Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Un mot de passe fort, comment le définir ?

gigiair

En plus, ils lisent la publication.
Il y a moyen d'adapter ce principe à beaucoup d'autres situations. On peut prendre l'édito de Linux Magazine ou d'une autre revue. Un quotidien, c'est top pour les paranos. On peut aussi trouver un autre algorithme pour générer le MDP. Il faut des règles simples, parce que l'oubli d'un MDP, c'est plutôt gênant.

cristobal78

Méfiez vous de ces sites qui soit disant mesure la robustesse des mots de passe en estimant le temps qu'il faut pour les craquer.
J'ai repris les exemples de sites des posts #14 et post #16 ci dessus. (rassure toi -pascal34- tu n'es pas visé 🙂 )
Voilà les résultats, ils sont pitoyables :

1/- essais de MdP avec le site proposé en post # 14
---------------------------------------------------------------------------

J'ai essayé avec de mauvais mdp car composés de 10 fois le même caractère et j'ai demandé au site le temps pour les casser :
10 fois
le chiffre "0" --------> temps = 0 sec
le "a" minuscule ----> temps = 5 mois
le "A" majuscule ----> temps = 5 mois
le signe "&" ----> temps = 3 ans
le signe "=" ----------> temps = 3 ans (36 mois)
enfin j'ai essayé :
a2z3s8d7k6 ----> 1 mois
A2Z3S8D7K6 ----> 1 jour !!! (délirant !)

tout cela montre à l'évidence l'inutilité totale de ce site pour juger de la robustesse d'un MdP : 10 fois le signe "=" est 36 fois PLUS robuste que " a2z3s8d7k6".

2/- essais de MdP avec le site proposé en post # 16
---------------------------------------------------------------------------

J'ai repris les mêmes mauvais mdp car composés de 10 fois le même caractère et j'ai demandé au site le temps pour les casser :

10 fois
le chiffre "0" --------> temps = 2 sec
le "a" minuscule ----> temps = 9 hrs
le "A" majuscule ----> temps = 9 hrs
le signe "&" ----> temps = 2 mn
le signe "=" ----------> temps = 2 mn
enfin j'ai essayé :
a2z3s8d7k6 ----> 10 jours (14400 mn)
A2Z3S8D7K6 ----> 10 jours !!!

Tout cela montre à l'évidence l'inutilité totale de ce site pour juger de la robustesse d'un MdP : 10 fois le signe "=" est 720 fois MOINS robuste que " a2z3s8d7k6".
Comparer ce résultat avec celui obtenu avec les mêmes exemple au § 1

Donc on peut oublier sans regret ce genre de sites qui ne testent rien mais qui assujettit la robustesse d'un mdp à la présence ou non de certains caractères ce qui n'a aucun sens.
C'est flagrant avec 10 fois le zéro comparé à 10 dois le "a" qui en réalité offrent exactement la même résistance (quasi nulle) à une attaque en force brute.

[supprimé]

cristobal78 a écritMéfiez vous de ces sites qui soit disant mesure la robustesse des mots de passe en estimant le temps qu'il faut pour les craquer.
J'ai repris les exemples de sites des posts #14 et post #16 ci dessus. (rassure toi tu n'es pas visé 🙂 )
Voilà les résultats c'est pitoyables :

1/- essais de MdP avec le site proposé en post # 14
---------------------------------------------------------------------------

J'ai essayé avec de mauvais mdp car composé de 10 fois le même caractères et j'ai demandé au site le temps pour le casser :
chiffre "0" ----> temps = 0 sec
le "a" minuscule ----> temps = 5 mois
le "A" majuscule ----> temps = 5 mois
le signe "&" ----> temps = 3 ans
le signe "=" ----------> temps = 3 ans
enfin j'ai essayé :
a2z3s8d7k6 ----> 1 mois
A2Z3S8D7K6 ----> 1 jour !!!

tout cela montre à l'évidence l'inutilité totale de ce site pour juger de la robustesse d'un MdP : 10 fois le signe "=" est 36 fois PLUS robuste que " a2z3s8d7k6".

2/- essais de MdP avec le site proposé en post # 16
---------------------------------------------------------------------------
J'ai essayé avec de mauvais mdp car composé de 10 fois le même caractères et j'ai demandé au site le temps pour le casser :
chiffre "0" --------------> temps = 2 sec
le "a" minuscule ----> temps = 9 hrs
le "A" majuscule ----> temps = 9 hrs
le signe "&" ----> temps = 2 mn
le signe "=" ----------> temps = 2 mn
enfin j'ai essayé :
a2z3s8d7k6 ----> 10 jours (14400 mn)
A2Z3S8D7K6 ----> 10 jours !!!

Tout cela montre à l'évidence l'inutilité totale de ce site pour juger de la robustesse d'un MdP : 10 fois le signe "=" est 720 fois MOINS robuste que " a2z3s8d7k6".
Comparer ce résultat avec celui obtenu avec les mêmes exemple au § 1

Donc on peut oublier sans regret ce genre de sites qui ne teste rien mais qui assujetti la robustesse d'un mdp à la présence ou non de certains caractères. C'est flagrant avec 10 fois le zéro comparé à 10 dois le "a" qui en réalité offrent exactement la même résistance (quasi nulle) à une attaque en force brute.

Merci d'avoir expliqué et porté notre attention sur ces sites, perso je les avais écarté aussi quand j'ai vu celui proposé par CM63, qui est un peu plus fiable. Et qui présente un peu mieux ce qu'il analyse sur le mot de passe que l'on lui soumet. Les postes #14 et #16 de cette discussion, sont donc à mettre dans les sites peu fiables. je les laisse en exemple quand même, se sera toujours utile pour comparer un peu ce que l'on peut trouver sur la toile.

Par contre ce fil de discussion peut-être bien pour vérifier comment l'on a construit nos mots de passe actuels, il y a peut-être des révisions à faire. @ toutes les lectrices et lecteurs, on a ici de quoi vous faire cracker (le coeur !)

sinbad83

Un truc simple pour se faire une idée, grandeur nature (mieux vaut avoir un multi-processeur pour pouvoir faire autre chose)

sudo apt-get install john

sudo john /etc/shadow

On ne peut pas toujours aller jusqu'au bout, mais on peut laisser tourner pour voir.

gigiair

Quelle garantie a-t-on que ce genre de site n'ait pas pour but d'alimenter une base de donnée de MDP pour une utilisation frauduleuse ?

bruno

Aucune garantie c'est pourquoi il ne faut jamais y placer de mot de passe que l'on utilise réellement.

Sur la fiabilité des sites, effectivement c'est très variables. Mais un bon site de ce genre devrait se baser sur un calcul d'entropie des mots de passe (cf http://tomroud.owni.fr/2011/08/15/entropie-des-mots-de-passe/)

cristobal78

petite erreur de lien, le bon c'est :
tomroud.owni.fr/2011/08/15/entropie-des-mots-de-passe/
il ne faut pas de ")" à la fin !!

Autre test de site
-----------------------------
Je n'avais pas testé l'outil proposé au post #16 c'est à dire celui du site web assiste.com créé par Pierre Pinard un spécialiste de la protection de la vie privée qui s'était vu décerné fort justement un Bugbrother award en 2003
http://assiste.free.fr/Assiste/Mots_de_passe_Test_de_solidite.html

Résultats :
10 fois le chiffre 0
10 fois a
10 fois A
même résultat = fiabilité du mdp est de 0% ce qui est normal,

10 fois le signe =
10 fois le signe &
fiabilité du mdp est de 19% ce qui me parait bien "payé",

a2z3s8d7k6
fiabilité de 78% ce qui me parait correct,

et enfin ma phrase de passe avec le Maitre corbeau ... de la fable Monsieur Jean de la Fontaine
Mcsuaptdsbuf1950!
fiabilité de ... 100%

cristobal78

sinbad83 a écritUn truc simple pour se faire une idée, grandeur nature (mieux vaut avoir un multi-processeur pour pouvoir faire autre chose)

sudo apt-get install john

sudo john /etc/shadow

On ne peut pas toujours aller jusqu'au bout, mais on peut laisser tourner pour voir.

salut sinbad83

j'ai regardé sur ton site pour voir comment ça fonctionne en pratique, espèrant des explication mais au final tu n'en dis pas plus qu'ici et .... je n'ai pas tout compris.

Que se passe t il qd on lance

sudo john /etc/shadow

[supprimé]

cristobal78 a écrit

sinbad83 a écritUn truc simple pour se faire une idée, grandeur nature (mieux vaut avoir un multi-processeur pour pouvoir faire autre chose)

sudo apt-get install john

sudo john /etc/shadow

On ne peut pas toujours aller jusqu'au bout, mais on peut laisser tourner pour voir.

sudo john /etc/shadow

Hello !

J'ai regardé aussi sur le site dont tu parles et j'ai vu qu'il n'est plus à jour depuis longtemps, et qu'il est incomplet. Si tu veux en savoir plus sur comment John fonctionne rendez-vous ici (en espérant que celui-ci est toujours d'actualité, car il date de 2007) :

http://korben.info/comment-cracker-un-mot-de-passe-sous-linux.html

Au lien au dessus en fin de son petit tutoriel il y a cette phrase : En ce qui concerne John, il est paramétrable dans tous les sens donc si vous voulez aller un peu plus loin dans le truc, je vous recommande ce site.

Et si tu cliques sur "ce site", ça amène bien au bon site sur "John The Ripper" (le nom complet du logiciel "John"), c'est déjà un bon point.

Et un article un peu plus récent (2012) sur le logiciel John ici : http://www.crazyws.fr/hacking/john-the-ripper-utilise-maintenant-le-gpu-et-crack-les-documents-office-XJ03R.html

Un autre de ses articles de 2012 : http://www.crazyws.fr/securite/mot-de-passe-cracke-en-un-temps-record-avec-un-cluster-de-gpu-JWQ6F.html

Et sa page concernant la sécurité avec ses articles le splus récents, je susi en train de tout remonter, c'est un des meilleurs blogs français sur la sécurité que j'ai trouvé ces derniers temps :

http://www.crazyws.fr/cat/securite/

Caribou22

Bonjour,

Une astuce pour se faire un mot de passe fiable : En générer un aléatoirement (donc très sur et sans aucune signification pour vous)
Vous pouvez en générer sur ce site : http://www.generateurdemotdepasse.com/
Je vous conseille de cocher tous les caractères, et plus c'est long, mieux c'est (le mot de passe hein)
Une fois que vous en avez généré un que vous sentez bien, vous l'apprenez par coeur et à force de le taper vous le connaîtrez 🙂

[supprimé]

Celui de Norton est le même apparemment : https://identitysafe.norton.com/fr/password-generator#

J'ai fait quelques essais, les mots de passe générés sont pile-poil dans les constructions qui sont identifiées comme "à risque" par le site que nous avons cité au dessus, celui-ci :

http://assiste.free.fr/Assiste/Mots_de_passe_Test_de_solidite.html

Dommage.

pires57

Bonjour,

Une astuce pour se faire un mot de passe fiable : En générer un aléatoirement (donc très sur et sans aucune signification pour vous)
Vous pouvez en générer sur ce site : http://www.generateurdemotdepasse.com/
Je vous conseille de cocher tous les caractères, et plus c'est long, mieux c'est (le mot de passe hein)
Une fois que vous en avez généré un que vous sentez bien, vous l'apprenez par coeur et à force de le taper vous le connaîtrez smile

Le mieux reste encore de coder toi même l'appli qui sera censé te retourner le mot de passe sécurisé, au moins tu seras sur d'une chose, tu n'alimenteras pas un dictionnaire.

cristobal78

@ pascal, post # 29

j'ai été voir le post de korben mais il me semble que "John" ne s'applique pas ici, c'est à dire au problème général consistant à créer un MdP robuste (post initial).

En effet je lis :

"...Pour trouver le mot de passe linux d'une machine, ..."

ce qui à mon sens signifie retrouver le mot de passe "sudo" et non un MdP quelconque qu'on veut utiliser pour protéger un fichier ou un MdP de connexion à un site web ou un webmail.

[supprimé]

Merci, j'ai du mal m'exprimer précédemment, mais je suis d'accord avec toi dans ce que tu viens de dire.

[supprimé]

Peut-être un générateur à ajouter à la liste ? :

http://www.zerobug.fr/Generateur_mots_de_passe.php

Il peut être perfectible, mais son approche est pas mal intéressante j'ai trouvé, sauf que, je ne suis pas spécialiste du tout.

cristobal78

salut pascal

j'ai regardé le fonctionnement de ce nouveau générateur.

1- d'abord c'est bien un générateur de mdp : il ne fait que cela.
En particulier il ne mesure pas la robustesse d'un mdp perso, ce n'est pas sa fonction, donc rien à lui reprocher de ce côté là.

2- que penser des mdp générés par lui ?
J'ai commencé par cocher toutes les options pour avoir les mdp les plus solides et je remarque que

a) si on fixe la longueur à une valeur de 0 à 7 inclus le mdp généré par le système est de sécurité faible,

b) de 8 à 13 inclus = le mdp généré par le système est de sécurité élevée,

c) pour 14 et plus = le mdp généré par le système est de sécurité optimale.

Ce qui me conduit à 2 remarques :
- seule la longueur semble jouer un rôle dans l'estimation de la robustesse,
- la meilleure estimation fournie n'est pas "maximale" mais "optimale" (??)
L'optimum c'est le mieux qu'on puisse faire avec ce qu'on a.
Comme si la robustesse d'un mdp était le résultat d'un compromis. Curieux.

Ma conclusion
---------------------
Comme personne n'a pu me démontrer jusqu'ici que l'introduction de signes cabalistiques impossible à retenir et insérés dans un mdp le rendaient plus robuste, je reste - à tort ???- persuadé que seule la longueur et le caractère totalement aléatoire de l'apparition des lettres et des chiffres dans un mdp lui confère sa robustesse.

Donc un mdp doté d'une structure similaire à celui que je postais plus haut à savoir Mcsuaptdsbuf1950! me parait quasiment incassable ou alors en un temps tellement long que cela suffit amplement à protéger mes données jusqu'à ma mort.

J'aimerais bien que quelqu'un me contredise, de façon argumentée évidemment : je le lirai avec plaisir. 🙂

[supprimé]

Salut cristobal78, très bonnes remarques, et questionnement (ce qui va faire avancer le débat 😉 )

Pour ta remarque qui dit : - la meilleure estimation fournie n'est pas "maximale" mais "optimale" (??)

Je crois que là ce n'est qu'un choix entre deux mots dans un dictionnaire de la langue française, il aurait pu choisir "maximale" comme tu l'indiques aucun soucis.

Ensuite tu as remarqué ce que j'ai remarqué hier aussi, si on choisit de cocher toutes les cases (dans le générateur de mot de passe du site de Zerobug), et si on choisit de lui faire créer des mots de passe de 13 caractères, il reste en "sécurité élevée" mais dès qu'on passe à 14 caractères (en laissant toutes les cases du dessus cochées), il passe en "sécurité optimale", ce qui est un indicateur sur le minimum de longueur de mot de passe que le logiciel a jugé (le concepteur du logiciel a jugé) pour indiquer à l'utilisateur qu'il passe maintenant en "sécurité optimale".

Et en dernier point, cela fait deux fois que tu l'indiques sur le forum, et dès la première fois, j'ai trouvé cela assez dangereux de dire en clair ici comment tu construis tes mots de passe, ce n'est peut-être pas très bien de l'indiquer, en fouillant à gauche à droite, on apprend que moins on en dit sur la conception de nos mots de passe (sur Facebook, sur Twitter, sur les forums en clair comme ici), mais même en message privé ici ou ailleurs c'est aussi dangereux, mais peut-être un peu moins car tu n'auras indiqué la façon dont tu construis tes mot de passe qu'à une seule personne, mais sera-t-elle une personne "sympa" ou sera-t-elle une personne "intéressée" au plus haut point" ? difficile à définir sur un forum et en message privé, alors dans le doute..... Mais bon quand c'est en clair comme ici sur les forums, il ne faut pas, car moins tu donnes d'indication précises sur la conception de tes mots de passe, leur longueur, moins tu seras facilement crackable par une personne mal intentionnée. Là aussi ce n'est que mon avis. Une autre personne de cette discussion nous indiquait aussi choisir ces mot de passe de cette façon :

gigiair a écrit
CM63 a écritBonjour,

Pour compléter sur la méthode de la phrase mnémotechnique dont on prend la première lettre ou les deux premières lettre de chaque mot, puis on rajoute des caractères spéciaux(1):
- comment trouver cette fameuse phrase? Prendre dans les souvenirs d'enfance, qu'on ne risque pas d'oublier, moi j'en ai pris une relative à mon premier cadeau de Noël.
Je suis bénévole dans une association qui édite un journal interne. J'applique cette méthode au titre de l'éditorial.
comme ce n'est pas moi qui utilise les machines, ça me permet de changer le MDP tous les mois et de le communiquer aux usagers. Ils sont au courant, la revue est toujours sur le bureau, c'est mieux que le post-it sur l'écran.

Et là aussi, avec de l'ingénire sociale, certaines personnes mal intentionnées pourraient réussir à trouver où travail cette personne et lors d'attaque pour trouver les mots de passe, elles partiraient déjà avec le bon titre, du bon éditorial.

Mais pour en revenir à ton cas, ces personnes mal intentionnées auraient trouvé ici sur ce forum qu'elle est la façon dont tu construis tes mots de passe, et ça, ce c'est pas bon, pas du tout....

Mais je ferme cette parenthèse. Vous ne verrez peut-être pas de la même façon les choses, je précise tout de suite que je ne répondrais pas aux questions du genre "Ben vas-y trouve mon mot de passe, où je vis etc..." Cela ne m'intéresse pas évidement, je n'en ai pas le temps, ni les moyens, car je n'ai pas connaissance des techniques précises pour en arriver là, mais je sais que c'est un risque potentiel, certains y arrivent, l'ingénierie sociale existe et elle est grandement facilité par tout Facebook Twitter, votre blog etc.... Ne pas donner la façon de construire ses mot de passe est vraiment je pense le premier reflex concernant, leur sécurité 😉

Je passe donc au dernier point, je vais analyser le dernier mot de passe que tu nous as donné cristobal (donc ce mot de passe : Mcsuaptdsbuf1950! ), et je vais le passer dans le site assez complexe que l'on nous a donné au dessus, celui ci :

http://assiste.free.fr/Assiste/Mots_de_passe_Test_de_solidite.html

Et voir ce que le site va dire (perso je savais déjà que les lettres minuscules consécutives allaient apporter un gros gros "malus", et on va le voir, il est à -20 tout de même, ce qui n'est vraiment pas bon, car cela facilite les recherches informatiques via les logiciels que les pirates utilisent ou autres institutions.... pour obtenir les mots de passe des gens, il suffit de paramétrer le logiciel pour..... la technique de construction de la phrase en ne retenant que la première lettre est ultra connue, en cryptanalyse, cette façon de construire les mots de passe (suite de lettres majuscules ou minuscules comme ton mot de passe ici) fait partie depuis longtemps des logiciels chargés de trouver les mots de passe des gens j’imagine ! Tout le monde fait cela, tout le monde fait ce "schéma" (lettres minuscules à la suite ou majuscules provenant d'une phrase complète et intelligible) ! Ce n'est pas très difficile je pense de dire à un logiciel de faire aussi ses recherches dans ce sens là, la cryptanalyse a aussi remarqué que les gens aimait mettre un symbole en fin de mot de passe ou en début, ou d'en mettre un à la fin et un au début, avec une suite de chiffres ajoutée, toutes ces constructions de mot de passe sont dangereuses et attendues par certains attaquants aguerris... ).

Mais cela dit tu obtiens quand même sur le tableau de points positifs (partie appelée "Bonus Additionnels") des cases vertes et bleues partout, ce qui est très bon). Mais ce n'est pas son seul point faible cette histoire de minuscules consécutives. Tu as aussi un malus de -6 pour "chiffres consécutifs" et -1pour caractères répétés" (ici la lettre minuscules "u" que l'on trouve deux fois dans ton mot de passe et qui constitue donc un "caractère répété"), tout cela peut aider un logiciel de crackage de mot de passe bien paramétré, à trouver ton mot de passe, tu peux vérifier tout ce que je dis en copier-collant ton mot de passe d'exemple dans le site de Free donné au dessus, je mets une photo du résultat de ton mot de passe (pour les copains qui ont pas le temps de se déplacer de site en site), et voilà ce que donne un copié-collé de ton mot de passe d'exple sur le site de Free :

Maintenant je suis passé par le générateur de mot de passe suivant : http://www.zerobug.fr/Generateur_mots_de_passe.php

Je lui ai fait créer un mot de passe de même longueur que le tiens, soit 17 caractères, il a généré celui ci : /]!1jJ,THZPl_pV?S

J'insère ce mot de passe dans le site de free : http://assiste.free.fr/Assiste/Mots_de_passe_Test_de_solidite.html

Et là il ne trouve qu'un seul malus "chiffres consécutifs" (au nombre de 3, qui porte ce malus à -6), mais attention, dans la partie appelées "Bonus additionnels" on est seulement en "vert" pour la partie appelée "Bonus nombre de chiffres".

Voilà le résultat en image de ce mot de passe généré :

Et sur le site de Free il faut comprendre cette légende aussi et comprendre que la partie appelée "Pénalités" ne sera jamais en "Bleue" mais toujours en "Vert" lorsque le mot de passe sera construit de la meilleure façon possible et donc sans malus, mais que par contre la partie appelée " Bonus additionnels" sera elle en "Bleue" ou en "Vert" lorsque la sécurité de construction de ton mot de passe sera jugée "Dépassante les minimas universellement reconnus." ou Juste correcte en "Ayant atteint les minimas universellement reconnus", et quand on voit à quelle rapidité et de quelles façons exponentielles les ressources matérielles augmentent et servent à cracker nos mots de passe, on se dit que peut-être aller "chercher" la couleur bleue au lieu de verte pour nos mots de passe n'est peut-être pas si irraisonnée, pour rappel, un article qui a un peu plus d'un an, donc pas si vieux finalement, est toujours présent ici : http://www.crazyws.fr/securite/mot-de-passe-cracke-en-un-temps-record-avec-un-cluster-de-gpu-JWQ6F.html ).

En tout dernier, la construction d'un mot de passe très fort et sans "Malus" peut être un mot de passe comme celui-ci par exemple :

îpP8/rR\A~6:Ff

Que vous pouvez copier-coller ici : http://assiste.free.fr/Assiste/Mots_de_passe_Test_de_solidite.html

Ce qui vous donnera aucun malus et vous donnera d'excellents Bonus dans la colonne "Bonus" de la partie "Bonus additionnels", voir son résultat en image :

Ce dernier mot de passe ne fait que 14 caractères comparés aux 17 caractères des mots de passe précédents, mais il a été construit de façon à éviter les malus du site de Free indiqué dans leur partie appelée : "Pénalités".

Voilou 😉

Ah oui, cette vidéo est aussi intéressante, notamment sur la technique de "la clé usb" ! : http://www.youtube.com/watch?v=pPscawXgXSw

En complément : http://www.youtube.com/watch?v=24HlriEAm_A&list=TLKh9A1Bc3o7ib4NV60YSkKCgu0A88FGEj

cristobal78

Merci Pascal pour cette très longue intervention. J'aime. 🙂

Puisque à l'évidence nous sommes intéressés par ce sujet j'aimerais apporter un autre (encore !!??) éclairage.
Tout d'abord je connais très bien le site http://assiste.free.fr/ et depuis 2007 j'y contribue à l'occasion. Enfin je suis un ami perso de son créateur.
Ce site est une mine d'or (confirmé d'ailleurs entre autres par un blogueur très connu Sébastien Sauvage). Il regorge d'info, de mise en garde et de conseils.

Ceci posé j'ai repris le bulletin consacré aux MdP du site d'assiste ( http://assiste.free.fr/Assiste/Mots_de_passe_Test_de_solidite.html ) sur son test de solidité des mdp.

Je cite :

"Tester la solidité d'un mot de passe.
----------------------------------------------------
Cette application est conçue pour évaluer la résistance des mots de passe.
La rétroaction visuelle instantanée, caractère par caractère, donne à l'utilisateur un moyen d'améliorer la force de ses mots de passe, en montrant, par les bonus, l'incidence d'une bonne pratique et par les malus, la pénalisation des mauvaises habitudes typiques dans la formulation des mots de passe.
Étant donné qu'aucun système de pondération officiel n'existe, nous avons créé nos propres formules pour évaluer la force globale d'un mot de passe. "

Fin de citation.

C'est bien là le bât blesse (pas le "bas" hein) :

".. aucun système de pondération officiel n'existe, nous avons créé nos propres formules pour évaluer la force ..."
Admettons ce point.
Le solidité au sens d'assiste.free dépend donc :
- de paramètres choisis et qualifié par "assiste" comme importants, essentiels, ou mineurs tels que : longueur, majuscules ou minuscules, chiffres, signes cabalistiques, non répétition de caractères, etc ...
- du poids que assiste a décidé de façon arbitraire d'associer à un paramètre donné. Le mot arbitraire n'est pas péjoratif, il décrit simplement que Assiste a souverainement décidé.

Mais, et c'est bien ce que dit Assiste : personne ne peut affirmer sans contestation ni que ces paramètres sont les meilleurs, ni que la pondération qui leur est associée est adéquate.
Un contre exemple sera plus parlant.
Si l'on donne le poids 10 à la lettre "A" et le poids 20 au caractère @ alors AA@ pèsera 10+10+20=40 mais A@@ pèsera 10+20+20=50
Or nous serons vite d'accord pour dire que ces 2 mdp présentent la même robustesse ou plutôt la même faiblesse.

Attaque par force brute
---------------------------------
En cas d'attaque force brute contre un mdp aléatoire, c-à-d par définition absent de tout dictionnaire, l'attaquant devra de toute façon tester toutes les possibilités.
Or ces possibilités quelles sont elles ?

Devant moi mon clavier me permet 100 possibilités :
ab...zAB...Z012...9&é~"#'{([-|è`_\ç^à@)]=+}£$ù%*µ,?;.:/!§* (je ne compte pa les äëê et suivants car 100 caractères sont suffisants pour mon explication).

L'attaquant qui ne sait rigoureusement rien de mon mdp, ni de sa longueur, ni des caractères qu'il contient, va d'abord tester tous ses dictionnaires. En pure perte évidemment.
Puis il va se résoudre à essayer toutes les combinaisons possibles à savoir : a, b, c,....* soit 100 essais pour le 1-er caractère de mon mdp.
Voyant que cela n'a pas suffi il va maintenant essayer de voir si mon mdp a 2 caractères : aa, ab, ac,...a* soit 100 puissance 2 = 100x100 = 10000 essais.
Et ainsi de suite.

Pour arriver à tester un mdp de "n" caractères il lui faudra tester :
100 + 100 puissance 2 + 100 puissance 3 + ... 100 puissance n = [100 puissance (n+1)] - 2 possibilités.
Arrondissons à 100 puissance (n+1).

Si le mdp fait 10 caractères l'attaquant devra faire (100 puissance 11) essais ce qui s'exprime aussi par 10 puissance 22 nombre qui est représenté par le chiffre 1 suivi de 22 zéros.
Comme l'attaquant a une chance sur 2 de trouver le dernier caractère à mi course de sa recherche on peut estimer qu'il fera en moyenne la moitié de (10 puissance 22) essais.
Ce nombre reste colossal.

Conclusion
-----------------
La présence ou non de caractères cabalistiques, de majuscules ou non, de caractères répétés (*) ou non, n'a à mon sens aucune espèce d'importance face à une attaque force brute.
La seule chose qui compte c'est la longueur et des caractères, quelqu'ils soient, à condition d'être disposés de façon aléatoire.

_______________
(*) la suite des décimales du nombre PI (3.1415926...) se présentent de façon aléatoire car PI est irrationnel et même transcendant. Pourtant on y trouve des séquences de chiffres identiques consécutifs. Ce qui veut bien dire que la présence de 2 fois la même lettre, contiguës ou non, dans un mdp n'enlève rien au caractère aléatoire de la suite de caractères.
Cela dit je ne prendrai cependant pas les 16 premières décimales de PI comme mdp car elles ont de fortes chances de se trouver dans un dictionnaire !

[supprimé]

De rien cristobal et merci aussi à toi pour ton message explicatif, et ton aide.

Je voulais préciser que je me suis basé sur le site Assistefree pour parfaire la conception de mes mots de passe, ainsi que sur d'autres infos trouvées à gauche à droite mais je me suis basé aussi sur ce qu'il y a dans ma tête pour construire mes mots de passe, et cela je ne l'expliquerai pas ici pour les raisons que chacune et chacun auront compris. Merci pour la partie calcul où il est expliqué que si le mot de passe fait 10 caractères (avec une base de 100 caractères différents pour construire le mot de passe de 10 caractères), il faudrait à un attaquant le chiffre 1 suivi de 22 zéros "tentatives" pour arriver à trouver le mot de passe de 10 caractères.

Je ne suis pas fort en calcul du tout, je ne comprends pas comment fonctionnent les calculatrices en mode scientifique, je ne sais faire que + * et - et / avec ma calculette c'est tout. Mais j'ai remarqué cette phrase sur le site Wikipédia consacré à l'article sur une attaque par brute force (attaque dont nous parlons ici), ils y est dit dans la partie appelée "Complexité théorique de l'attaque" qu'un ordinateur personnel peut arriver à tester plusieurs millions de mots de passe par seconde.

Article Wiki :

http://fr.wikipedia.org/wiki/Attaque_par_force_brute

Et comme je ne sais pas faire le calcul de 1 avec 22 zéros derrière divisé par 4 millions et ensuite avec ce résultat le transformer en secondes puis minutes puis heure, je ne sais donc pas combien de temps un ordinateur personnel capable de tester 4 millions de mot de passe par seconde mettra à trouver mon mot de passe de 10 caractères (donc construit avec une base de 100 caractères différents). Merci à celui qui sait s'il peut nous aider.

PS : un sac comprenant tous les caractères possibles et imaginables sur un clavier français et une pioche dans celui-ci pourrait créer des mots de passe complètement aléatoires et du nombre que vous désirez, et de ce fait, si vous piochez 9 fois et que ça forme 1 2 3 4 5 6 7 8 9 , je vous conseille d'aller dès le premier jour ouvrable, faire un ticket de loto :cool:

cristobal78

-pascal34- a écrit... Mais j'ai remarqué cette phrase sur le site Wikipédia consacré à l'article sur une attaque par brute force (attaque dont nous parlons ici), ils y est dit dans la partie appelée "Complexité théorique de l'attaque" qu'un ordinateur personnel peut arriver à tester plusieurs millions de mots de passe par seconde.
...
Et comme je ne sais pas faire le calcul de 1 avec 22 zéros derrière divisé par 4 millions et ensuite avec ce résultat le transformer en secondes puis minutes puis heure, je ne sais donc pas combien de temps un ordinateur personnel capable de tester 4 millions de mot de passe par seconde mettra à trouver mon mot de passe de 10 caractères (donc construit avec une base de 100 caractères différents). Merci à celui qui sait s'il peut nous aider....

Soyons fous.
Au lieu de dire plusieurs millions disons carrément 1 milliard (en notation exponentielle ça s'écrit 10 puissance 9) de tests par secondes !!!
En un jour il y a 86400 secondes donc en un an il y a 31 536 000 sec.
Arrondissons à 31 millions soit 31 x (10 puissance 6).

A raison de 1 milliard de tests par seconde (hypothèse optimiste prise plus haut) il sera effectué en un an :
31 x (10 puiss 6) x (10 puiss 9) = 31 x (10 puiss 15)
donc en disant que 31 = 100/3 (environ) on peut écrire que le nbre d'essais en un an est de :

100/3 x (10 puiss 15) = 1/3 (10 puiss 17)

Wouah !
Pour l'instant après un an on est encore très loin d'avoir épuisé les (10 puiss 22) tests à faire !!!!

En effet pour aller jusqu'à (10 puiss 22) essais il faut multiplier le nbre d'essais faits en un an par (3 x 10 puiss 5) = 300 000. (*)
Comme j'ai aussi dit que l'attaquant a une chance sur 2 de trouver le mdp à mi course je divise 300000 par 2 = 150 000.
En d'autres termes il faudrait continuer pendant 150 000 ans à raison d'un milliard d'essais par seconde pour casser un mdp de 10 caractères pris selon les conditions définies plus haut dans le fil.

J'espère que mon calcul a été clair. L'écriture des puissance est un peu lourdingue.
Le pb c'est que je ne sais pas si sur le forum on peut écrire des exposants

_________________
(*) car 1/3 (10 puiss 17) x (3 x 10 puiss 5) = (10 puiss 22)

« Page précédente Page suivante »