Les recommandations de la CNIL à suivre pour être certain de choisir un mauvais mot de passe. Effarant.
La BD part du principe que qu'il n'y a que le premier caractère qui peux être une majuscule, et que les chiffres et caractères spéciaux sont à la fin.
En réalité, on a une entropie similaire entre les deux :
11 caractères aléatoire, en comptant 70 caractères possible (aAzZ + chiffre), donne une entropie de 67 bits (log(70^11)/log(2)=67),
4 mots français, en comptant un dictionnaire de 90000 mots, ça donne une entropie de 66 bits (log(90000^4)/log(2)).
Donc un temps de hack par brut force sera similaire. Après biensur, un mot de passe aléatoire est plus difficile à retenir. Mais un mot de passe aléatoire n'est pas prédictible, comparer à un mot de passe basé sur des mots.
“Difficile à retenir pour un humain” –> pas beaucoup plus que le premier avec cette méthode justement.
“beaucoup moins robuste” –> 14 charactères, s'ils recouvrent un nombre suffisant de symboles de façon vraiment aléatoire (On est d'accord, ça n'est pas le cas içi, mais faisons un arrondi), c'est bien plus que nécessaire pour être incassable.
Et en plus, il y a hélas beaucoup de sites qui limitent encore la taille maximale des mots de passe.
Bref, les choses sont suffisamment complexes pour que personnellement je déconseille l'utilisation des insultes :).
Il n'y a aucune insulte dans le propos. Juste un avis. Mais peut-être que le terme “cancre” dans le titre était inadapté, vous avez raison. J'ai modifié le titre. ;-)
[Je présume que…] Les recommandations à l'ancienne datent de l'époque où les machines étaient moins puissantes et la taille max des mots de passe souvent limitée sur les sites de service public, banques, universités, etc ; on voyait les caractères spéciaux comme une belle astuce. Mais aujourd'hui avec l'évolution de la puissance de calcul et les difficultés de mémorisation des mots de passe plein de caractères ça semble pertinent à beaucoup de passer de xh48$g&7# à MonPetitChevalEstTombéSurL'escabotAuSecours.
Avec ces recommandations, la CNIL et l'ANSSI ne cherchent pas à atteindre un public qui a déjà de la maturité au niveau de sa gestion des mots de passe et pour qui la principale menace est de tenir face à des tentatives de cassage plus ou moins ciblées. En discutant ici, on est entre personnes qui ont un intérêt pour le sujet et une part importante de ceux qui lisent et commentent ici ont déjà adopté des pratiques plus correctes que la moyenne en la matière. Ceux qui travaillent avec des mots de passe plus complexe n'iront pas abaisser la qualité des leurs pour s'aligner.
S'agissant uniquement de la robustesse des mots de passe, je serais curieux de connaître la proportion d'utilisateurs “normaux” ayant déjà des mots de passe de 10 caractères ou plus, incluant des caractères spéciaux en plus des alphanumériques (minuscules et majuscules). Les utilisateurs “normaux” que je connais ont plutôt tendance à prendre une date de naissance ou le nom de leurs enfants pour mot de passe par exemple.
Le qualificatif de “mauvais mot de passe” pour ce qui résulte des recommandations de la CNIL me semble excessif dans la mesure où ce sera déjà souvent bien plus robuste qui ce qui est en place. En la matière, tout est souvent question de compromis.
Au passage, le problème ce n'est pas tant qu'il soit nécessaire de retenir des mots de passe que d'être tenté de mettre du sens dedans. D'ailleurs, l'exemple proposé par xkcd ne déroge pas à la règle dans la mesure où ce ne sont pas des lettres mais des mots pris dans une langue unique (mots qui peuvent être associés dans une phrase pouvant avoir un certain sens ensuite). Les coffres-forts de mots de passe permettent de travailler avec des mdp uniques générés aléatoirement et qui ne sont donc pas porteurs de sens. Ces outils ne sont pas sans contraintes non plus mais là encore, tout est question de compromis. Je rejoins donc la conclusion de ton billet…
Marrant, j'ai davantage confiance dans la CNIL et dans l'ANSSI que dans un message rapide qui ne donne aucun argument qualitatif ou quantitatif.
Bof, tu as juste à lire la BD sur xkcd. Ça résume tous les arguments qualitatifs ou quantitatifs que tu veux. ;-)
La BD part du principe que qu'il n'y a que le premier caractère qui peux être une majuscule, et que les chiffres et caractères spéciaux sont à la fin.
En réalité, on a une entropie similaire entre les deux :
11 caractères aléatoire, en comptant 70 caractères possible (aAzZ + chiffre), donne une entropie de 67 bits (log(70^11)/log(2)=67),
4 mots français, en comptant un dictionnaire de 90000 mots, ça donne une entropie de 66 bits (log(90000^4)/log(2)).
Donc un temps de hack par brut force sera similaire. Après biensur, un mot de passe aléatoire est plus difficile à retenir. Mais un mot de passe aléatoire n'est pas prédictible, comparer à un mot de passe basé sur des mots.
“Difficile à retenir pour un humain” –> pas beaucoup plus que le premier avec cette méthode justement.
“beaucoup moins robuste” –> 14 charactères, s'ils recouvrent un nombre suffisant de symboles de façon vraiment aléatoire (On est d'accord, ça n'est pas le cas içi, mais faisons un arrondi), c'est bien plus que nécessaire pour être incassable.
Et en plus, il y a hélas beaucoup de sites qui limitent encore la taille maximale des mots de passe.
Bref, les choses sont suffisamment complexes pour que personnellement je déconseille l'utilisation des insultes :).
Il n'y a aucune insulte dans le propos. Juste un avis. Mais peut-être que le terme “cancre” dans le titre était inadapté, vous avez raison. J'ai modifié le titre. ;-)
[Je présume que…] Les recommandations à l'ancienne datent de l'époque où les machines étaient moins puissantes et la taille max des mots de passe souvent limitée sur les sites de service public, banques, universités, etc ; on voyait les caractères spéciaux comme une belle astuce. Mais aujourd'hui avec l'évolution de la puissance de calcul et les difficultés de mémorisation des mots de passe plein de caractères ça semble pertinent à beaucoup de passer de xh48$g&7# à MonPetitChevalEstTombéSurL'escabotAuSecours.
Avec ces recommandations, la CNIL et l'ANSSI ne cherchent pas à atteindre un public qui a déjà de la maturité au niveau de sa gestion des mots de passe et pour qui la principale menace est de tenir face à des tentatives de cassage plus ou moins ciblées. En discutant ici, on est entre personnes qui ont un intérêt pour le sujet et une part importante de ceux qui lisent et commentent ici ont déjà adopté des pratiques plus correctes que la moyenne en la matière. Ceux qui travaillent avec des mots de passe plus complexe n'iront pas abaisser la qualité des leurs pour s'aligner.
S'agissant uniquement de la robustesse des mots de passe, je serais curieux de connaître la proportion d'utilisateurs “normaux” ayant déjà des mots de passe de 10 caractères ou plus, incluant des caractères spéciaux en plus des alphanumériques (minuscules et majuscules). Les utilisateurs “normaux” que je connais ont plutôt tendance à prendre une date de naissance ou le nom de leurs enfants pour mot de passe par exemple.
Le qualificatif de “mauvais mot de passe” pour ce qui résulte des recommandations de la CNIL me semble excessif dans la mesure où ce sera déjà souvent bien plus robuste qui ce qui est en place. En la matière, tout est souvent question de compromis.
Au passage, le problème ce n'est pas tant qu'il soit nécessaire de retenir des mots de passe que d'être tenté de mettre du sens dedans. D'ailleurs, l'exemple proposé par xkcd ne déroge pas à la règle dans la mesure où ce ne sont pas des lettres mais des mots pris dans une langue unique (mots qui peuvent être associés dans une phrase pouvant avoir un certain sens ensuite). Les coffres-forts de mots de passe permettent de travailler avec des mdp uniques générés aléatoirement et qui ne sont donc pas porteurs de sens. Ces outils ne sont pas sans contraintes non plus mais là encore, tout est question de compromis. Je rejoins donc la conclusion de ton billet…