Qu'est-ce que l'entropie
L'entropie exprime le nombre de mots de passe possibles sur une échelle logarithmique en base 2 (bits). Par exemple, 40 bits représentent environ mille milliards de possibilités, et 60 bits environ un milliard de milliards.
L'entropie se calcule approximativement par « longueur × log2(taille du vivier de caractères) ». Allonger le mot de passe est le moyen le plus sûr d'augmenter l'entropie.
Force brute ou attaque par dictionnaire
La force brute consiste à essayer une à une toutes les combinaisons possibles : plus l'entropie est élevée, plus cela prend un temps irréaliste.
L'attaque par dictionnaire essaie d'abord les mots de passe courants, les mots et les listes issues de fuites. C'est pourquoi, même très long, un mot ou un motif courant est cassé en un instant. D'où l'importance du caractère aléatoire.
Hachage et fuites
Un site bien conçu stocke les mots de passe non pas en clair, mais sous forme de hachage. Mais en cas de fuite des données, un attaquant peut tenter hors ligne des milliards de suppositions par seconde.
Dans ce cas, un mot de passe long et aléatoire rend le coût du cassage insupportable et reste donc pratiquement sûr.
Quel niveau de robustesse
Voici des repères pratiques.
- Moins de 28 bits : très faible (cassé instantanément)
- 40 à 60 bits : correct (comptes sans importance)
- 60 à 100 bits : robuste (suffisant pour la plupart des comptes)
- Plus de 100 bits : très robuste (sécurité à long terme)