Loading AI tools
De Wikipédia, l'encyclopédie libre
Une phrase secrète ou phrase de passe[1] (en anglais : passphrase) est un mot de passe d'un nombre important de caractères. On parle de phrase de passe plutôt que de mot de passe parce que la phrase de passe contient souvent des suites de mots qui ressemblent parfois à une phrase pour des raisons mnémotechniques.
Les mots de passe couramment utilisés sont souvent sans espaces et d'une longueur maximale de 8 à 10 caractères. Cependant, dans certains domaines, en particulier en cryptographie, le niveau de sécurité requis exige des mots de passe beaucoup plus longs. On pense que le concept moderne de phrase secrète a été inventé par Sigmund N. Porter[2] en 1982.
Une phrase secrète d'une vingtaine de caractères peut donner un faux sentiment de sécurité à un utilisateur qui peut penser qu'une phrase secrète de 20 caractères est beaucoup plus sécuritaire qu'un mot de passe de 8 caractères. En effet, l'entropie d'un texte en anglais étant de 1 à 2 bits par caractère[3], certaines phrases secrètes peuvent être relativement peu robustes. Le National Institute of Standards and Technology (NIST) a estimé que la phrase secrète de 23 caractères IamtheCapitanofthePina4 a une entropie de seulement 45 bits[4] (remarquons que ce calcul ne tient pas compte du fait que cette phrase est une citation bien connue tirée de l'opérette HMS Pinafore. Un hachage MD5 de cette phrase secrète peut être déchiffré en quatre secondes à l'aide du site de cassage de mot de passe crackstation.net, indiquant que la phrase se trouve dans sa base de données de cassage de mot de passe).
Supposant une entropie équivalente par caractère, pour atteindre une entropie de 80 bits telle que recommandée par le National Institute of Standards and Technology (NIST) pour une sécurité commerciale élevée (non militaire), il faudrait une phrase secrète d'une quarantaine de caractères.
Si des parties de mots, des mots ou des groupes de mots d'une phrase secrète peuvent être trouvés dans un dictionnaire, en particulier un dictionnaire numérique, la phrase secrète est plus vulnérable aux attaques par dictionnaire. C'est particulièrement le cas si la phrase entière se trouve dans un dictionnaire de citations ou de compilations de phrases. Par contre, l'effort requis (en temps et en coût) pour casser une phrase secrète peut être augmenté de façon considérable s'il y a suffisamment de mots dans la phrase et si les mots sont choisis de façon aléatoire. Le nombre de combinaisons qui devraient alors être testées rend une attaque par dictionnaire si longue qu’elle est infaisable. L'inclusion d'au moins un mot qui ne peut être trouvé dans un dictionnaire augmente considérablement la force d'une phrase secrète.
Lorsque les mots d'une phrase secrète sont choisis par un humain, ils sont rarement choisis de façon aléatoire et les mots choisis sont souvent ceux qui sont fréquemment utilisés dans le langage courant. Dans le cas de phrases de quatre mots, l'entropie réelle dépasse rarement 30 bits. D'autre part, les mots de passe sélectionnés par un humain ont tendance à être beaucoup plus faibles. Conséquemment, inciter les utilisateurs à utiliser des phrases secrètes de deux mots peut permettre d'augmenter l'entropie de moins de 10 bits à plus de 20 bits[5].
Les recommandations usuelles sur le choix d'une phrase secrète sont[6] :
L'utilisation de codage (par exemple, remplacer les lettres l par des chiffres 1 ou les lettres o par des chiffres 0) augmente la sécurité d'une phrase secrète.
Une phrase secrète offrant un niveau de sécurité élevé est un ensemble de mots, préférablement dénué de sens, mais qu'il est possible de retenir de façon mnémotechnique, regroupant des lettres et des chiffres. Voici quelques exemples de construction de telles phrases.
On peut obtenir une phrase secrète robuste en remplaçant certaines lettres d'une phrase par des chiffres en utilisant le leet speak. Par exemple, « Ceci est ma phrase de passe » devient « C3ci 3st m4 phr4s3 d3 p4ss3 ».
Une méthode pour créer une phrase secrète forte consiste à utiliser des dés pour sélectionner des mots au hasard dans une longue liste, technique appelée méthode du lancer de dés, ou diceware. Bien qu'une telle méthode semble violer la règle du « ne provenant pas d'un dictionnaire », la sécurité de la méthode repose sur le grand nombre de mots dans la liste de mots et non sur le secret qui entoure les mots eux-mêmes. Par exemple, s'il y a 7 776 mots dans la liste et que six mots sont choisis de manière aléatoire, il y a 7 7766 = 221 073 919 720 733 357 899 776 combinaisons, fournissant environ 78 bits d'entropie (Le nombre 7 776 a été choisi pour permettre la sélection de mots en lançant cinq dés, 7 776 = 65). Les séquences de mots aléatoires peuvent ensuite être mémorisées à l'aide de techniques telles que la méthode des loci.
Cette méthode consiste à choisir deux phrases, à transformer l'une en un sigle et à l'inclure dans la seconde pour former la phrase secrète finale. Par exemple, en utilisant deux exercices de dactylographie en français, nous avons ce qui suit : « Portez ce whisky au vieux juge blond qui fume », devient pcwavjbqf. En incluant ce sigle dans « Il est temps pour les hommes de venir aider leur patrie », on obtient la phrase secrète « Il est temps pour les hommes pcwavjbqf de venir aider leur patrie ».
Il convient de noter ici plusieurs points, tous liés aux raisons pour lesquelles la phrase secrète précédente ne doit pas être utilisée :
Plutôt que d'utiliser une phrase tirée d'une œuvre, quelle qu'elle soit, il est de beaucoup préférable de créer sa propre phrase secrète en utilisant une des techniques décrites dans cette section.
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.