Dice­ware

Règle géné­rale : Lais­sez votre gestion­naire de mots de passe géné­rer des mots de passe outra­geu­se­ment complexes.

Vous n’au­rez jamais besoin de les taper ou vous en souve­nir vous-même. Vous n’avez en fait même pas besoin de voir ou de savoir à quoi ces mots de passe ressemblent. Lais­sez-le faire.

Le géné­ra­teur de mot de passe interne de Bitwar­den

Et puis parfois on a besoin d’un mot de passe dont on doit se souve­nir, un qu’on doit pouvoir taper au clavier ou un qu’on doit pouvoir dicter au télé­phone.

Et dans ce cas là je vous invite à utili­ser des mots français plutôt que des lettres, chiffres et symboles incom­pré­hen­sibles.

La raison est simple : il est plus facile de rete­nir 4 mots connus que 8 lettres chiffres et symboles aléa­toires.

La seule contrainte c’est d’uti­li­ser des mots réel­le­ment aléa­toires et pas ceux auxquels on pense en essayant naïve­ment de trou­ver des mots soi-même. Votre gestion­naire de mots de passe devrait savoir vous géné­rer cette suite de mots. Si ce n’est pas le cas la méthode dice­ware est à votre dispo­si­tion :

  1. Cher­chez une liste de mots de votre langue en cher­chant « dice­ware » sur votre moteur de recherche favori. Ce sont géné­ra­le­ment des listes de 7776 mots qui vont de 11 111 à 66 666.
  2. Lancez 5 fois un dé à 6 faces, regar­dez le mot qui corres­pond dans votre grille. Recom­men­cez autant de fois que vous avez besoin de mots.

Calcul d’en­tro­pie pour diffé­rentes combi­nai­sons (les paliers de couleur sont arbi­traires à respec­ti­ve­ment 48, 56, 72, 96, 128 et 256 bits d’en­tro­pie)

La sécu­rité c’est parfois contre intui­tif : Il suffit de 4 mots français pour être aussi robuste que 8 carac­tères acces­sibles au clavier, symboles inclus.

À 5 mots vous avez l’équi­valent d’un mot de passe de 10 carac­tères clavier tota­le­ment aléa­toires en comp­tant 28 symboles possibles en plus des lettres et des chiffres.

À 6 mots vous vous avez l’équi­valent d’un mot de passe de 12 carac­tères tota­le­ment aléa­toires, proba­ble­ment suffi­sant pour quasi­ment tous les usages aujourd’­hui. Si vous êtes para­noïaque, 8 mots c’est l’équi­valent de 16 carac­tères tota­le­ment aléa­toires.


Tout ça n’est pas nouveau. XKCD en parlait déjà il y a plusieurs années. Cette bande dessi­née a été parfaite pour démo­cra­ti­ser l’idée mais trop de gens oublient que ça ne fonc­tionne que pour des mots réel­le­ment tirés au hasard.

XKCD 936 : Pass­word Strength

Atten­tion toute­fois : L’hu­main est très mauvais pour piocher au hasard.

Même avec toute la bonne volonté du monde et en vous croyant machia­vé­lique dans votre choix, il est probable que vous ne pioche­rez que dans quelques centaines de mots, éven­tuel­le­ment un ou deux milliers.

Le problème d’ailleurs aussi pour les mots de passe « clas­siques ». « Nico­las2012! » et « Julie+Mar­c2307 » sont de très mauvais mots de passe bien qu’ils respectent parfai­te­ment toutes les règles.

Je donne là une évidence mais c’est plus géné­ral que ça. Un mot de passe qui est généré sans aide d’un géné­ra­teur d’aléa­toire est un mauvais mot de passe, peu importe à quoi il ressemble de loin. Les chiffres et symboles sont quasi­ment aux mêmes posi­tions. Certaines lettres et chiffres sont peu voire pas du tout utili­sés.

Tout ça dimi­nue signi­fi­ca­ti­ve­ment la robus­tesse du mot de passe, même quand vous essayez de vous même d’y palier en cher­chant compliqué. Utili­sez une machine ou un système externe quel qu’il soit, quitte à ce que ce soit une paire de dés lancés à la main.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *