Pour calculer l’entropie (la sécurité) d'un mot de passe, on considère que l’attaquant connaît l’algorithme. Ensuite on calcule le nombre de chance de tomber sur un mot de passe donné.
Ici le programme commence par choisir 3 catégories parmi les 6.
Le nombre de mots dans chaque catégories est de 19, 43, 28, 28, 31, 13.
Il y a donc 1 chance sur 10 ((6 * 5 * 4) / (1 * 2 * 3) * 2) de tomber sur les 3 catégories avec le moins de mots.
Ensuite on compte le nombre de combinaisons de mots parmi ces catégories: 13 * 19 * 28.
Au final on tombe sur 10 * 13 * 19 * 28 = 69160 soit 16.07 bits d’entropie ce qui est très très faible pour un mot de passe.
Il faut moins d’une seconde pour le casser même si il est stocké de manière sécurisée. Un GPU peut tester plusieurs centaines de millier de mot de pas WPA par seconde. Si le mot de passe est en MD5, on atteint le milliard par seconde.
Pour avoir un mot de passe sécurisé, il faut supprimer le système de catégories et utiliser vraiment beaucoup plus de mots. Par exemple avec 50000 mots on arrive à 46 bits d’entropie (50000 ^ 3). Sinon on peut aussi augmenter le nombre de mots du mot de passe généré: 4 mots dans une liste de 5000 donne 49bits.
[^] # Re: 300^4 = 8100000000
Posté par Vincent Meurisse (site web personnel) . En réponse au journal Générateur de mot de passe. Évalué à 10.
Pour calculer l’entropie (la sécurité) d'un mot de passe, on considère que l’attaquant connaît l’algorithme. Ensuite on calcule le nombre de chance de tomber sur un mot de passe donné.
Ici le programme commence par choisir 3 catégories parmi les 6.
Le nombre de mots dans chaque catégories est de 19, 43, 28, 28, 31, 13.
Il y a donc 1 chance sur 10 (
(6 * 5 * 4) / (1 * 2 * 3) * 2) de tomber sur les 3 catégories avec le moins de mots.Ensuite on compte le nombre de combinaisons de mots parmi ces catégories:
13 * 19 * 28.Au final on tombe sur
10 * 13 * 19 * 28 = 69160soit 16.07 bits d’entropie ce qui est très très faible pour un mot de passe.Il faut moins d’une seconde pour le casser même si il est stocké de manière sécurisée. Un GPU peut tester plusieurs centaines de millier de mot de pas WPA par seconde. Si le mot de passe est en MD5, on atteint le milliard par seconde.
Pour avoir un mot de passe sécurisé, il faut supprimer le système de catégories et utiliser vraiment beaucoup plus de mots. Par exemple avec 50000 mots on arrive à 46 bits d’entropie (50000 ^ 3). Sinon on peut aussi augmenter le nombre de mots du mot de passe généré: 4 mots dans une liste de 5000 donne 49bits.