avec 60 000 × 2 048 × 300 × 10, soit environ 3,7 × 10¹¹ mots de passe différents. Cette méthode est de loin la plus mauvaise des trois !

Des mots de passe… pas très secrets

Nicolas K. Blanchard

dossier : Mathématiques et espionnage

Tangente 180 : Mathématiques et espionnage

Rendons à Shannon…