Tu te trompes, le nombre de bits d'entropie définit complètement la sécurité d'un mot de passe. Si un mot de passe a b bits d'entropie, alors il faut essayer 2b mot de passes pour le deviner, quelque soit le type d'attaque.
La nombre de bits d'entropie d'un mot de passe est le log_2 du nombre de possibilités.
Par exemple, pour 4 mots choisis au hasard dans un dictionnaire de 5000 mots (vocabulaire courant): entropie = log_2(5000^4) = 49 (bits d'entropie, ie 2^49 possibilités)
Note qu'ici, on fait la supposition d'une attaque par dictionnaire: l'attaquant sait que le mot de passe utilisé est composé de 4 mots du dictionnaire.
Pour un mot de passe de 8 caractères (majuscules, minuscules, chiffres = 2*26+10=62 possibilités par caractère): entropie = log_2(62^8) = 47 (bits d'entropie, ie 2^47 possibilités)
Pour un mot de passe de 13 caractères (majuscules, miniscules, chiffres + caractères spéciaux courants = 2*26+10+10 = 72 possibilités par caractère): entropie = log_2(72^13) = 80 (bits d'entropie, ie 2^80 possibilités)
Par définition, chaque bit d'entropie ajouté multiple la durée de l'attaque par deux.
Si le service/site web est correctement configuré (ie pas plus de 1000 essais par seconde, comme dans l'exemple de XKCD), 40-50 bits d'entropie sont largement suffisants. Si la base de données fuite (offline crack) et utilise un hashage faible (par exemple 1 itération de SHA256), alors au minimum 80 bits d'entropie sont nécessaires. Si la base de données fuite et utilise un hashage fort (PBKDF2 avec 10000 itérations), 50-60 bits devraient suffire.
[^] # Re: Quelques règles de base pour vos mots de passe
Posté par X345 . En réponse à la dépêche Linux Mint a été compromise. Évalué à 5.
Tu te trompes, le nombre de bits d'entropie définit complètement la sécurité d'un mot de passe. Si un mot de passe a b bits d'entropie, alors il faut essayer 2b mot de passes pour le deviner, quelque soit le type d'attaque.
La nombre de bits d'entropie d'un mot de passe est le log_2 du nombre de possibilités.
Par exemple, pour 4 mots choisis au hasard dans un dictionnaire de 5000 mots (vocabulaire courant):
entropie = log_2(5000^4) = 49 (bits d'entropie, ie 2^49 possibilités)Note qu'ici, on fait la supposition d'une attaque par dictionnaire: l'attaquant sait que le mot de passe utilisé est composé de 4 mots du dictionnaire.
Pour un mot de passe de 8 caractères (majuscules, minuscules, chiffres = 2*26+10=62 possibilités par caractère):
entropie = log_2(62^8) = 47 (bits d'entropie, ie 2^47 possibilités)Pour un mot de passe de 13 caractères (majuscules, miniscules, chiffres + caractères spéciaux courants = 2*26+10+10 = 72 possibilités par caractère):
entropie = log_2(72^13) = 80 (bits d'entropie, ie 2^80 possibilités)Par définition, chaque bit d'entropie ajouté multiple la durée de l'attaque par deux.
Si le service/site web est correctement configuré (ie pas plus de 1000 essais par seconde, comme dans l'exemple de XKCD), 40-50 bits d'entropie sont largement suffisants. Si la base de données fuite (offline crack) et utilise un hashage faible (par exemple 1 itération de SHA256), alors au minimum 80 bits d'entropie sont nécessaires. Si la base de données fuite et utilise un hashage fort (PBKDF2 avec 10000 itérations), 50-60 bits devraient suffire.