Je crois me souvenir que l'on peut mesurer la "résistance" d'un mot
de passe grâce à son entropie: "myosotis" aurait une entropie faible
(voire nulle), tandis que "{j5k[OI1" aurait une entropie forte (voire
infinie?) car beaucoup plus difficile à "trouver par hasard" et jamais
par une "attaque via dictionnaire".
Je crois me souvenir que l'on peut mesurer la "résistance" d'un mot
de passe grâce à son entropie: "myosotis" aurait une entropie faible
(voire nulle), tandis que "{j5k[OI1" aurait une entropie forte (voire
infinie?) car beaucoup plus difficile à "trouver par hasard" et jamais
par une "attaque via dictionnaire".
Je crois me souvenir que l'on peut mesurer la "résistance" d'un mot
de passe grâce à son entropie: "myosotis" aurait une entropie faible
(voire nulle), tandis que "{j5k[OI1" aurait une entropie forte (voire
infinie?) car beaucoup plus difficile à "trouver par hasard" et jamais
par une "attaque via dictionnaire".
(*) Sous Linux, FreeBSD ou n'importe quel unixoïde du même tonneau,
disposant d'un PRNG nommé /dev/urandom, et d'OpenSSL, voilà un tel
générateur :
dd if=/dev/urandom bs=6 count=1 2>/dev/null | openssl base64 -a -e
(*) Sous Linux, FreeBSD ou n'importe quel unixoïde du même tonneau,
disposant d'un PRNG nommé /dev/urandom, et d'OpenSSL, voilà un tel
générateur :
dd if=/dev/urandom bs=6 count=1 2>/dev/null | openssl base64 -a -e
(*) Sous Linux, FreeBSD ou n'importe quel unixoïde du même tonneau,
disposant d'un PRNG nommé /dev/urandom, et d'OpenSSL, voilà un tel
générateur :
dd if=/dev/urandom bs=6 count=1 2>/dev/null | openssl base64 -a -e
dd if=/dev/urandom bs=6 count=1 2>/dev/null | openssl base64 -a -e
Je viens de tester.
Ça marche aussi sous MacOS X.
Est-ce que tu pourrais expliquer en quelques mots comment ça marche. Ça
me semble assez cryptique (tu me diras, c'est normal vu le forum)
dd if=/dev/urandom bs=6 count=1 2>/dev/null | openssl base64 -a -e
Je viens de tester.
Ça marche aussi sous MacOS X.
Est-ce que tu pourrais expliquer en quelques mots comment ça marche. Ça
me semble assez cryptique (tu me diras, c'est normal vu le forum)
dd if=/dev/urandom bs=6 count=1 2>/dev/null | openssl base64 -a -e
Je viens de tester.
Ça marche aussi sous MacOS X.
Est-ce que tu pourrais expliquer en quelques mots comment ça marche. Ça
me semble assez cryptique (tu me diras, c'est normal vu le forum)
Autrement dit, il est très difficile d'évaluer l'entropie d'un mot de
passe issu d'un moyen mnémotechnique. Si on prend une très longue phrase
"classique", l'attaquant pourra essayer des dictionnaires de citations
et tous les poèmes de Verlaine (pour reprendre un exemple célèbre).
Autrement dit, il est très difficile d'évaluer l'entropie d'un mot de
passe issu d'un moyen mnémotechnique. Si on prend une très longue phrase
"classique", l'attaquant pourra essayer des dictionnaires de citations
et tous les poèmes de Verlaine (pour reprendre un exemple célèbre).
Autrement dit, il est très difficile d'évaluer l'entropie d'un mot de
passe issu d'un moyen mnémotechnique. Si on prend une très longue phrase
"classique", l'attaquant pourra essayer des dictionnaires de citations
et tous les poèmes de Verlaine (pour reprendre un exemple célèbre).
Ça c'est assez normal : MacOS X, en interne, est une variation sur
FreeBSD. Ce qui marche sous FreeBSD a tendance à fonctionner sous
MacOS X.
Ça c'est assez normal : MacOS X, en interne, est une variation sur
FreeBSD. Ce qui marche sous FreeBSD a tendance à fonctionner sous
MacOS X.
Ça c'est assez normal : MacOS X, en interne, est une variation sur
FreeBSD. Ce qui marche sous FreeBSD a tendance à fonctionner sous
MacOS X.
Cependant j'avais bien précisé "en évitant les citations trop connues", que
je transforme maintenant en "en évitant les citations". C'est à dire que je
prend une phrase d'un texte quelconque, phrase que j'apprend par coeur.
L'exemple que j'ai donné avec un pass d'une longueur >> 200 caractères:
"alorslevantlatêtesedressanttoutdeboutsursesgrandsétrierstirantsalargeépée
auxéclairsmeurtriersavecunâpreaccentpleindesourdeshuéespâleeffrayant
pareilàlaigledesnuéesterrassantduregardsoncampépouvantélinvincible
empereursécrialâcheté"
est difficile à trouver, non?
Merci par avance de votre réponse (qui sont toujours extrêmement
instructives, précises et détaillées)
Cependant j'avais bien précisé "en évitant les citations trop connues", que
je transforme maintenant en "en évitant les citations". C'est à dire que je
prend une phrase d'un texte quelconque, phrase que j'apprend par coeur.
L'exemple que j'ai donné avec un pass d'une longueur >> 200 caractères:
"alorslevantlatêtesedressanttoutdeboutsursesgrandsétrierstirantsalargeépée
auxéclairsmeurtriersavecunâpreaccentpleindesourdeshuéespâleeffrayant
pareilàlaigledesnuéesterrassantduregardsoncampépouvantélinvincible
empereursécrialâcheté"
est difficile à trouver, non?
Merci par avance de votre réponse (qui sont toujours extrêmement
instructives, précises et détaillées)
Cependant j'avais bien précisé "en évitant les citations trop connues", que
je transforme maintenant en "en évitant les citations". C'est à dire que je
prend une phrase d'un texte quelconque, phrase que j'apprend par coeur.
L'exemple que j'ai donné avec un pass d'une longueur >> 200 caractères:
"alorslevantlatêtesedressanttoutdeboutsursesgrandsétrierstirantsalargeépée
auxéclairsmeurtriersavecunâpreaccentpleindesourdeshuéespâleeffrayant
pareilàlaigledesnuéesterrassantduregardsoncampépouvantélinvincible
empereursécrialâcheté"
est difficile à trouver, non?
Merci par avance de votre réponse (qui sont toujours extrêmement
instructives, précises et détaillées)
L'entropie est vraiment difficile à mesurer dans ce cas-là. Peut-être
est-elle élevée. Peut-être pas. Il n'est pas raisonnable de fonder une
politique de sécurité sur de telles incertitudes.
En revanche, si vous me dites : je prends une phrase de 200 caractères,
et sur les 200, j'en choisis 5 que je tapes en majuscule plutôt qu'en
minuscule ; alors là, je peux mesurer l'entropie, parce qu'on a quelque
chose de quantifiable : les 5 caractères sont choisis au hasard et
uniformément, je n'ai donc aucun moyen de choisir un ordre d'essais
qui augmente mes chances de succès. Il y a 2168773640 combinaisons, ce
qui est un tout petit peu plus que 2^31. Ces 5 caractères fournissent
31 bits d'entropie à eux seuls, et ces 31 bits je peux compter dessus.
C'est beaucoup mieux.
Merci par avance de votre réponse (qui sont toujours extrêmement
instructives, précises et détaillées)
Ah, de la flatterie... c'est bien, continuez.
L'entropie est vraiment difficile à mesurer dans ce cas-là. Peut-être
est-elle élevée. Peut-être pas. Il n'est pas raisonnable de fonder une
politique de sécurité sur de telles incertitudes.
En revanche, si vous me dites : je prends une phrase de 200 caractères,
et sur les 200, j'en choisis 5 que je tapes en majuscule plutôt qu'en
minuscule ; alors là, je peux mesurer l'entropie, parce qu'on a quelque
chose de quantifiable : les 5 caractères sont choisis au hasard et
uniformément, je n'ai donc aucun moyen de choisir un ordre d'essais
qui augmente mes chances de succès. Il y a 2168773640 combinaisons, ce
qui est un tout petit peu plus que 2^31. Ces 5 caractères fournissent
31 bits d'entropie à eux seuls, et ces 31 bits je peux compter dessus.
C'est beaucoup mieux.
Merci par avance de votre réponse (qui sont toujours extrêmement
instructives, précises et détaillées)
Ah, de la flatterie... c'est bien, continuez.
L'entropie est vraiment difficile à mesurer dans ce cas-là. Peut-être
est-elle élevée. Peut-être pas. Il n'est pas raisonnable de fonder une
politique de sécurité sur de telles incertitudes.
En revanche, si vous me dites : je prends une phrase de 200 caractères,
et sur les 200, j'en choisis 5 que je tapes en majuscule plutôt qu'en
minuscule ; alors là, je peux mesurer l'entropie, parce qu'on a quelque
chose de quantifiable : les 5 caractères sont choisis au hasard et
uniformément, je n'ai donc aucun moyen de choisir un ordre d'essais
qui augmente mes chances de succès. Il y a 2168773640 combinaisons, ce
qui est un tout petit peu plus que 2^31. Ces 5 caractères fournissent
31 bits d'entropie à eux seuls, et ces 31 bits je peux compter dessus.
C'est beaucoup mieux.
Merci par avance de votre réponse (qui sont toujours extrêmement
instructives, précises et détaillées)
Ah, de la flatterie... c'est bien, continuez.
Après, tout dépend du modèle d'attaque. Pour un mot de passe
protégeant l'accès à une machine Unix sur une console ou via SSH,
une entropie de 32 bits est plus que suffisante : on est dans un cas
où l'attaque est dite "en ligne", c'est-à-dire que l'attaquant doit
interroger un système (honnête par construction) pour chaque
essai. Ce système n'a qu'à limiter arbitrairement le rythme des
essais (par exemple, toujours prendre au moins un dixième de seconde
avant de répondre).
Après, tout dépend du modèle d'attaque. Pour un mot de passe
protégeant l'accès à une machine Unix sur une console ou via SSH,
une entropie de 32 bits est plus que suffisante : on est dans un cas
où l'attaque est dite "en ligne", c'est-à-dire que l'attaquant doit
interroger un système (honnête par construction) pour chaque
essai. Ce système n'a qu'à limiter arbitrairement le rythme des
essais (par exemple, toujours prendre au moins un dixième de seconde
avant de répondre).
Après, tout dépend du modèle d'attaque. Pour un mot de passe
protégeant l'accès à une machine Unix sur une console ou via SSH,
une entropie de 32 bits est plus que suffisante : on est dans un cas
où l'attaque est dite "en ligne", c'est-à-dire que l'attaquant doit
interroger un système (honnête par construction) pour chaque
essai. Ce système n'a qu'à limiter arbitrairement le rythme des
essais (par exemple, toujours prendre au moins un dixième de seconde
avant de répondre).