Entropie d’un mot de passe : quelle force a votre mot de passe ?

La force d’un mot de passe n’a rien d’une appréciation personnelle. Elle correspond à une probabilité mathématique : quelle est la probabilité que ce mot de passe puisse être deviné ?

L’entropie d’un mot de passe correspond aux nombres de symboles possibles pour votre mot de passe élevé à la puissance du nombre de caractères composant le mot de passe.

Soit entropie = nombre de caractères possibles^nombres de caractères dans le mot de passe

Entropie théorique vs entropie réelle.

Le calcul de l’entropie selon la méthode évoquée plus haut serait donc le moyen de connaître mathématiquement la force d’un mot de passe. Cependant l’esprit aiguisé pourrait critiquer avec raison cette méthode. En effet, partant de ce principe on constate que les mots de passe “123456” et “386431” ont la même entropie. En effet on a bien :

123456 : 10^6 = 1 000 000 de possibilités

386431 : 10^6 = 1 000 000 de possibilités car dans les deux cas on a bien 10 chiffres possibles élevée à la puissance de six caractères.

Donc en suivant ce raisonnement on devrait conclure que les mots de passe 123456 et 386431 ont la même force, ils sont aussi sécurisés l’un que l’autre.  Ceci est complètement faux tout simplement car le mot de passe la première combinaison de chiffres est bien plus utilisée que la seconde. (Statistiquement les suites de chiffres de type “123456” restent aujourd’hui encore les mots de passes les plus courants).

 

C’est pour cela que plutôt que de raisonner en caractères on préfère raisonner en symboles. Les symboles sont un ensemble plus large englobant les caractères (i.e. les lettres de l’alphabet latin les chiffres les caractères spéciaux etc.) mais ne se limitant pas à ces derniers. On considère en effet qu’un symbole est au sens large tout ce qui constitue une combinaison “logique” ou “naturelle” de caractères. On peut ainsi ajouter à cette liste l’ensemble des mots du dictionnaire (“mot”, “de”, “passe”, “maman”, “balançoire” etc.) ou les dates (“1945”, “1984”, etc.). Ainsi on prend en compte le fait que certains caractères se retrouvent plus naturellement associés ensemble.

(Pour être plus clair dans le mot de passe “chat” on préfère considérer qu’il y a un symbole-mot plutôt que 4 symboles caractères).

Ainsi recalculons l’entropie de nos deux mots de passe “motdepasse” et “gjhecjeynci”, qui ont toujours 10 caractères chacun. La première chose dont on se rend compte une fois intégré le fait que symbole ≠ caractères c’est que l’on ne peut plus calculer leurs deux entropies de la même manière.

motdepasse

Ici on a affaire à une combinaison de trois mots de la langue française donc avec notre nouveau postulat cela nous donnerait

mot de passe :

nombre de symboles possibles = 100 026 (soit l’ensemble des mots de la langue française – environ 100 000 mots pour les versions du dictionnaire les plus fournies + 26 lettres de l’alphabet)

nombre de symboles = 3 car on considère qu’il y a 3 symboles (correspondant à trois mots) plutôt que 10 symboles correspondant à 10 caractères.

D’où entropie du mot de passe = 100 026^3 = 1,000780203×10¹⁵ = 1 000 780 203 000 000 possibilités

gjhecjeynci =nombre de symboles possibles = 100 026 (même si apparemment ce ne sont que des lettres tapées “aléatoirement” dans ce mot de passe on considère que parmi les symboles possibles il y a aussi les mots qui auraient pu être choisis pour composer ce mot de passe).

nombres de symboles = 10 (car ce sont 10 caractères qui ne forment pas à priori de combinaison pouvant donner un symbole)

100 026^10 = 1,002603044×10⁵⁰ 

De 27 touches à 100 000 …

Maintenant que l’on a intégré le fait qu’un symbole ≠ un caractère on peut alors prendre conscience que construire un mot de passe fort peut ne pas être aussi compliqué qu’il n’y paraît…

En effet puisque qu’un mot de passe n’est pas composé de que de caractères mais surtout de symboles qu’est ce qui nous empêche de changer d’alphabet ?

Je m’explique plutôt que de miser sur l’entropie certes solide d’une série de lettres aléatoires qu’est ce qui nous empêche de miser sur l’entropie d’une série de mots placés les uns à la suite des autres de manière aléatoire ?

Retenir un mot de passe composé d’une suite de lettres aléatoires est presque impossible. On peut donc choisir un alphabet facile à retenir pour composer nos mots de passes.

Si on résume la situation on sait d’un côté que le meilleur moyen d’avoir un mot de passe solide c’est de générer la série de symboles qui la composent de manière aléatoire…

On sait de l’autre que retenir un mot de passe composé de caractères est presque impossible.

Article écrit par Adrien DUMONT

Répondre