|
Il n’existe pas d’entropie « minimale » unique et universellement acceptée pour un mot de passe sécurisé. La sécurité est toujours un compromis entre convivialité et protection, et la « bonne » réponse dépend fortement du contexte et du modèle de menace.
Cependant, voici un aperçu des recommandations et considérations courantes :
Directives générales :
* 80 bits d'entropie constituent une base de référence largement recommandée pour une sécurité renforcée des mots de passe. C'est un bon point de départ pour la plupart des applications et services. Pourquoi? Parce que cela rend le forçage brutal du mot de passe extrêmement coûteux pour la plupart des attaquants.
* Au moins 11 caractères avec un fort caractère aléatoire : Cela se traduit souvent par environ 50 bits d'entropie en utilisant un générateur de mot de passe fort avec un grand jeu de caractères (majuscules, minuscules, chiffres, symboles). Bien que ce soit mieux que rien, de nombreux experts en sécurité considèrent que ce système est à peine adéquat et pourrait être vulnérable à des attaques plus sophistiquées, en particulier si le processus de création de mot de passe est défectueux ou si les utilisateurs font des choix prévisibles.
Facteurs affectant les exigences entropie :
* La valeur des données protégées : Si vous protégez des informations très sensibles (par exemple, des comptes bancaires, des secrets gouvernementaux), vous aurez besoin d'une entropie nettement plus élevée. Pensez à 100 bits ou plus.
* Les ressources de l'attaquant : Les acteurs étatiques ou les grandes organisations criminelles disposent des ressources nécessaires pour déchiffrer des mots de passe qui seraient considérés comme « forts » pour les utilisateurs moyens.
* L'algorithme de hachage utilisé : Un algorithme de hachage moderne et puissant (comme Argon2, bcrypt ou scrypt) est crucial. Si vous utilisez un algorithme plus ancien et plus faible (comme MD5 ou SHA1), même les mots de passe à entropie élevée peuvent être vulnérables. L’algorithme de hachage augmente le coût d’une attaque, ce qui en fait une couche de défense vitale.
* Sel : Un sel unique généré aléatoirement doit *toujours* être utilisé lors du hachage des mots de passe. Les sels empêchent les attaquants d'utiliser des tables précalculées de hachages de mots de passe (tables arc-en-ciel).
* Exigences en matière de complexité du mot de passe : Bien que les exigences de complexité (par exemple « doit contenir une lettre majuscule, un chiffre et un symbole ») soient souvent mises en œuvre, elles peuvent se retourner contre vous. Les utilisateurs ont tendance à créer des mots de passe prévisibles qui répondent aux exigences, ce qui *réduit* en fait l'entropie. Il vaut mieux encourager la *longueur* et le *aléatoire*.
* Réutilisation du mot de passe : La réutilisation des mots de passe sur plusieurs sites constitue un risque de sécurité *majeur*. Si un service est compromis, tous les comptes utilisant le même mot de passe deviennent vulnérables.
* Gestionnaires de mots de passe : Il est fortement recommandé d'utiliser un gestionnaire de mots de passe réputé pour générer et stocker des mots de passe forts et uniques pour chaque site. Les gestionnaires de mots de passe peuvent facilement créer et gérer des mots de passe avec 128 bits d'entropie ou plus.
* Authentification multifacteur (MFA) : L'activation de MFA ajoute une deuxième couche de sécurité, même si le mot de passe est faible ou compromis. Cela augmente considérablement la difficulté pour un attaquant.
Estimation de l'entropie :
L'entropie est généralement mesurée en *bits*. Chaque bit représente une réduction de 50 % de l'incertitude. Plus l’entropie est élevée, plus il est difficile de deviner ou de déchiffrer le mot de passe.
* Taille du jeu de caractères : Le nombre de caractères possibles que vous pouvez utiliser dans votre mot de passe (majuscules, minuscules, chiffres, symboles).
* Longueur du mot de passe : Le nombre de caractères de votre mot de passe.
La formule pour approximer l’entropie est :
`Entropie (bits) ≈ Longueur * log2 (taille du jeu de caractères)`
`log2(x)` est le logarithme base 2 de `x`. Vous pouvez l'approcher avec `log10(x) / log10(2) ≈ log10(x) / 0.301`.
Exemple :
Disons que vous disposez d'un mot de passe de 12 caractères et utilise des lettres majuscules, des lettres minuscules, des chiffres et des symboles courants (environ 95 caractères au total).
* Longueur =12
* Taille du jeu de caractères =95
Entropie ≈ 12 * log2(95) ≈ 12 * (log10(95) / 0,301) ≈ 12 * (1,978 / 0,301) ≈ 12 * 6,57 ≈ 78,84 bits
Recommandations :
* Visez au moins 80 bits d'entropie. Il s'agit d'un bon équilibre entre sécurité et convivialité pour de nombreuses applications.
* Donner la priorité à la longueur du mot de passe plutôt qu'aux exigences de complexité. Un mot de passe long et aléatoire est beaucoup plus difficile à déchiffrer qu’un mot de passe court et complexe.
* Utilisez un algorithme de hachage de mot de passe fort avec un sel unique.
* Activez l'authentification multifacteur autant que possible.
* Encourager (voire imposer) l'utilisation de gestionnaires de mots de passe.
* Examinez et mettez régulièrement à jour les politiques relatives aux mots de passe.
* Éduquer les utilisateurs sur les meilleures pratiques en matière de sécurité des mots de passe.
En résumé, 80 bits est un bon point de départ, mais l'entropie minimale idéale dépend du contexte spécifique. Tenez toujours compte de la valeur des données protégées, des attaquants potentiels et des mesures de sécurité disponibles.
|
