La force des mots de passe

 La force des mots de passe

La force des mots de passe est un concept clé de captainSécu et ce n'est pourtant pas si aisé à comprendre...

Retour donc sur la théorie de la force des mots de passe.

password  

Pour faire simple, la force d'un mot de passe représente le travail d'un attaquant à faire pour trouver votre mot de passe, s'il utilisait une attaque de type "force brute" (en essayant toutes les combinaisons possibles) et que par malchance (pour lui) votre mot de passe serait le dernier qu'il teste.

Pour pouvoir calculer cette force, la première des choses à faire est de donc de calculer le nombre de combinaisons possible (le nombre total de mots de passe qu'on pourrait générer en utilisant la longueur de votre mot de passe ainsi que les jeux de caractères qu'il utilise).

 Les jeux de caractères couramment utilisés ainsi que leurs longueurs sont rappelés dans le tableau-ce dessous :

 Jeux de caractères   
Longueur
 Chiffres   10  
 Minuscules  26  
 Majuscules  26  
 Symboles  30  

 

A titre d'exemple, la taille des jeux de caractères utilisés pour un mot de passe ne contenant que des minuscules et des chiffres serait de 36 (26 + 10).

Le nombre de mots de passe possibles est obtenu par la formule mathématique :

l_jeu l_pass                               (l_jeu « puissance » l_pass)

où l_jeu représente la longueur du jeu de caractères et l_pass la longueur du mot de passe.

Par exemple le nombre total de mots de passe possible avec un jeu représentant des minuscules et des chiffres, et une longueur de mot de passe de 8 caractères serait :

368 = 2 821 109 907 456

En informatique, on code tout avec des bits, un bit étant un élément pouvant prendre la valeur 0 ou 1.

Pour calculer la force d’un mot de passe, on va donc calculer le nombre de bits nécessaires pour pouvoir coder le nombre total de mots de passe trouvé précédemment.

La formule mathématique (un peu complexe) de calcul est donc :

1 + log2 ( l_jeu l_pass)

Dans notre exemple la force du mot de passe serait donc :

1 + log2 ( 36 8) = 42

La question légitime serait donc : quelle est la force d’un bon mot de passe ?

L’ANSSI (Agence Nationale pour la Sécurité des Systèmes d’Information) préconise une force entre 80 et 100.

On se rend donc compte que malgré le nombre très grand des possibilités de mots de passe, un mot de passe constitué uniquement de minuscules et de chiffres sur 8 caractères serait relativement faible.

Tout cela semble bien compliqué, mais rassurez-vous : Captain’Sécu fait tous ces calculs pour vous !

Mais la plupart des outils et des discours restent cantonnés à cette définition théorique et c’est une erreur.

En effet, les deux mots de passe suivants ont la même force :

  • 9zA0tzXv
  • Aaaaaaa1

Puisqu’ils utilisent les mêmes jeux de caractères et qu’ils ont la même longueur. Sans de connaissances très poussées, on se rend bien compte que le second serait trouvé extrêmement plus rapidement que le premier.

C’est pourquoi, Captain’Sécu – après avoir calculé la force théorique de votre mot de passe – le soumet à des tests poussés afin de voir si la force doit être revue à la baisse.

Voici un extrait des nombreux tests passés :

  • Présence d’une partie de vos noms ou prénoms
  • Trop de caractères répétés
  • Pas assez de caractères différents
  • Le mot de passe est un palindrome
  • Le mot de passe existe (à l’endroit ou à l’envers) dans des dictionnaires

Mais ce n’est pas tout.

Même si vous avez suivi toutes les bonnes pratiques et que vous avez construit un mot de passe très robuste, vous ne pouvez pas vous prémunir que les sites sur lesquels vous vous connectez enregistrent votre mot de passe et se le fassent voler (cela arrive tous les jours).

Captain’Sécu récupère également ces bases de données volées et va vérifier si votre mot de passe s’y trouve.

En vous prévenant immédiatement, vous avez la possibilité de tout changer et donc de minimiser le risque qu’on accède à vos données ou qu’on utilise votre identité à votre insu.

Captain’Sécu, le seul rempart efficace contre l’utilisation frauduleuse de vos données !

Gestion des cookies
Délégué à la Protection des Données personnelles

Votre Délégué à la Protection des Données Personnelles peut être contacté à l'adresse : dpd@niveau26.eu

Cyber Sécurité Solutions est une marque de la société Niveau 26
https://www.cybersecurite.solutions - contact@cybersecurite.solutions
Niveau 26 - 28 route de la vallée 02400 BONNEIL - RCS SOISSONS 881 610 927