Re: [TECH] Solution pour mot de passe et passphrase

[Nicolas Vinot <nvinot AT april.org>]

Le vendredi 4 avril 2014 17:13:30 Association Libres-Ailés a écrit :
> Qu'en pensez-vous de ces 2 solutions?

Pour Diceware, 6 mots parmis 7776 = aussi (peu) sécurisé qu'un mot de passe 
de 
15 caractères alphanumériques
Le principe de Kerckhoffs [1] s'appliquant, considère qu'un attaquant sait 
quel 
algorithme tu as utilisé pour générer ta clef. Donc qu'il n'a « que » 7776^6 
possiblités à tester, ce qui est à la portée de n'importe quelle société avec 
un peu de budget, donc de la NSA.
Passer à 8 mots (ou 20 caractères) et c'est déjà plus sécurisé.

Pour la méthode à Schneier, ça se résumera à une attaque par bruteforce sur 
un 
dictionnaire d'environ 30 symboles (c'est rare les chiffres ou les caractères 
spéciaux dans un bouquin) de longueur la longueur de ton mot de passe.
Donc choisis une phrase de plus de 20 mots de long pour être sécurisé.

Le problème des mots de passe, c'est surtout le problème de la mémorisation.
Et le niveau de sécurité actuel nécessite des trucs trop longs pour être 
mémorisés facilement.
L'idéal est donc aujourd'hui de se tourner vers des protections physiques 
(TOTP/HOTP, Yubikey, SmartCard GPG/RSA…), ou de générer des trucs vraiment 
long et aléatoires (donc non facilement mémorisables) et de les stocker dans 
des trucs type KeePassX [2].

[1] https://fr.wikipedia.org/wiki/Principe_de_Kerckhoffs
[2] https://www.keepassx.org/

-- 
Nicolas Vinot

Protégez votre vie privée, chiffrez vos communications
GPG : EFB74277 ECE4E222
OTR : 922C97CA EC0B1AD3

Attachment: signature.asc
Description: This is a digitally signed message part.