• [^] # Re: Quelques règles de base pour vos mots de passe

    Posté par . En réponse à la dépêche Linux Mint a été compromise. Évalué à 10. Dernière modification le 07 mars 2016 à 18:24.

    Non, ton calcul d'entropie est erroné et tu fais la même erreur que Nairwolf.

    Dans le calcul de nombre de bits d'entropie pour quatre mots du dictionnaire (5000 mots), je calcule 50004 (49 bits) et non pas: 2624 (112 bits) ce qui correspondrait à 4 mots aléatoires de 6 caractères chacun (ie 24 caractères aléatoires).

    Il n'y pas de problème particulier à utiliser des mots du dictionnaire, c'est juste que le dictionnaire est un ensemble de petite taille et donc génère une entropie assez faible. Si vous faites suffisamment (4-5) de tirages dans cet ensemble, l'entropie générée est satisfaisante.

    C'est exactement l'idée du XKCD: mieux vaut tirer trois mots aléatoirement du dictionnaire qu'un mot de passe alphabétique lowercase aléatoire de 6 caractères. C'est peut-être contre intuitif parce qu'on nous répète de craindre les attaques par dictionnaire depuis des années. Mais en faisant les calculs d'entropie, on voit que la première alternative est largement supérieure.

    Il n'y a pas de différence fondamentale entre une attaque bruteforce et une attaque dite par dictionnaire: dans les deux cas l'attaquant énumère un ensemble de mots de passe possible. La seule chose qui importe est la taille de cet ensemble.