• [^] # Re: Quelques règles de base pour vos mots de passe

    Posté par . En réponse à la dépêche Linux Mint a été compromise. Évalué à 5.

    Tu te trompes, le nombre de bits d'entropie définit complètement la sécurité d'un mot de passe. Si un mot de passe a b bits d'entropie, alors il faut essayer 2b mot de passes pour le deviner, quelque soit le type d'attaque.

    La nombre de bits d'entropie d'un mot de passe est le log_2 du nombre de possibilités.

    Par exemple, pour 4 mots choisis au hasard dans un dictionnaire de 5000 mots (vocabulaire courant):
    entropie = log_2(5000^4) = 49 (bits d'entropie, ie 2^49 possibilités)

    Note qu'ici, on fait la supposition d'une attaque par dictionnaire: l'attaquant sait que le mot de passe utilisé est composé de 4 mots du dictionnaire.

    Pour un mot de passe de 8 caractères (majuscules, minuscules, chiffres = 2*26+10=62 possibilités par caractère):
    entropie = log_2(62^8) = 47 (bits d'entropie, ie 2^47 possibilités)

    Pour un mot de passe de 13 caractères (majuscules, miniscules, chiffres + caractères spéciaux courants = 2*26+10+10 = 72 possibilités par caractère):
    entropie = log_2(72^13) = 80 (bits d'entropie, ie 2^80 possibilités)

    Par définition, chaque bit d'entropie ajouté multiple la durée de l'attaque par deux.

    Si le service/site web est correctement configuré (ie pas plus de 1000 essais par seconde, comme dans l'exemple de XKCD), 40-50 bits d'entropie sont largement suffisants. Si la base de données fuite (offline crack) et utilise un hashage faible (par exemple 1 itération de SHA256), alors au minimum 80 bits d'entropie sont nécessaires. Si la base de données fuite et utilise un hashage fort (PBKDF2 avec 10000 itérations), 50-60 bits devraient suffire.