• [^] # Re: Caractère spécial

    Posté par . En réponse au journal Mon gestionnaire de mots de passe, en 50 lignes de HTML. Évalué à 3.

    j’avoue ne pas comprendre d’où viennent les chiffres de 228 (dans le premier cas) et 244 (dans le second).

    Ce n'est pas évident mais c'est plus ou moins expliqué dans la 1ère bulle. Chaque petit carré correspond à un bit. Et la position du carré donne une indication d'où ça vient.

    Pour le premier cas :
    - L'utilisateur choisit un mot peu commun => 16 bits. Ici Randall suppose donc une liste de 65536 mots dans laquelle on choisit.
    - L'utilisateur choisit de mettre la 1ère lettre en majuscule ou non => 1 bit
    - Pour chaque lettre où c'est faisable, l'utilisateur choisit d'écrire en leet ou pas => 3 bits (le calcul est un peu simpliste ici car les 3 bits dépendent en fait du mot initial)
    - L'utilisateur rajoute un caractère spécial => 4 bits (donc dans une liste de 16 caractères)
    - L'utilisateur rajoute un chiffre => 3 bits (c'est un peu plus, mais c'est arrondi)
    - L'utilisateur peut choisir d'inverser le caractère spécial et le chiffre => 1 bit

    Au total, on retrouve bien les 28 bits module quelques approximations.

    Dans le deuxième cas :
    - L'utilisateur choisit un mot commun => 11 bits. Ici Randall suppose cette fois une liste plus réduite de 2048 mots
    - Il répète 4 fois => 44 bits

    Un point important des 2 méthodes, c'est que les choix doivent tous être des choix au hasard (donc pas l'utilisateur qui sort de sa tête un mot). Sinon, l'entropie diminue fortement.

    En tous cas une chose est sûre, me semble-t-il, c’est que dans les deux cas l’entropie est plus faible qu’un mot de passe de la même longueur utilisant le même ensemble de caractères et qui serait vraiment aléatoire

    Oui complètement. On parle souvent pour simplifier de l'entropie d'un mot de passe, mais en vrai on devrait parler de l'entropie d'une méthode de génération de mot de passe. Je ne rentre pas dans les détails, car il faudrait un journal pour ça, mais l'idée c'est de la mesurer dans le pire des cas, en supposant que l'attaquant connaisse parfaitement la méthode de génération et les biais de l'humain qui l'utilise. Ça permet d'avoir une idée de la robustesse d'une méthode qu'on communique massivement pour être appliquée par un grand monde.
    Et du coup, si ta méthode c'est de générer un mot de passe de la même longueur qu'un des précédents, oui ton entropie va être beaucoup plus importante, même si théoriquement tu pourrais retomber sur les même mots de passe.

    On devrait peut-être enseigner les méthodes de choix d’un mot de passe vers le CE2-CM1.

    Il faudrait surtout enseigner qu'un mot de passe, même très robuste, ce n'est pas la panacée, et que le minimum pour protéger un service non trivial c'est du MFA.