Je suis toujours mitigé face à ces tableaux. Celui-ci précise le hashage utilisé, bcrypt (mais seulement 10 rounds? De mémoire je crois que c'est vraiment le minimum acceptable). On a également la carte graphique utilisé, c'est bien.
Maintenant, on a juste un cassage en bruteforce. Encore une fois, c'est bien, maaaaaaais c'est pas suffisant. Par exemple, le mot de passe "Soleil123" est considéré cassable en 3000 ans. (c'est faux)
Premier cas: j'utilise un mdp sur un site on-line qui limite le nombre de tentatives de connexions, tu n'auras jamais cassé mon mdp en + de 3000 ans.
Second cas: tu as à dispo la base de hash, un dico, et des règles, le mdp se casse en quelques secondes/minutes.
Bref, les mots de passe, c'est nul, c'est pourri, ça a plein de défauts, mais on a du mal à s'en passer. Sooner or later, tu utilises un mot de passe.
Je pense que ce genre d'article et d'essais, outre que c'est un marronnier, est une bonne façon de faire parler de soi :-)
oui, si tu veux parler de sécu info (et qu'on t'écoutes), t'as qu'a parler des mots de passe.
Après, le mot de passe, malgré ses défauts reste tout le même le truc le plus pratique et le plus facile à modifier.
ouais, mais par quoi le remplacer? Ca devient vraiment n'importe quoi. Tu changes de société on te file un téléphone d'entreprise, et vla le défilé:
- quel mdp pour la SIM
- quel mot de passe pour le déverrouillage
- quel mot de passe pour gmail
- quelles questions de sécurité?
- quel mot de passe pour ton appli métier
- quel mot de passe pour ton accès distant d'entreprise
- quel mot de passe pour la messagerie d'entreprise outlook
- quel mot de passe pour authenticator
- quel mot de passe pour le site corpo
Au bout de 25 minutes on t'a demandé tellement de mot de passes que je défie quiconque de ne pas en avoir oublié un ou de ne pas avoir mis le même partout
Posté par Faya .
Évalué à 3 (+1/-0).
Dernière modification le 05 mai 2025 à 17:30.
le mot de passe "Soleil123"
Ce n'est pas pour défendre l'article ou Hive Systems (que je ne connais pas) mais ils précisent tout de même que si ton mot de passe contient des mots du dictionnaire, même avec 18 caractères il sera cassé instantanément.
Posté par moi1392 .
Évalué à 2 (+0/-0).
Dernière modification le 06 mai 2025 à 09:55.
J'ai l'impression qu'elle est bonne seulement si l'attaquant n'a pas une stratégie dédiée à ce type de mots de passes.
Sinon je ne sais pas trop ce qu'elle vaut.
Si je prends 100000 mots pour la langue française (j'ai cherché un peu et ça me semble être un ordre de grandeur correct)
On pourrait dire qu'on a, pour 4 mots (comme l'exemple de XKCD) (10⁵)⁴ possibilités, soit 10²⁰.
Avec un algo qui priorise la fréquence des mots, on peut quand même espérer dans la plupart des cas tomber sur les bons mots au début de la recherche, ce qui réduit tout de même de quelques ordres de grandeur l'espace de recherche.
Bien sûr mon raisonnement ne vaut que si l'attaquant connait la stratégie utilisée pour le mot de passe et tente un algorithme spécifique.
J'ai l'impression qu'elle est bonne seulement si l'attaquant n'a pas une stratégie dédiée à ce type de mots de passes.
Il vaut mieux considérer que l'attaquant est intelligent. Si l'attaquant est bête, alors n'importe quel mot de passe est bon.
Avec un algo qui priorise la fréquence des mots, on peut quand même espérer dans la plupart des cas tomber sur les bons mots au début de la recherche,
intéressant. Après, il faut certes pas mettre linuxordinateurclaviermotdepasse, mais je pense que tartiflettegratinpatatepurée est moins fréquent.
Bien sûr mon raisonnement ne vaut que si l'attaquant connait la stratégie utilisée pour le mot de passe et tente un algorithme spécifique.
Oui. On peut passer des jours entiers à dériver les mots de passe du dictionnaire et passer à côté d'un mot de passe avec 4 lettres et 2 chiffres. Et ce qui est évident pour certaines personnes l'est moins pour d'autres. Et des stratégies dépendent de paramètres étranges: par exemple john the ripper a une stratégie qui consiste à décaler les lettres d'un cran sur le clavier physique: le z devient un a, le k devien un j, le n devient un b etc… Il suffit d'utiliser un clavier fr au lieu de us pour que cette règle de john ne trouve pas ton mdp :-)
Ce qui nous ramène toujours au même problème: qu'est ce qu'un bon mot de passe? :-)
Savoir ce qu'est un bon mot de passe, c'est clairement compliqué :).
Si tu n'as jamais à le taper ni à le retenir, c'est le truc le plus long possible accepté par le système, tu t'en fous, c'est le gestionnaire de mot de passe qui s'en occupe. Si la longueur maxi est 42 caractères, ie5yomingu7eiquah5kee#m0zai0ugo peut convenir.
Si tu dois le taper mais pas le retenir, mieux vaut faire un peu plus long qu'avoir des alternances de I, l 1 O et 0 et des symboles qu'on met 3 plombes à trouver sur le clavier.
Si tu dois le taper et le retenir… La méthode XKCD est presque bonne : il ne faut pas choisir les mots. Il faut inventer l'histoire après, sinon l'histoire de fréquence de mots devient valable. Et quatre mots c'est un peu juste niveau entropie si pas de limitation du nombre d'essais ou de MFA pour compléter.
Je me suis fait un dico de mots qui se tapent pareil sur clavier azerty, qwerty et qwertz. Il y a autour de 48000 mots anglais dedans (en Français ça ne faisait pas assez de mots !). Ça donne des trucs comme orthopneic-kittle-postspinous-sinuousness-cubhood-tritonoid. Au quotidien, je ne dirais pas que c'est un bon mot de passe d'ouverture de session %-).
Au final, sur un système ou tu n'as que trois essais par heure, un mot de passe comme "Et le champignon pourri se transforma en prince charmant" n'est peut-être pas si mal ?
tu t'en fous, c'est le gestionnaire de mot de passe qui s'en occupe. Si la longueur maxi est 42 caractères, ie5yomingu7eiquah5kee#m0zai0ugo peut convenir.
perso, si la limite de longueur est grande (ce qui devrait être le cas partout), je ne mets que des minuscules.
Dans le cas d'une limite de 42, je fais 39 lettres générées par le gestionnaire de mot de passe (autour de 160 bits). Et si on me demande des caractères spéciaux, j'ajoute ".1A".
J'ai donc la conversation suivante avec le site :
choisissez votre mot de passe
zgtoiawpmundthubtxrwmtucnmexyxfwcmebvno
trop faible
zgtoiawpmundthubtxrwmtucnmexyxfwcmebvno.1A
excellent !
Sinon, il n'y a en principe que 2 mots de passe à retenir : celui de déchiffrement du disque (même que celui de la cession) et celui du gestionnaire de mot de passe.
J'ai bien aimé cet article qui offre justement un point de vue plus nuancé sur ce marronier. Il date de 2023 et est toujours d'actualité, pfiou. Par contre, c'est moins vendeur qu'un tableau accompagné d'un petit résumé lapidaire.
KeepassXC affiche l'entropie du mot de passe. Je ne sais pas comment c'est calculé. j'imagine que c'est juste par rapport à une recherche en force brute combinatoire et que ça peut induire en erreur si le mot de passe est composé de mots du dictionnaire.
L = longueur d'unités dans le mot de passe
R = nombre de valeurs possible pour chaque unité (ton vocabulaire, en gros)
Et la formule : log2(R^L)
Dans le cas ou tu as les lettres de l'alphabet en minuscules et majuscules, les chiffres et des symboles, chaque unité est un de ces trucs. Il y a peu de valeurs possibles pour chaque unité, donc le mot de passe va être long en unités (genre 15 à 20 unités).
Dans le cas ou tu vas chercher des mots dans un dictionnaire, chaque unité est un mot de ce dictionnaire. Il y a plein de mots, donc 7 unités suffiront pour avoir un mot de passe avec une entropie suffisante. À taper, ce sera plus long, car chaque unité sera un mot du dico, et au final ça fera 40 à 60 caractères. Mais en vrai tu t'en fiches, car c'est ton gestionnaire de mot de passe qui le tapera la majorité du temps :), et il sera relativement facile à mémoriser.
Le xkcd cité plus haut est juste, à ceci près qu'avec 4 mots d'un dictionnaire courant, tu as une entropie insuffisante. En 2025, il faut viser 100 bits d'entropie au moins. Dans le générateur de KeepassXC, ça fait 7 mots du dico, ou un mot de passe de 16 caractères minimum.
Un moyen pas trop compliqué d'augmenter l'entropie serait de multiplier les dictionnaires, non ? C'est ce que j'avais voulu proposer là mais je me suis emmêlé le clavier en disant alphabet plutôt que dictionnaire… Même en mélangeant juste français et anglais, ça doit monter pas mal. Tu rajoutes kouign-amann ou koléséré ou autre expression de ton patois ou de celui du voisin et voilà ce n'est pas plus difficile à retenir que correct battery horse staple.
En mélangeant chinois, hangul, lithuanian et cherokee, on doit obtenir un bon mot de passe, non ?
Fondamentalement, tant qu'on n' a pas à saisir le mot de passe manuellement, ça doit être pas mal. Ou alors on se fait une clef USB/faux clavier qui tape l'unicode à notre place ?
Si un truc est codé en Unicode, les mots de passe sont forcément des caractères Unicode. Quand on saisit un truc sur LinuxFr par exemple, c'est de l'Unicode, même si on se limite aux seuls caractères reconnus par ASCII.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
Le fait est qu'utiliser n'importe quel caractère unicode est improbable du point de vue de l'attaquant, car difficile du point de vue de l'utilisateur.
En pratique, je doute que les attaques par force brute mobilisent tous les caractères Unicode mais se limitent aux caractères associés à la langue de la plateforme ou des utilisateurs.
Ce que je te dis c'est que tout est caractère Unicode (ou pas) et qu'il n'existe pas une catégorie à part qui serait des caractères Unicode avec, à côté des caractères qui ne le seraient pas (au hasard l'alphabet latin réduit à sa plus simple expression). Bref qu'il est impropre de parler de caractères Unicode, ça n'existe pas en soi, c'est un codage (ou un encodage).
Après on peut imaginer ce qu'on veut, quelqu'un qui utiliserait des émoji dans un mot de passe si la zone de saisie du mot de passe permet ce type de saisie.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
Effectivement, j'aurais dû ecrire quelque chose comme : Et si on utilisait toute la table unicode plutôt que de se limiter aux quelques blocs utiles à notre langue ?
Posté par lolop (site web personnel) .
Évalué à 2 (+0/-0).
Dernière modification le 06 mai 2025 à 17:20.
Même si tu ne le saisis pas, il faut être sûr que la façon de le transmettre ne va pas faire une normalisation quelconque qui change la séquence d'octets.
Et si tu as à le saisir… aye dans certains cas.
Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN
En tout cas, Linuxfr a accepté que je mette de l'Unicode dans mon mot de passe, et Bitwarden a bien mis à jour et restitué le bon mot de passe à la reconnexion.
C'est plutôt positif, qui pourrait croire que mon mot de passe contient une pelote de laine et une pinte de bière (entre autres) ?
On va alors coder des mots de passe plus inclusifs et moins sélectifs : la pelote de laine sera équivalente à la fleur de coton, la choppe de bière au verre de vin, les femmes aux hommes, etc. Par contre ça va relancer le domaine des calculateurs d'entropie de mot de passe.
Sinon il y a l'approche : votre mot de passe doit être compilable et exécutable. Et bien indenté/linté aussi.
Posté par mahikeulbody .
Évalué à 3 (+1/-0).
Dernière modification le 07 mai 2025 à 06:44.
Quelle est la logique sous-jacente (si tant est qu'il y en ait une) des sites qui interdisent le copier-coller dans le champ de confirmation du mot de passe ?
que tu dois le rentenir. Si tu peux copier coller, tu risques de faire une erreur: tu veux taper "password123" tu écris "pzssword123", tu copies-colles dans le 2 champ, ton mdp est créé. Tu fermes la session, le lendemain tu tapes avec attention "password123" et ça marche pas… Si y'a 2 champs, c'est pour valider l'un par rapport à l'autre, c'est pas pour vérifier si tu sais copier-coller.
C'est la seule raison vaguement valable que j'ai entendu, et je la trouve pourrie.
Autorisez le copier coller, ou mieux, ne demandez qu'une fois un mdp à la création
# c'est bien, mais pas suffisant
Posté par octane . Évalué à 7 (+5/-0).
Je suis toujours mitigé face à ces tableaux. Celui-ci précise le hashage utilisé, bcrypt (mais seulement 10 rounds? De mémoire je crois que c'est vraiment le minimum acceptable). On a également la carte graphique utilisé, c'est bien.
Maintenant, on a juste un cassage en bruteforce. Encore une fois, c'est bien, maaaaaaais c'est pas suffisant. Par exemple, le mot de passe "Soleil123" est considéré cassable en 3000 ans. (c'est faux)
Premier cas: j'utilise un mdp sur un site on-line qui limite le nombre de tentatives de connexions, tu n'auras jamais cassé mon mdp en + de 3000 ans.
Second cas: tu as à dispo la base de hash, un dico, et des règles, le mdp se casse en quelques secondes/minutes.
Bref, les mots de passe, c'est nul, c'est pourri, ça a plein de défauts, mais on a du mal à s'en passer. Sooner or later, tu utilises un mot de passe.
[^] # Re: c'est bien, mais pas suffisant
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à 6 (+3/-0). Dernière modification le 05 mai 2025 à 16:33.
Je pense que ce genre d'article et d'essais, outre que c'est un marronnier, est une bonne façon de faire parler de soi :-)
Après, le mot de passe, malgré ses défauts reste tout le même le truc le plus pratique et le plus facile à modifier.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: c'est bien, mais pas suffisant
Posté par octane . Évalué à 4 (+2/-0).
oui, si tu veux parler de sécu info (et qu'on t'écoutes), t'as qu'a parler des mots de passe.
ouais, mais par quoi le remplacer? Ca devient vraiment n'importe quoi. Tu changes de société on te file un téléphone d'entreprise, et vla le défilé:
- quel mdp pour la SIM
- quel mot de passe pour le déverrouillage
- quel mot de passe pour gmail
- quelles questions de sécurité?
- quel mot de passe pour ton appli métier
- quel mot de passe pour ton accès distant d'entreprise
- quel mot de passe pour la messagerie d'entreprise outlook
- quel mot de passe pour authenticator
- quel mot de passe pour le site corpo
Au bout de 25 minutes on t'a demandé tellement de mot de passes que je défie quiconque de ne pas en avoir oublié un ou de ne pas avoir mis le même partout
[^] # Re: c'est bien, mais pas suffisant
Posté par Faya . Évalué à 3 (+1/-0). Dernière modification le 05 mai 2025 à 17:30.
Ce n'est pas pour défendre l'article ou Hive Systems (que je ne connais pas) mais ils précisent tout de même que si ton mot de passe contient des mots du dictionnaire, même avec 18 caractères il sera cassé instantanément.
[^] # Re: c'est bien, mais pas suffisant
Posté par Pol' uX (site web personnel) . Évalué à 2 (+0/-0).
Même si il contient le mot « a » ou « À » ?
Adhérer à l'April, ça vous tente ?
[^] # Re: c'est bien, mais pas suffisant
Posté par Faya . Évalué à 2 (+0/-0).
Ça dépend, si il ne contient que le mot « a » ouais :-)
Ou si il contient le mot « a » accolé à d'autres mots de dictionnaire. ÀDemainBisou.
[^] # Re: c'est bien, mais pas suffisant
Posté par Pol' uX (site web personnel) . Évalué à 2 (+0/-0).
Du coup ça relativise beaucoup l'affirmation.
Adhérer à l'April, ça vous tente ?
[^] # Re: c'est bien, mais pas suffisant
Posté par lejocelyn (site web personnel) . Évalué à 4 (+2/-0).
Donc la stratégie de mettre une liste de mots aléatoires n'est pas bonne du tout ? Cf: https://xkcd.com/936/
[^] # Re: c'est bien, mais pas suffisant
Posté par octane . Évalué à 4 (+2/-0).
1 mot du dictionnaire, ça se trouve facilement.
4 mots ça devient extrêmement compliqué (explosion combinatoire).
La méthode de XKCD est bonne :-)
[^] # Re: c'est bien, mais pas suffisant
Posté par moi1392 . Évalué à 2 (+0/-0). Dernière modification le 06 mai 2025 à 09:55.
J'ai l'impression qu'elle est bonne seulement si l'attaquant n'a pas une stratégie dédiée à ce type de mots de passes.
Sinon je ne sais pas trop ce qu'elle vaut.
Si je prends 100000 mots pour la langue française (j'ai cherché un peu et ça me semble être un ordre de grandeur correct)
On pourrait dire qu'on a, pour 4 mots (comme l'exemple de XKCD) (10⁵)⁴ possibilités, soit 10²⁰.
Avec un algo qui priorise la fréquence des mots, on peut quand même espérer dans la plupart des cas tomber sur les bons mots au début de la recherche, ce qui réduit tout de même de quelques ordres de grandeur l'espace de recherche.
Bien sûr mon raisonnement ne vaut que si l'attaquant connait la stratégie utilisée pour le mot de passe et tente un algorithme spécifique.
[^] # Re: c'est bien, mais pas suffisant
Posté par octane . Évalué à 3 (+1/-0).
Il vaut mieux considérer que l'attaquant est intelligent. Si l'attaquant est bête, alors n'importe quel mot de passe est bon.
intéressant. Après, il faut certes pas mettre linuxordinateurclaviermotdepasse, mais je pense que tartiflettegratinpatatepurée est moins fréquent.
Oui. On peut passer des jours entiers à dériver les mots de passe du dictionnaire et passer à côté d'un mot de passe avec 4 lettres et 2 chiffres. Et ce qui est évident pour certaines personnes l'est moins pour d'autres. Et des stratégies dépendent de paramètres étranges: par exemple john the ripper a une stratégie qui consiste à décaler les lettres d'un cran sur le clavier physique: le z devient un a, le k devien un j, le n devient un b etc… Il suffit d'utiliser un clavier fr au lieu de us pour que cette règle de john ne trouve pas ton mdp :-)
Ce qui nous ramène toujours au même problème: qu'est ce qu'un bon mot de passe? :-)
[^] # Re: c'est bien, mais pas suffisant
Posté par Pol' uX (site web personnel) . Évalué à 3 (+1/-0).
Un mot de passe évoquant un trait d’esprit ingénieux, souvent humoristique.
Adhérer à l'April, ça vous tente ?
[^] # Re: c'est bien, mais pas suffisant
Posté par cg . Évalué à 4 (+2/-0).
Savoir ce qu'est un bon mot de passe, c'est clairement compliqué :).
Si tu n'as jamais à le taper ni à le retenir, c'est le truc le plus long possible accepté par le système, tu t'en fous, c'est le gestionnaire de mot de passe qui s'en occupe. Si la longueur maxi est 42 caractères, ie5yomingu7eiquah5kee#m0zai0ugo peut convenir.
Si tu dois le taper mais pas le retenir, mieux vaut faire un peu plus long qu'avoir des alternances de I, l 1 O et 0 et des symboles qu'on met 3 plombes à trouver sur le clavier.
Si tu dois le taper et le retenir… La méthode XKCD est presque bonne : il ne faut pas choisir les mots. Il faut inventer l'histoire après, sinon l'histoire de fréquence de mots devient valable. Et quatre mots c'est un peu juste niveau entropie si pas de limitation du nombre d'essais ou de MFA pour compléter.
Je me suis fait un dico de mots qui se tapent pareil sur clavier azerty, qwerty et qwertz. Il y a autour de 48000 mots anglais dedans (en Français ça ne faisait pas assez de mots !). Ça donne des trucs comme orthopneic-kittle-postspinous-sinuousness-cubhood-tritonoid. Au quotidien, je ne dirais pas que c'est un bon mot de passe d'ouverture de session %-).
Au final, sur un système ou tu n'as que trois essais par heure, un mot de passe comme "Et le champignon pourri se transforma en prince charmant" n'est peut-être pas si mal ?
[^] # Re: c'est bien, mais pas suffisant
Posté par LaurentClaessens (site web personnel) . Évalué à 2 (+0/-0).
perso, si la limite de longueur est grande (ce qui devrait être le cas partout), je ne mets que des minuscules.
Dans le cas d'une limite de 42, je fais 39 lettres générées par le gestionnaire de mot de passe (autour de 160 bits). Et si on me demande des caractères spéciaux, j'ajoute ".1A".
J'ai donc la conversation suivante avec le site :
Sinon, il n'y a en principe que 2 mots de passe à retenir : celui de déchiffrement du disque (même que celui de la cession) et celui du gestionnaire de mot de passe.
[^] # Re: c'est bien, mais pas suffisant
Posté par EdLeH (site web personnel) . Évalué à 5 (+3/-0).
[^] # Re: c'est bien, mais pas suffisant
Posté par corentin38 (site web personnel) . Évalué à 2 (+1/-0).
Arrêtez de citer mon mot de passe !
[^] # Re: c'est bien, mais pas suffisant
Posté par Benoît Sibaud (site web personnel) . Évalué à 4 (+1/-0).
Long, une majuscule, une minuscule, une minuscule accentuée, un caractère de ponctuation. Bien.
[^] # Re: c'est bien, mais pas suffisant
Posté par MrBidon . Évalué à 2 (+1/-0). Dernière modification le 05 mai 2025 à 18:15.
En fait, il y a des hash qui fuitent sur le net, donc on peut la brute force pour deviner ton mot de passe, et le tester sur d'autre site.
[^] # Re: c'est bien, mais pas suffisant
Posté par Zatalyz (site web personnel) . Évalué à 10 (+9/-0).
J'ai bien aimé cet article qui offre justement un point de vue plus nuancé sur ce marronier. Il date de 2023 et est toujours d'actualité, pfiou. Par contre, c'est moins vendeur qu'un tableau accompagné d'un petit résumé lapidaire.
[^] # Re: c'est bien, mais pas suffisant
Posté par orfenor . Évalué à 3 (+1/-0).
++++
[^] # Re: c'est bien, mais pas suffisant
Posté par canvas . Évalué à 1 (+0/-0).
Un autre article : L'art et la science des mots de passe - Jean-Paul Delahaye.
# entropie
Posté par mahikeulbody . Évalué à 3 (+1/-0).
KeepassXC affiche l'entropie du mot de passe. Je ne sais pas comment c'est calculé. j'imagine que c'est juste par rapport à une recherche en force brute combinatoire et que ça peut induire en erreur si le mot de passe est composé de mots du dictionnaire.
[^] # Re: entropie
Posté par geegeek . Évalué à 1 (+0/-0).
Si tu choisis de ne mettre que des lettres, ça doit assez souvent former des mots courts.
[^] # Re: entropie
Posté par orfenor . Évalué à 2 (+0/-0).
Pourquoi ? Avec une bonne méthodologie on s'en sort très bien avec des mots longs. Coup d'oeil sur certains des miens :
On peut facilement inventer des mots (free a utilisé du faux latin sur les freebox).
Et par mot j'entend une unité de mémoire, comme "acuetur64"
[^] # Re: entropie
Posté par mahikeulbody . Évalué à 2 (+0/-0).
Je n'ai pas compris le rapport avec mon commentaire.
[^] # Re: entropie
Posté par cg . Évalué à 2 (+0/-0). Dernière modification le 07 mai 2025 à 07:44.
Cette page explique comment est calculée l'entropie d'un mot de passe : https://acceis.github.io/EntroCalc/
Pour faire court :
L = longueur d'unités dans le mot de passe
R = nombre de valeurs possible pour chaque unité (ton vocabulaire, en gros)
Et la formule :
log2(R^L)
Dans le cas ou tu as les lettres de l'alphabet en minuscules et majuscules, les chiffres et des symboles, chaque unité est un de ces trucs. Il y a peu de valeurs possibles pour chaque unité, donc le mot de passe va être long en unités (genre 15 à 20 unités).
Dans le cas ou tu vas chercher des mots dans un dictionnaire, chaque unité est un mot de ce dictionnaire. Il y a plein de mots, donc 7 unités suffiront pour avoir un mot de passe avec une entropie suffisante. À taper, ce sera plus long, car chaque unité sera un mot du dico, et au final ça fera 40 à 60 caractères. Mais en vrai tu t'en fiches, car c'est ton gestionnaire de mot de passe qui le tapera la majorité du temps :), et il sera relativement facile à mémoriser.
Le xkcd cité plus haut est juste, à ceci près qu'avec 4 mots d'un dictionnaire courant, tu as une entropie insuffisante. En 2025, il faut viser 100 bits d'entropie au moins. Dans le générateur de KeepassXC, ça fait 7 mots du dico, ou un mot de passe de 16 caractères minimum.
Un truc du genre :).
[^] # Re: entropie
Posté par Faya . Évalué à 3 (+1/-0).
Un moyen pas trop compliqué d'augmenter l'entropie serait de multiplier les dictionnaires, non ? C'est ce que j'avais voulu proposer là mais je me suis emmêlé le clavier en disant alphabet plutôt que dictionnaire… Même en mélangeant juste français et anglais, ça doit monter pas mal. Tu rajoutes
kouign-amann
oukoléséré
ou autre expression de ton patois ou de celui du voisin et voilà ce n'est pas plus difficile à retenir quecorrect battery horse staple
.# Et si on utilise Unicode pour ses mots de passe ?
Posté par lejocelyn (site web personnel) . Évalué à 2 (+0/-0).
En mélangeant chinois, hangul, lithuanian et cherokee, on doit obtenir un bon mot de passe, non ?
Fondamentalement, tant qu'on n' a pas à saisir le mot de passe manuellement, ça doit être pas mal. Ou alors on se fait une clef USB/faux clavier qui tape l'unicode à notre place ?
[^] # Re: Et si on utilise Unicode pour ses mots de passe ?
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à 3 (+0/-0).
Si un truc est codé en Unicode, les mots de passe sont forcément des caractères Unicode. Quand on saisit un truc sur LinuxFr par exemple, c'est de l'Unicode, même si on se limite aux seuls caractères reconnus par ASCII.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Et si on utilise Unicode pour ses mots de passe ?
Posté par lejocelyn (site web personnel) . Évalué à 3 (+1/-0).
Oui, mais non.
Le fait est qu'utiliser n'importe quel caractère unicode est improbable du point de vue de l'attaquant, car difficile du point de vue de l'utilisateur.
En pratique, je doute que les attaques par force brute mobilisent tous les caractères Unicode mais se limitent aux caractères associés à la langue de la plateforme ou des utilisateurs.
[^] # Re: Et si on utilise Unicode pour ses mots de passe ?
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à 3 (+0/-0).
Ce que je te dis c'est que tout est caractère Unicode (ou pas) et qu'il n'existe pas une catégorie à part qui serait des caractères Unicode avec, à côté des caractères qui ne le seraient pas (au hasard l'alphabet latin réduit à sa plus simple expression). Bref qu'il est impropre de parler de caractères Unicode, ça n'existe pas en soi, c'est un codage (ou un encodage).
Après on peut imaginer ce qu'on veut, quelqu'un qui utiliserait des émoji dans un mot de passe si la zone de saisie du mot de passe permet ce type de saisie.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Et si on utilise Unicode pour ses mots de passe ?
Posté par lejocelyn (site web personnel) . Évalué à 3 (+1/-0).
Effectivement, j'aurais dû ecrire quelque chose comme : Et si on utilisait toute la table unicode plutôt que de se limiter aux quelques blocs utiles à notre langue ?
[^] # Re: Et si on utilise Unicode pour ses mots de passe ?
Posté par lolop (site web personnel) . Évalué à 2 (+0/-0). Dernière modification le 06 mai 2025 à 17:20.
Même si tu ne le saisis pas, il faut être sûr que la façon de le transmettre ne va pas faire une normalisation quelconque qui change la séquence d'octets.
Et si tu as à le saisir… aye dans certains cas.
Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN
[^] # Re: Et si on utilise Unicode pour ses mots de passe ?
Posté par cg . Évalué à 3 (+1/-0).
En tout cas, Linuxfr a accepté que je mette de l'Unicode dans mon mot de passe, et Bitwarden a bien mis à jour et restitué le bon mot de passe à la reconnexion.
C'est plutôt positif, qui pourrait croire que mon mot de passe contient une pelote de laine et une pinte de bière (entre autres) ?
[^] # Re: Et si on utilise Unicode pour ses mots de passe ?
Posté par Benoît Sibaud (site web personnel) . Évalué à 3 (+0/-0).
On va alors coder des mots de passe plus inclusifs et moins sélectifs : la pelote de laine sera équivalente à la fleur de coton, la choppe de bière au verre de vin, les femmes aux hommes, etc. Par contre ça va relancer le domaine des calculateurs d'entropie de mot de passe.
Sinon il y a l'approche : votre mot de passe doit être compilable et exécutable. Et bien indenté/linté aussi.
[^] # Re: Et si on utilise Unicode pour ses mots de passe ?
Posté par cosmocat . Évalué à 2 (+0/-0).
Et on en revient à:
https://neal.fun/password-game/
# copier-coller interdit sur champ de confirmation
Posté par mahikeulbody . Évalué à 3 (+1/-0). Dernière modification le 07 mai 2025 à 06:44.
Quelle est la logique sous-jacente (si tant est qu'il y en ait une) des sites qui interdisent le copier-coller dans le champ de confirmation du mot de passe ?
[^] # Re: copier-coller interdit sur champ de confirmation
Posté par octane . Évalué à 4 (+2/-0).
que tu dois le rentenir. Si tu peux copier coller, tu risques de faire une erreur: tu veux taper "password123" tu écris "pzssword123", tu copies-colles dans le 2 champ, ton mdp est créé. Tu fermes la session, le lendemain tu tapes avec attention "password123" et ça marche pas… Si y'a 2 champs, c'est pour valider l'un par rapport à l'autre, c'est pas pour vérifier si tu sais copier-coller.
C'est la seule raison vaguement valable que j'ai entendu, et je la trouve pourrie.
Autorisez le copier coller, ou mieux, ne demandez qu'une fois un mdp à la création
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.