Comment bien choisir un mot de passe ?

Comment choisir mathématiquement un bon mot de passe ?

J'ai réalisé des statistiques empiriques par simulation informatique avec le langage Perl, concernant la divination de mots de passe : les résultats sont instructifs.

  • Il ne faut jamais utiliser un des mots courants du dictionnaire pour choisir un mot de passe car ça prend seulement 0,8 milliseconde pour le cryptanalyser avec un ordinateur de bureau (pour un dictionnaire de 35000 mots au total)... 
  • Avec une combinaison de 6 lettres alphabétiques minuscules OU majuscules (le ET est exclu ici), ça prend moins de 8 minutes pour le découvrir.
  • Ne jamais non plus utiliser une série de chiffres comme mot de passe, comme pour les mots communs du dictionnaire, car c'est équivalent à donner sciemment votre password à des inconnus !


Changer de méthode pour une méthode plus sûre

  • Meilleure méthode de choix de mot de passe pour se sentir tranquille contre un ordinateur cryptanalyseur : les caractères aléatoires alphanumériques étendus (minuscules + majuscules + chiffres de 0 à 9, soit 62 puissance caractères comme nombre total de combinaisons).
  • Un password de 9 caractères composés aléatoirement de chiffres, de majuscules et de minuscules, c'est être tranquille en théorie pendant 883 années environ, contre 1 ordinateur agresseur tenace. 
  • Ne jamais stocker votre password dans la mémoire de votre ordinateur : mettez-le dans un lieu sûr (pas caché sous le clavier, évidemment). Meilleure planque : votre cerveau ; mémorisez votre mot de passe, même s'il est compliqué et aléatoire.


Hypothèse paranoïaque

Mais comment se protéger contre 2 millions d'ordinateurs zombies qui vous prennent pour cible pour deviner votre mot de passe (hypothèse la plus paranoïaque) ?

  • Contre un seul ordinateur assaillant, une chaîne aléatoire de 9 caractères composés de minuscules + majuscules + chiffres dure environ 883 ans, mais contre un botnet de 2 millions de zombies, le délai est écourté à moins de 4 heures ! 
  • Mieux vaut choisir une chaîne de 13 caractères de min/maj/chiffres (200 mille milliards de milliards de combinaisons à tester) : on est tranquille pour plus de 18 milliards d'années contre un ordi de bureau ordinaire, et tranquille pour plus de 9000 ans contre 2 millions d'ordinateurs zombies...
  • Prendre cependant en compte que chaque ordinateur de bureau commercialisé double de puissance tous les 18 mois, mais la loi de Moore a ses limites liées à la taille des atomes concernant la miniaturisation des composants électroniques. Depuis 2004, la loi de Moore tend à stagner à cause des effets parasites quantiques et de la radioactivité naturelle alpha.


L'utilité des mathématiques

Les maths sont utiles : elles peuvent, comme ici, protéger vos données et votre vie privée. 

  • Pour utiliser un bon mot de passe en bureautique et sur Internet, oubliez immédiatement les mots classiques du dictionnaire, les phrases courtes, les nombres (trop faciles à deviner) et les combinaisons chiffres/lettres trop évidentes à trouver...

Rappel à propos de la réalité quotidienne

Les gens viennent pleurer après avoir été piratés, mais c'est de leur faute !

Rappel :

  • 75% (donc 3/4) des mots de passe utilisés sont trop simples, voir en détail ci-dessous :
  • 55% des mots de passe utilisés sont des chiffres consécutifs faciles à deviner, comme "1234" et "123456".
  • 12,5% des mots de passe utilisés sont des chaînes analogues ou identiques à la chaîne "qwerty" ou "azerty".
  • 7,5% des mots de passe utilisés sont des mots simples du dictionnaire, comme "dragon" ou "singe".

Les gens n'ont vraiment pas d'imagination (et pas de mémoire non plus)... La paresse et/ou l'ignorance est la cause de malheurs : choisir des mots simples causent des maux compliqués, voila.   ;)



© 2017-2018 Philip Tchelovek - Tous droits réservés

  • Est définie comme contrefaçon toute reproduction, représentation ou diffusion, par quelque moyen que ce soit, d'une œuvre de l'esprit en violation des droits de l'auteur, tels qu'ils sont définis et réglementés par la loi (Code de la Propriété Intellectuelle, art. L. 335-3). La violation des droits d’auteurs est constitutive du délit de contrefaçon puni d’une peine de 300 000 euros d’amende et de 3 ans d’emprisonnement (CPI, art. L. 335-2 s.).


Philip Tchelovek

Blogueur scientifique. Présent sur Skõp depuis le 19/03/2016. Articles sous copyright, mais vous pouvez partager les URL librement.

Rejoignez Skōp, c'est gratuit!

Le magazine collaboratif qui vous paye pour écrire, voter & partager.

  • Aucune publicité pour les donateurs
  • Auteurs rémunérés par les dons des lecteurs
  • Contenu exclusif et personnalisé
  • Publication facile de tous vos écrits