Presque tous les sites Web que vous visitez souhaitent que vous créiez un compte, que ce soit pour des transactions financières de haute sécurité ou des jeux d'animaux loufoques. Vous ne pouvez pas vous contenter d'utiliser le même mot de passe pour tous, car une violation sur un site les mettrait tous en danger. Et vous ne pouvez pas facilement mémoriser un mot de passe différent pour chaque site. La seule solution sensée consiste à installer un gestionnaire de mots de passe et à l'utiliser pour stocker et améliorer vos mots de passe. Chaque fois que vous remplacez un mot de passe trop simple par un mot de passe long, fort et aléatoire, vous améliorez votre sécurité globale. Mais où obtenez-vous ces mots de passe longs, forts et aléatoires ?

Presque tous les gestionnaires de mots de passe incluent un composant générateur de mots de passe, vous n'avez donc pas à créer vous-même ces mots de passe aléatoires. (Mais si tu vouloir une solution à faire soi-même, nous vous montrerons comment créer votre propre générateur de mots de passe aléatoires). Cependant, tous les générateurs de mots de passe ne sont pas créés égaux. Lorsque vous savez comment ils fonctionnent, vous pouvez choisir celui qui vous convient le mieux et utiliser celui que vous avez intelligemment.

Générateurs de mots de passe—aléatoires ou non ?

Lorsque vous lancez une paire de dés, vous obtenez un résultat vraiment aléatoire. Personne ne peut prédire si vous obtiendrez des yeux de serpent, des wagons couverts ou un sept chanceux. Mais dans le domaine informatique, les randomiseurs physiques comme les dés ne sont pas disponibles. Oui, il y en a quelques sources de nombres aléatoires basées sur la désintégration radioactivemais vous ne les trouverez pas dans le gestionnaire de mots de passe côté consommateur moyen.

Les gestionnaires de mots de passe et autres programmes informatiques utilisent ce qu'on appelle un algorithme pseudo-aléatoire. Cet algorithme commence par un nombre appelé graine. L'algorithme traite la graine et obtient un nouveau numéro sans lien traçable avec l'ancien, et le nouveau numéro devient la graine suivante. La graine d'origine ne revient jamais tant que tous les autres nombres ne sont pas sortis. Si la graine était un entier 32 bits, cela signifie que l'algorithme parcourrait 4 294 967 295 autres nombres avant une répétition.

C'est bien pour un usage quotidien et bien pour les besoins de génération de mot de passe de la plupart des gens. Cependant, il est théoriquement possible pour un pirate qualifié de déterminer l'algorithme pseudo-aléatoire utilisé. Compte tenu de ces informations et de la graine, le pirate pourrait éventuellement reproduire la séquence de nombres aléatoires (bien que ce soit difficile).

Ce type de piratage dirigé est extrêmement improbable, sauf dans le cas d'une attaque dédiée à un État-nation ou d'un espionnage d'entreprise. Si vous faites l'objet d'une telle attaque, votre suite de sécurité ne pourra probablement pas vous protéger. Heureusement, vous n'êtes certainement pas la cible de ce type de cyberespionnage.

Randomisation du générateur de mots de passe

Même ainsi, quelques gestionnaires de mots de passe travaillent activement pour éliminer même la possibilité lointaine d'une telle attaque ciblée. En incorporant vos propres mouvements de souris ou caractères aléatoires dans l'algorithme aléatoire, ils obtiennent un résultat vraiment aléatoire. Parmi ceux qui offrent cette randomisation dans le monde réel figurent AceBIT Password Depot, KeePass et Steganos Password Manager. La capture d'écran ci-dessus montre le randomiseur de style matriciel de Password Depot ; oui, les caractères tombent lorsque vous déplacez votre souris.

Avez-vous vraiment besoin d'ajouter une randomisation réelle ? Probablement pas. Mais si ça te fait plaisir, vas-y !

Les gestionnaires de mots de passe réduisent le caractère aléatoire

Bien entendu, les générateurs de mots de passe ne renvoient pas littéralement des nombres aléatoires. Au lieu de cela, ils renvoient une chaîne de caractères, en utilisant nombres aléatoires à choisir parmi les jeux de caractères disponibles. Vous devez toujours activer l'utilisation de tous les jeux de caractères disponibles, sauf si vous générez un mot de passe pour un site Web qui, par exemple, n'autorise pas les caractères spéciaux.

Le pool de caractères disponibles comprend 26 lettres majuscules, 26 lettres minuscules et 10 chiffres. Il comprend également une collection de caractères spéciaux qui peuvent varier d'un produit à l'autre. Pour simplifier, disons qu'il y a 18 caractères spéciaux disponibles. Cela fait un joli tour total de 80 caractères à choisir. Dans un mot de passe totalement aléatoire, il y a 80 possibilités pour chaque personnage. Si vous choisissez un mot de passe à huit caractères, le nombre de possibilités est de 80 puissance 8, soit 1 677 721 600 000 000, soit plus d'un quadrillion. C'est difficile pour une attaque de craquage par force brute, et la devinette par force brute est vraiment le seul moyen de déchiffrer un mot de passe vraiment aléatoire.

Bien sûr, un générateur totalement aléatoire finira par produire “aaaaaaaa” et “Covfefe!” et “12345678”, puisqu'ils sont tout aussi probables que n'importe quelle autre séquence de huit caractères. Certains générateurs de mots de passe filtrent activement leur sortie pour éviter de tels mots de passe. C'est bien, mais si un pirate connaît ces filtres, cela réduit en fait le nombre de possibilités et facilite le craquage par force brute.

Voici un exemple extrême. Il existe 40 960 000 mots de passe à quatre caractères possibles, tirés d'une collection de 80 caractères. Mais certains générateurs de mots de passe forcent la sélection d'au moins un de chaque type de caractère, ce qui réduit considérablement les possibilités. Il reste encore 80 possibilités pour le premier personnage. Supposons qu'il s'agisse d'une lettre majuscule ; le pool pour le deuxième caractère est de 54 (80 moins les 26 caractères majuscules). Supposons en outre que le deuxième caractère soit une lettre minuscule. Pour le troisième caractère, il ne reste que des chiffres et des caractères spéciaux, pour 28 choix. Et si le troisième caractère est une ponctuation, le dernier doit être un chiffre, 10 choix. Nos 40 millions de possibilités se réduisent à 1 209 600.

L'utilisation de tous les jeux de caractères est une nécessité pour de nombreux sites Web. Pour éviter que cette exigence ne réduise votre pool de mots de passe, définissez une longueur de mot de passe élevée. Lorsque le mot de passe est suffisamment long, l'effet de forcer tous les types de caractères devient négligeable.

Choix du jeu de caractères du générateur de mot de passe dans RememBear

D'autres limites appliquées par les gestionnaires de mots de passe réduisent inutilement le pool de mots de passe possibles. Par exemple, RememBear Premium spécifie le nombre précis de caractères de chacun des quatre jeux de caractères, ce qui réduit considérablement le pool. Par défaut, il nécessite deux lettres majuscules, deux chiffres, 14 lettres minuscules et aucun symbole, pour un total de 18 caractères. Cela se traduit par un pool de mots de passe qui est des centaines de millions de fois plus petit que s'il nécessitait simplement un ou plusieurs caractères de chaque type. Là encore, vous pouvez compenser ce problème en définissant une longueur de mot de passe plus élevée.

Choix du jeu de caractères du générateur de mot de passe dans LastPass

LastPass et plusieurs autres évitent par défaut les paires de caractères ambiguës comme le chiffre 0 et la lettre O. Lorsque vous n'avez pas à vous souvenir du mot de passe, cela n'est pas nécessaire ; désactiver cette option. De même, ne choisissez pas l'option de génération d'un mot de passe prononçable comme “bogafewazepa”. Cette option n'est importante que s'il s'agit d'un mot de passe dont vous devez vous souvenir. L'application de cette option ne vous limite pas seulement aux caractères minuscules, elle rejette le grand nombre de possibilités que le générateur de mot de passe juge imprononçables.

Recommandé par nos rédacteurs

Générer des mots de passe longs

Comme nous l'avons vu, les générateurs de mots de passe ne choisissent pas nécessairement parmi tous les mots de passe possibles correspondant à la longueur et aux jeux de caractères que vous avez sélectionnés. Dans l'exemple extrême d'un mot de passe à quatre caractères utilisant tous les jeux de caractères, environ 97 % des mots de passe à quatre caractères possibles n'apparaissent jamais. La solution est simple ; vas-y longtemps ! Vous n'avez pas à vous souvenir de ces mots de passe, ils peuvent donc être énormes. Au moins, aussi énorme que le site Web en question l'accepte ; certains imposent des limites.

Plus l'espace de recherche est grand (ce que j'appelle le pool de mots de passe disponibles), plus il faudrait de temps pour qu'une attaque par force brute se produise sur votre mot de passe. Vous pouvez jouer avec le Calculateur de mot de passe Haystack (comme dans, aiguille dans une botte de foin) sur le site Web de Gibson Research pour avoir une idée de la valeur de la longueur.

Entrez simplement un mot de passe pour voir combien de temps cela prendrait. (Le site promet que “RIEN de ce que vous faites ici ne quitte jamais votre navigateur. Ce qui se passe ici, reste ici.” Mais la prudence vous suggère d'éviter d'utiliser vos mots de passe réels). Un mot de passe à quatre caractères comme 9kM$ ne prendrait pas tout à fait un jour pour être déchiffré, si le pirate doit envoyer des suppositions en ligne. Mais dans un scénario hors ligne, où le pirate peut essayer de deviner à grande vitesse, le temps de cracking est d'une fraction de seconde.

Générateur de mot de passe Calculateur d'espace de recherche

Dans mon article sur la création de mots de passe forts mémorables (pour des choses comme le mot de passe principal d'un gestionnaire de mots de passe), je suggère une technique mnémotechnique qui transforme une ligne d'un poème ou d'une pièce de théâtre en un mot de passe d'aspect aléatoire. Par exemple, une ligne de Roméo et Juliette, Acte 2, Scène 2, est devenue “bS,wLtYdWdB?A2S2”. Ce n'est pas un mot de passe aléatoire, mais un cracker ne le sait pas. En le déposant dans la calculatrice de Gibson, nous apprenons que même en utilisant un réseau de craquage massif, il faudrait 1,41 cent millions de siècles pour forcer celui-ci.

Faites un choix éclairé de gestionnaire de mots de passe

Alors maintenant, vous savez que le facteur le plus important pour générer des mots de passe forts et aléatoires est de les rendre longs. Certains générateurs de mots de passe rejettent les mots de passe qui ne contiennent pas tous les jeux de caractères, certains rejettent ceux avec des mots de dictionnaire intégrés, certains rejettent les mots de passe qui contiennent des caractères ambigus comme le petit l et le chiffre 1. Toutes ces restrictions limitent le pool de mots de passe possibles, mais lorsque la longueur est suffisamment élevé, cette limitation n'a tout simplement pas d'importance.

Bien sûr, il est théoriquement (sinon pratiquement) possible qu'un malfaiteur puisse pirater le schéma de génération de mot de passe de votre gestionnaire de mots de passe préféré, et ainsi obtenir la capacité de prédire les mots de passe pseudo-aléatoires qu'il vous proposera. Un programme de gestion de mots de passe louche pourrait renvoyer vos mots de passe aléatoires au siège de l'entreprise. C'est vraiment dans le niveau de préoccupation de la paranoïa du chapeau en papier d'aluminium. Mais si vous ne voulez vraiment pas compter sur quelqu'un d'autre pour vos mots de passe aléatoires, vous pouvez créer votre propre générateur de mots de passe aléatoires dans Excel.

Vous aimez ce que vous lisez ?

Inscrivez vous pour Veille de sécurité newsletter pour nos meilleures histoires de confidentialité et de sécurité livrées directement dans votre boîte de réception.

Cette newsletter peut contenir des publicités, des offres ou des liens d'affiliation. L'inscription à une newsletter indique votre consentement à notre Conditions d'utilisation et Politique de confidentialité. Vous pouvez vous désabonner des newsletters à tout moment.

Laisser un commentaire