Phrase secrète

Un article de Wikipédia, l'encyclopédie libre.
Sauter à la navigation Sauter à la recherche

Le terme de phrase secrète ou phrase de passe (en anglais, passphrase) désigne un mot de passe d'un nombre important de caractères. On parle de phrase de passe plutôt que de mot de passe parce que la phrase de passe contient souvent des suites de mots qui ressemblent parfois à une phrase pour des raisons mnémotechniques.

Les mots de passe couramment utilisés sont souvent sans espaces et d'une longueur maximale de 8 à 10 caractères. Cependant, dans certains domaines, en particulier en cryptographie, le niveau de sécurité requis exige des mots de passe beaucoup plus longs. On pense que le concept moderne de phrase secrète a été inventé par Sigmund N. Porter[1] en 1982.

Cet article étant partiellement traduit de la version anglaise de Wikipédia, des exemples utilisés proviennent de la langue anglaise. Toutefois, les concepts et statistiques présentés sont aussi valables pour le français ou pour toutes autres langues.

Sécurité[modifier | modifier le code]

Article détaillé : Robustesse d'un mot de passe.

Une phrase secrète d'une vingtaine de caractères peut donner un faux sentiment de sécurité à un utilisateur qui peut penser qu'une phrase secrète de 20 caractères est beaucoup plus sécuritaire qu'un mot de passe de 8 caractères. En effet, l'entropie d'un texte en anglais étant de 1 à 2 bits par caractère[2], certaines phrases secrètes peuvent être relativement peu robustes. Le National Institute of Standards and Technology (NIST) a estimé que la phrase secrète de 23 caractères IamtheCapitanofthePina4 a une entropie de seulement 45 bits[3]. (Notez que ce calcul ne tient pas compte du fait que cette phrase est une citation bien connue tirée de l'opérette HMS Pinafore. Un hachage MD5 de cette phrase secrète peut être déchiffré en 4 secondes à l'aide du site de cassage de mot de passe crackstation.net, indiquant que la phrase se trouve dans sa base de données de cassage de mot de passe.)

Assumant une entropie équivalente par caractère, pour atteindre une entropie de 80 bits telle que recommandée par le National Institute of Standards and Technology (NIST) pour une sécurité commerciale élevée (non militaire), il faudrait une phrase secrète d'une quarantaine de caractères.

Si des parties de mots, des mots ou des groupes de mots d'une phrase secrète peuvent être trouvés dans un dictionnaire, en particulier un dictionnaire numérique, la phrase secrète est plus vulnérable aux attaques par dictionnaire. C'est particulièrement le cas si la phrase entière se trouve dans un dictionnaire de citations ou de compilations de phrases. Par contre, l'effort requis (en temps et en coût) pour casser une phrase secrète peut être augmenté de façon considérable s'il y a suffisamment de mots dans la phrase et si les mots sont choisis de façon aléatoire. Le nombre de combinaisons qui devraient alors être testées rend une attaque par dictionnaire si longue qu’elle est infaisable. L'inclusion d'au moins un mot qui ne peut être trouvé dans un dictionnaire augmente considérablement la force d'une phrase secrète.

Lorsque les mots d'une phrase secrète sont choisis par un humain, ils sont rarement choisis de façon aléatoire et les mots choisis sont souvent ceux qui sont fréquemment utilisés dans le langage courant. Dans le cas de phrases de quatre mots, l'entropie réelle dépasse rarement 30 bits. D'autre part, les mots de passe sélectionnés par un humain ont tendance à être beaucoup plus faibles. Conséquemment, inciter les utilisateurs à utiliser des phrases secrètes de 2 mots peut permettre d'augmenter l'entropie de moins de 10 bits à plus de 20 bits[4].

Sélection d'une phrase secrète[modifier | modifier le code]

Les recommandations usuelles sur le choix d'une phrase secrète sont[5] :

  • doit être assez longue pour être difficile à deviner ;
  • n'est pas une citation célèbre de la littérature, des livres saints, d'un film, d'une chanson, etc. ;
  • est difficile à deviner, même par quelqu'un qui connaît bien l'utilisateur ;
  • est facile à retenir et à taper avec précision ;
  • n'est pas réutilisée sur d'autres sites, d'autres applications ou d'autres objets à protéger.

L'utilisation de codage (par exemple, remplacer les lettres l par des chiffres 1 ou les lettres o par des chiffres 0) augmente la sécurité d'une phrase secrète.

Exemples de phrase secrète robuste[modifier | modifier le code]

Une phrase secrète offrant un niveau de sécurité élevé est un ensemble de mots, préférablement dénué de sens, mais qu'il est possible de retenir de façon mnémotechnique, regroupant des lettres et des chiffres. Voici quelques exemples de construction de telles phrases.

Avec le leet speak[modifier | modifier le code]

On peut obtenir une phrase secrète robuste en remplaçant certaines lettres d'une phrase par des chiffres en utilisant le leet speak. Par exemple, « This is my leet secret passphrase » devient « T4is is mai 733t s3kkrit p4ssphr4se »[6].

Avec la méthode diceware[modifier | modifier le code]

Une méthode pour créer une phrase secrète forte consiste à utiliser des dés pour sélectionner des mots au hasard dans une longue liste, technique souvent appelée diceware. Bien qu'une telle méthode semble violer la règle du « ne provenant pas d'un dictionnaire », la sécurité de la méthode repose sur le grand nombre de mots dans la liste de mots et non sur le secret qui entoure les mots eux-mêmes. Par exemple, s'il y a 7776 mots dans la liste et que six mots sont choisis de manière aléatoire, il y a 77766 = 221073919720733357899776 combinaisons, fournissant environ 78 bits d'entropie. (Le nombre 7776 a été choisi pour permettre la sélection de mots en lançant cinq dés, 7776 = 65) Les séquences de mots aléatoires peuvent ensuite être mémorisées à l'aide de techniques telles que la méthode des loci.

Utilisation de deux phrases imbriquées[modifier | modifier le code]

Cette méthode consiste à choisir deux phrases, à transformer l'une en un sigle et à l'inclure dans la seconde pour former la phrase secrète finale. Par exemple, en utilisant deux exercices de dactylographie en anglais, nous avons ce qui suit. The quick brown fox jumps over the lazy dog, devient tqbfjotld. En incluant ce sigle dans Now is the time for all good men to come to the aid of their country, on obtient la phrase secrète Now is the time for all good men tqbfjotld to come to the aid of their country.

Il convient de noter ici plusieurs points, tous liés aux raisons pour lesquelles la phrase secrète précédente ne doit pas être utilisée :

  • la phrase apparaît dans Wikipédia, qui est un document public ; elle ne devrait donc pas être utilisée ;
  • la phrase est longue, ce qui est une vertu en théorie, mais pour cette raison, elle nécessite une bonne dactylographe, car les erreurs de frappe sont beaucoup plus probables pour les phrases longues ;
  • les pirates et les organisations qui tentent de casser les phrases secrètes ont compilé des listes de phrases populaires dérivées des citations les plus courantes, des paroles de chansons, etc., et utilisent ces phrases dans leurs logiciels de cassage de phrases secrètes.

Plutôt que d'utiliser une phrase tirée d'une oeuvre, quelle qu'elle soit, il est de beaucoup préférable de créer sa propre phrase secrète en utilisant une des techniques décrites dans cette section.

Notes et références[modifier | modifier le code]

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Passphrase » (voir la liste des auteurs).
  1. Sigmund N. Porter. "A password extension for improved human factors". Computers and Security, 1(1):54-56, January 1982.
  2. Matt Mahoney, « Refining the Estimated Entropy of English by Shannon Game Simulation », Florida Institute of Technology (consulté le 27 mars 2008)
  3. « Electronic Authentication Guideline » [PDF], NIST (consulté le 26 septembre 2016)
  4. Joseph Bonneau, Ekaterina Shutova, Linguistic properties of multi-word passphrases, University of Cambridge
  5. Leigh Lundin, « PINs and Passwords, Part 2 », Passwords, Orlando, SleuthSayers,
  6. Exemple donné dans Linux en action, Carla Schroder, O'Reilly Media, Inc., 2005

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]