Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Phrases de passe/Diceware

Vortigaunt

Salut!

Je suis en train de me mettre à jour sur la robustesse des mots de passe, mais je trouve des infos contradictoires
J'en étais resté aux critères classiques: plutôt pas de mot du dictionnaire, des minuscules, majuscules, chiffres, caractères spéciaux - effectivement difficile à retenir
Là je découvre cette histoire de diceware et l'idée que six mots à la suite donnent un mot de passe que la NSA uniquement aurait les moyens de casser.
Même avec six mots est-ce que la phrase ne serait pas extrêmement vulnérable aux attaques par dictionnaire?

Merci d'éclairer ma lanterne

https://xkcd.com/936/
https://fr.wikipedia.org/wiki/Diceware

Vortigaunt

Up!
Ça parle à personne?

Tamarou

Bonjour,
Les gestionnaires de mots de passe proposent un outil pour estimer la qualité d'un mot de passe.
Sur KeepassXc, une phrase de passe est considérée comme excellente dès qu'elle est composée d'au moins 8 mots.

Vortigaunt

Merci pour ta réponse!
Ceci dit je suis toujours curieux de savoir pourquoi cette méthode n'est pas vulnérable aux attaques par dictionnaire, si quelqu'un a la réponse..

EDIT: des réponses ici (en anglais): https://security.stackexchange.com/questions/10294/can-a-dictionary-attack-crack-a-diceware-passphrase

Tamarou

Merci pour cette explication qui est correspond à ce dont je me souvenais.

Il vaut mieux plus de caractères faciles à retenir, même s'ils sont dans un dictionnaire que moins de caractères pris au hasard

[supprimé]

8 caractères : 300 ** 8 combinaisons
8 mots : 7776 ** 8 combinaisons

Sachant que 300 c'est très large.
7776 c'est ce qui est évoqué sur https://fr.wikipedia.org/wiki/Diceware . Le wiktionnaire compte plusieurs centaines de milliers de mots ...

L'attaque par dictionnaire n'a d'intérêt que pour un seul mot. Sauf bien sûr si on a une machine quantique sous la main et la possibilité de faire des milliards de requêtes sans que personne ne s'en aperçoive.

[supprimé]

Aussi complexe ton mot de passe soit-il, il est vulnérable dès lors qu'il est utilisé deux fois.

Tamarou

C'est bien l'intérêt d'un gestionnaire de mots de passe.
On ne se souvient que d'un seul, tous les autres sont différents.