Re: Re: [TECH] Solution pour mot de passe et passphrase

[Nicolas Vinot <nvinot AT april.org>]

Le dimanche 6 avril 2014 14:05:18 Association Libres-Ailés a écrit :
> Les mots dans les liste de Diceware sont de longueur un peu variable. 
> Arnold Reinhold (Diceware) conseillait 6 mots avec d'autres caractères. 
> Mais j'ai vu que 7 mots Diceware donnent une entropie de 90.

En fait, il faut se mettre du point de vue de l'attaquant pour calculer 
l'entropie.

S'il n'a aucune connaissance de ta méthode de choix de ton mot de passe, 
alors 
il n'aura d'autre choix que de bruteforcer tous les mots de passe comportant 
entre 1 et la taille de ton mot de passe caractères.
Soit quelque chose dans les environs de 40 symboles par 30 de long ~ 1e48 
tentatives et 159 bits d'entropie, donc très largement introuvable.

Mais c'est violer le principe de Kerckhoffs qui dit qu'un attaquant doit tout 
connaître de ton algo de choix et que la seule qui ne lui soit pas connue 
soit 
ton mot de passe lui-même.
Donc la liste des mots que tu utilises lui est connue, ainsi que le nombre de 
mots choisis.

On préconise aujourd'hui des entropies d'au moins 112 bits pour être en 
sécurité.
Pour 6 mots, on tombe alors à (nb de mots de la liste)^(nb de mots du mot de 
passe) = 7776^6 ~ 1e23 pour 77 bits d'entropie. Gloups…
Pour 8 mots, on est à 7776^8 = 1e31 tentatives et 103 bits d'entropies. C'est 
déjà clairement meilleur.

-- 
Nicolas Vinot

Protégez votre vie privée, chiffrez vos communications
GPG : EFB74277 ECE4E222
OTR : 922C97CA EC0B1AD3

Attachment: signature.asc
Description: This is a digitally signed message part.