Que les mots deviennent des phrases

Sécurité / Vie Privée févr. 19, 2019

Salut tout le monde !

Aujourd’hui je vais vous parler de ce qui représente le point d’entrée de la sécurité informatique, et qui pourtant, d’après mes observations personnelles, n’est pas encore très bien acquis par tout le monde.

Les mots de passe 😱

Bam le sujet est lancé, j’ai pas peur de choquer moi.


Premièrement : Qu’est-ce que l’on sait des mots de passe ?

  1. C'est mes miens
  2. J’crois ça a un rapport avec la sécurité
  3. Ça sert à se connecter à des sites

Voilà. On va dire que ça donne une base.

Je vais maintenant vous révéler le plus grand secret pour créer un mot de passe sécurisé, de manière inédite. #prepareYourMindToBeBlown

« Ce qui caractérise la force d’un mot de passe ce n’est pas le contenu, c’est la longueur »

Voilà. Vous pourrez dès maintenant dire à tous vos sites favoris que demander de mettre une majuscule, un chiffre, un symbole spécial, une pizza 4 fromages, un soupçon de thé et la douzième statuette de Gladeulfeuhra dans votre mot de passe, ça ne sert à rien si celui-ci est aussi long que votre prénom.

Parce que la différence des caractères d’un mot de passe n’influe que très peu sur le temps de piratage d’icelui. Alors que si celui-ci ne comporte que des lettres et un peu de ponctuation par-ci par-là, mais fait la taille du titre de cet article, ça complique tout de suite les choses !

Vous voyez où je veux en venir avec ma ponctuation ?

Faites des phrases pour vos mots de passe !

Parce que oui, techniquement : "C6MV#krC&S9y" c’est moins efficace que : "Je me baladais dans la forêt."

Et ça c’est défini par l’entropie.
L’entropie c’est une « force » qui dépend de la longueur L du mot de passe et du nombre N de caractères possibles.

Bon c’est pas très clair alors je vais vous faire un exemple :

Un mot de passe de longueur 8 composé avec :

  • tous les chiffres
  • toutes les lettres (majuscules + minuscules)
  • les caractères spéciaux "!#?%$"

Ça équivaut à une entropie d’à peu près : 49.

C’est nul.

Tandis qu’un mot de passe avec le double de longueur (16 donc), mais avec seulement des lettres (majuscules + minuscule) ça donne une entropie d'à peu près : 91 !

Pour vous donner un ordre de grandeur approximatif, 49 c’est très faible et à partir de 104 c’est considéré comme fort. (Sachant que la taille recommandée par l’ANSSI pour des mots de passe plus sûrs est de 16 et avec une entropie d’au moins 81)

(Source)

Pour en revenir à mes exemples précédents, j’ai testé les 2 mots de passe avec ce test d’entropie et voici les résultats :

  • C6MV#krC&S9y => 59 bits d’entropie
  • Je me baladais dans la forêt. => 94 bits d’entropie

Le premier est pas si mal, mais franchement, vous avez envie de le retenir vous ?

Maintenant je sais que dans tous les cas c’est relou de retenir des trucs. Alors renseignez-vous sur les gestionnaires de mots de passe. Ils feront tout ça pour vous, et vous éviteront d’abuser de flemingite à mettre le même partout (je t’ai à l’œil, toi, derrière ton écran). Un prochain article traitant du sujet arrivera possiblement dans le futur. #teasing

Petites précisions tout de même :

  1. Je ne suis pas responsable du piratage de votre compte Facebook, si vous avez suivi certaines recommandations listées ici mais qu’un gars dans sa cave avec une capuche sur la tête a réussi à accéder à vos données, ben c’est pas de ma faute. Voilà.
  2. Le site utilisé pour les tests d’entropie utilise son propre système de notation, il en existe plein, ne vous basez pas forcément sur celui-là. Il faut aussi noter que ce site ne chiffre pas sa connexion, alors ne mettez pas un de vos mots de passe actuel dessus !
  3. Je ne suis pas un expert, juste curieux sur le sujet. N’hésitez pas à me reprendre dans les commentaires si vous êtes outrés par mon discours.

-- (Petite parenthèse à but éducatif) --

Un nouveau benchmark de l’équipe Hashcat montre un GPU 2080Ti passant 100 milliards de mots de passe par seconde (hash NTLM).

Cela signifie que l’ensemble des touches d’un clavier, ou toutes les combinaisons possibles de :

  • Majuscule
  • Minuscule
  • Nombre
  • Symbole

…d’un mot de passe de 8 caractères peuvent être devinées en :

~ 2,5 heures seulement.

Et avec la loi de Moore ça va fonctionner pour des mots de passe de plus en plus longs.

(Source)

-- (Fin de la parenthèse) --


Bon. Je vous l’accorde, pour certains d’entre vous cet article a pu paraître indigeste malgré mes efforts pour le rendre accessible au plus grand nombre. Mais parfois y a pas trop le choix et puis la réalité c’est pas toujours fait de schémas et de maquettes en pâte à modeler. Nah.

Alors si vous le pouvez et avez un peu de temps devant vous, reconsidérez vos mots de passe parce que s’il fait partie de cette liste vous vous trouvez dans le pire des cas possibles, et je ne donne pas cher de votre peau :)

Edit : J’ai eu plusieurs retours légitimes concernant cet article, et je tiens à préciser que mon discours n’est pas de mettre en avant les « passphrases » aux détriments des « passwords ». Mon but n’est pas de vous inciter à utiliser des phrases, Il est de vous démontrer que la longueur est le facteur sécurité le plus simple à mettre en place. Les robots qui trouvent les mots de passe trouveront toujours leur chemin vers votre accès, le but est de prendre le plus de leur temps possible. La meilleure solution reste les mots de passe aléatoires, et ça mon prochain article le traitera beaucoup plus clairement :)

PS : Oui je sais, il n’y a pas de « deuxièmement ». C’est bien observé bravo à toi.


‌(Merci beaucoup à bihetq de m’avoir rassuré sur le contenu et réduis ma flippe d’une possible désinformation de ma part)

8 Comments

Type Comment Here (at least 3 chars)

Sofi

Article pas du tout indigeste. Au contraire. Très clair et très utile.

gUI

J'ai transféré à mes ados. Je leur traduirai ce qu'il faut si ils n'ont pas compris. Merci pour ces explications claires (malgré ce que tu en dis :) ).

Matlink

Attention avec les benchmarks d'hashcat. C'est du ntlm, c'est très rapide. Il faudrait nuancer avec l'usage d'une bonne fonction de hachage, type bcrypt ou argon2. Mais en effet, 8 caractères c'est trop court.

Yann

Attention, l'entropie ne dépend pas uniquement de la longueur du mot de passe et du nombre de possibilité pour chaque caractère : elle dépend également de l'indépendance (au sens probabilité) entre les caractères. Or, les caractères dans un mot et donc dans une phrase ne sont pas du tout indépendant, ce que semblent ignorer la plupart des calculateurs d'entropie. L'idéal est donc bien un mot de passe aléatoire (généré par un gestionnaire de mot de passe) et long (plus de 20 caractères).

Benjamin

Et que penser des sites qui ont une longueur maximale de mot de passe ?? Microsoft par exemple c'est 16 caractères max ... Pourtant le stockage d'un hash de mot de passe de 12, 16, 32, 125 caractères aura le même poids ! Pourquoi cette limitation ?

Waxime

Hey Von,

oui je lis les articles en sens inverse et alors ? Très clair comme articles !

Je m'arrache les cheveux quand je vois que les sites tels que la CAF ou d'autres sites bancaires obligent à avoir un mot de passe de seulement 8 chiffres...

Après ils utilisent des "claviers visuels" où il faut cliquer sur les entrées au lieu de rentrer son mot de passe dans un input password. Est-ce que tu penses que c'est vraiment beaucoup plus sécurisé et que ça réduit certaines formes de hack ?

Plop Waxime ! Merci du compliment ^^

Oui c'est insupportable, surtout en sachant qu'une fois haché, le mdp a la même taille que tous les autres, et que les caractères n'ont plus d'importance pour le stockage. Ça fait même presque un peu peur et on se demande comment tout est stocké x)

Oui effectivement, ça réduit certaines formes de hack très précises. Par exemple, si tu as un keylogger sur ta machine qui enregistre tout ce tu fais au clavier, le fait d'utiliser ta souris contourne ce genre "d'espionnage". Et la plupart des claviers virtuels apparaissent à des endroits aléatoires de l'écran avec les caractères à une place différente à chaque fois aussi, ce qui rend inutile l'enregistrement des actions de ta souris par un malandrin à capuche :P Un troisième avantage est celui d'empêcher l'utilisation de brute-force, puisque il n'est pas possible de tester des combinaisons à la suite, sachant que les touches à cliquer sont placées aléatoirement :) En soit, si c'est bien implémenté, la technique du clavier virtuel est une bonne idée, même si ce sont souvent pour de courtes suites de chiffres

GruntZ

Oui, mais ... Ça rend l'utilisation de lecteurs d'écrans (dispositif nécessaire aux non-voyants) impossible. Je n'ai vu qu'un site (pole-emploi) qui propose explicitement de déroger à ce type de saisie en proposant de saisir son mot de passe via un "clavier accessible", choix qu'il faut encore confirmer, et qui n'est pas mémorisé pour les connexions suivantes. Et le "mot de passe" ne fait toujours que 6 chiffres !!