web-dev-qa-db-fra.com

Comment puis-je créer un mot de passe fort et facile à retenir? La méthode 4 Word est-elle sûre?

J'ai entendu parler de la méthode d'utilisation de 4 mots aléatoires du dictionnaire, cela vous donne beaucoup de caractères et est facile à retenir.

Mais cela semble être ouvert aux attaques de dictionnaire, surtout si l'attaquant a également entendu parler de la méthode, et aux attaques par force brute de combinaisons de 4 mots de dictionnaire.

Y a-t-il trop de combinaisons de 4 mots du dictionnaire pour qu'il soit toujours sûr?

J'ai remarqué que Veracrypt déclare spécifiquement de ne pas utiliser de mots du dictionnaire ou des combinaisons de 2, 3, 4 de ces mots.

Donc, si ce n'est pas sûr, existe-t-il une méthode sûre qui me permette encore de me souvenir du mot de passe? Une combinaison de 8 mots du dictionnaire fonctionnerait-elle?

40
Lichtbringer

Le principal problème avec les mots de passe n'est pas la complexité des mots de passe, mais la réutilisation des mots de passe ( xkcd obligatoire ). Un service fuit les identifiants et les mots de passe, soudainement, de nombreux fournisseurs voient une augmentation des détournements de compte. Pourquoi? Parce que nous, les humains, ne pouvons pas nous souvenir de dizaines de mots de passe différents, nous créons donc un mot de passe pour les services communs et un pour les services spéciaux. Mais la plupart d'entre nous n'auront qu'un seul mot de passe.

Ne créez pas vos propres mots de passe, utilisez un gestionnaire de mots de passe. Ils peuvent créer des mots de passe très complexes, un pour chaque service, avoir des plugins et des extensions pour les principaux navigateurs, avoir un cryptage fort, une sauvegarde dans le cloud, une synchronisation multi-appareils, etc. Ne faites pas confiance à votre cerveau pour créer différents mots de passe aléatoires pour chaque service.

L'utilisation d'un gestionnaire de mots de passe signifie que vous n'aurez besoin de connaître qu'un seul mot de passe - le maître. Ce mot de passe peut être écrit et conservé sur votre portefeuille. Tous les autres seront créés par le gestionnaire et peuvent contenir 128 caractères, 10 chiffres, 30 caractères spéciaux, dont ĥaŕd-tö-tỹpẽ ceux ...

68
ThoriumBR

Prenez la réponse de Thorium au sérieux. Cependant, j'ai pensé que je pourrais aussi bien essayer de répondre à votre question réelle.

Vous entendrez cela tout le temps sur un panneau de sécurité comme celui-ci, mais je le dirai quand même: la réponse dépend toujours de votre vecteur de menace anticipé. Je vais me concentrer sur les attaques par force brute de personnes qui ne vous ciblent pas spécifiquement (car cela semble être votre principale préoccupation), mais la situation est très différente si quelqu'un vous cible spécifiquement. Restons simples cependant.

Attaque par force brute hors ligne non ciblée

Une grande raison des mots de passe à haute entropie est de vaincre les attaques par force brute hors ligne. De toute évidence, les attaques par force brute hors ligne sont extrêmement faciles si le service piraté utilise des mots de passe en texte brut (ce qui est une raison très importante pour laquelle vous ne devez jamais réutiliser les mots de passe entre les sites). Cependant, que se passe-t-il si votre mot de passe se retrouve dans un vidage d'un service qui utilise MD5 pour les mots de passe? Il existe des plates-formes qui peuvent tester des centaines de milliards de mots de passe par seconde contre MD5. La meilleure défense contre une telle attaque est simplement la longueur du mot de passe et vous assurer que votre mot de passe ne figure pas dans une liste de mots de passe ou une simple variante des schémas de mot de passe courants que les gens utilisent.

Même avec une force brute hors ligne contre une liste de mots de passe MD5, un attaquant ne va pas simplement rechercher de manière exhaustive l'espace des mots de passe. Ils commenceront par télécharger des listes de mots de passe précédemment piratés et essayer tous ceux-ci. Ensuite, ils prendront une liste des schémas de génération de mots de passe les plus couramment utilisés et les essayeront. La phrase de génération "combinaison de mots du dictionnaire" est suffisamment courante pour qu'ils puissent même essayer cela. Si oui, la question est de savoir combien de temps pouvez-vous tenir le coup? Cela dépend du nombre de mots que vous avez et du nombre de mots dans votre liste. Il y a 7776 mots dans la liste des dés, alors utilisons-le. Cela signifie qu'une phrase de passe de 4 mots a environ 3,66e15 combinaisons de mots de passe différentes qu'elle peut créer. À un taux de 200 milliards de mots de passe par seconde (une plate-forme de hachage haut de gamme), il faudra 5 heures pour rechercher cet espace de mot de passe. Voici le temps de recherche en fonction du nombre de mots dans votre mot de passe:

  • 4 mots: 5 heures
  • 5 mots: 4,5 ans
  • 6 mots: 35 000 ans
  • 7 mots: 270 millions d'années
  • 8 mots: 2 trillions d'années

Bien sûr, MD5 est terrible. Si votre mot de passe a été divulgué à partir d'un système qui utilise des méthodes de hachage plus modernes, même un mot de passe de 4 mots sera effectivement non craquable. Cependant, il est préférable de supposer le pire et, pour les services importants, de supposer que la personne à l'autre bout utilise la pire sécurité possible et de choisir en conséquence (c'est-à-dire en supposant des mots de passe en texte brut ou MD5). Il existe de nombreux systèmes qui utilisent encore MD5 pour les mots de passe.

Les inconnues

Il existe cependant de nombreuses inconnues, ce qui rend la réponse difficile. Nous avons supposé qu'un attaquant a tenté de forcer un mot de passe de type diceware et utilise la même liste de mots de passe que vous avez utilisée. Ce sont beaucoup d'hypothèses, et un pirate pourrait ne pas déranger ou ne pas avoir votre liste de mots. Et si ce n'est pas le cas, essayez plutôt une recherche exhaustive? En supposant une longueur de mot moyenne de 5 caractères, un mot de passe de dés de 4 mots fait 20 caractères. Ils font une recherche exhaustive donc doivent vérifier toutes les lettres et tous les chiffres même si vous n'avez que des lettres minuscules (nous serons gentils et ignorerons les caractères spéciaux). Maintenant, il y a 7e35 combinaisons de mots de passe à essayer (s'ils veulent rechercher tous les mots de passe jusqu'à 20 caractères), ou 1e17 ans de calcul avec une plate-forme de hachage de premier ordre avant de rechercher de manière exhaustive l'espace de mot de passe nécessaire. En d'autres termes, il n'y a absolument aucune chance que votre mot de passe soit fissuré. De toute évidence, personne ne prendrait la peine d'essayer cela. C'est à cela que cela revient vraiment. La plupart des gens qui essaient juste de déchiffrer autant de mots de passe que possible vont d'abord essayer les réponses évidentes. Passé un certain niveau de complexité, il y a une certaine sécurité dans le simple fait que vous n'êtes plus le fruit bas. Bien sûr, si quelqu'un vous cible spécifiquement, tous les paris sont désactivés ( n autre xkcd obligatoire ).

Pourtant, j'opterais probablement pour 6 mots ou plus. De plus, ne le réutilisez nulle part.

Concernant les gestionnaires de chiffrement de disque/mot de passe

Dans un commentaire, vous mentionnez que votre intérêt peut être principalement de sélectionner un mot de passe principal pour un gestionnaire de mots de passe ou un mot de passe pour le chiffrement de disque. Il s'agit d'un cas d'utilisation légèrement différent. Les algorithmes de hachage de mot de passe modernes sont conçus pour être lents et donc difficiles à utiliser par force brute. Cependant, les algorithmes de chiffrement fonctionnent un peu différemment et la "lenteur" n'est pas aussi importante pour le chiffrement que pour le hachage de mot de passe (dans une certaine mesure, trop de lenteur est même une mauvaise chose). Le degré de "force" de la force brute d'une clé de chiffrement varie énormément en fonction des détails exacts de la méthode de chiffrement (donc je ne peux pas vraiment deviner à quoi cela ressemblerait dans la pratique), mais la comparaison avec quelque chose comme MD5 pourrait ne pas être un mauvais point de référence.

Une différence importante (h/t Michael Kjörling) est qu'avec le chiffrement de disque local ou le gestionnaire de mots de passe, vous pouvez contrôler le facteur de coût pour le processus de génération de clés. Dans ce cas, vous pouvez augmenter la "dureté", réduire la longueur de votre mot de passe et trouver votre propre compromis acceptable entre la sécurité, la facilité de mémoire et "combien de temps je dois attendre que cette chose s'ouvre" (c'est-à-dire la facilité d'utilisation).

28
Conor Mancone

Même si vous utilisez un gestionnaire de mots de passe pour la plupart des travaux, il est toujours utile d'avoir un format cohérent dérivé des mots du dictionnaire. Par exemple, vous pouvez générer des mots de passe de six mots à partir d'un dictionnaire de 4000 mots, donnant des mots de passe comme:

that-feats-peers-film-wash-propaganda
chrome-document-thirty-ignore-given-screen
studying-mark-approved-rods-heavy-mocking
ahhh-shock-input-movies-considering-trader
equipment-download-created-compile-cookie-oops
effective-saved-systems-garage-wrote-wondering

Quel est l'avantage? Imaginez que vous transcrivez l'un de ces mots de passe sur un autre ordinateur - en le regardant dans votre gestionnaire de mots de passe, puis en le tapant sur un ordinateur complètement différent. Ou un téléphone. Ou quelque chose comme ça. Regardez, disons, le troisième mot de passe de la liste; puis détournez le regard, tapez autant que vous vous en souvenez et revenez. Vous pouvez probablement transcrire l'intégralité du mot de passe avec une précision parfaite en deux essais - peut-être même un. Même si vous allez jusqu'à dix mots de passe Word, vous devriez pouvoir en transcrire un en trois étapes environ. Essayez-le avec "heaps-comment-handle-emerald-capped-gain-write-details-grey-moment "et voyez comme c'est facile.

Vous pensez peut-être que cela ne vous importera jamais, mais cela ne vous coûte rien (les mots de passe que j'ai donnés ici ont respectivement 71 bits et 120 bits d'entropie), et si cela importe, vous avez énormément gagné .

8
rosuav

Cette Question fournit un point de départ pour la lecture sur le vaste sujet des différentes possibilités.

N'oubliez pas que certaines des réponses datent de plusieurs années. Quoi qu'il en soit, il y a beaucoup d'indices pour un bon mot de passe. Aussi cet article vous en dit plus sur les temps de calcul (bien que vous devriez essayer d'obtenir le point sans vraiment dépendre de chaque mot là-bas;))

Il y a beaucoup de problèmes, mais comme ThormiumBR l'a déclaré, l'un des problèmes les plus courants est la réutilisation ou la réutilisation partielle. Si les gens utilisent par exemple le mot de passe a9wdu$$$db§c5829ae1 quelque part et a réussi à s'en souvenir à un moment donné, il y a des chances qu'il y ait a9wdu$$$db§c5829ae2 ou tout autre dérivé également quelque part. L'une des meilleures méthodes consiste à baser au hasard (ouaip signifie dés) 4 à 6 mots aléatoires d'un dictionnaire (comme ici ). Cela augmente vos chances d'obtenir un mot de passe long dont vous vous souvenez également et diminue donc les chances de réutilisation ou de réutilisation partielle. Pourquoi en auriez-vous besoin, si elles sont faciles à retenir?

Mais cela semble être ouvert aux attaques dictonaires, surtout si l'attaquant a également entendu parler de la méthode, et aux combinaisons de forces brutes de 4 mots dictonaires.

À peu près non. L'une des raisons est que l'attaquant (si vous avez utilisé le dictionnaire oxford) et qu'il décide d'utiliser également ce dictionnaire anglais complet pour le cracking, il pourrait être occupé pendant un certain temps;) Deuxième et plus important: un attaquant le fait généralement pas de force brute de cette façon. Si vous êtes spécifiquement ciblé et que la motivation est énorme, il pourrait opter pour cette approche, mais si vous l'êtes, il y a 2FA et ainsi de suite. Les attaquants les plus probables dans différents scénarios utilisent différentes formes de listes de mots et si vous avez fait votre hasard correctement, il y a très peu de chances que votre phrase soit dans la liste de mots de quelqu'un.

Bien sûr, tout cela ne s'applique pas aux personnes qui utilisent réellement un gestionnaire de mots de passe partout (au moins d'une certaine manière). Si vous le faites, vous pouvez simplement lui demander de générer un mot de passe "aléatoire" de 35 caractères avec tous les caractères étranges et difficiles à retenir, puis l'enregistrer. Mais puisque vous avez posé cette question, je suppose que vous ne voulez pas ou ne pouvez pas le faire pour une raison quelconque.

4
Ben

Je consulterais la page Dés d'EFF: Dés d'EFF

Cette technique fonctionne pour un mot de passe principal, puis utilisez simplement des mots de passe générés aléatoirement pour tout le reste. Enchaîner ensemble 6 (ou plus) mots vraiment aléatoires à partir du lien ci-dessus, peut être un peu difficile à retenir au départ. Je les ai notés sur un petit tableau blanc à la maison et je l'ai regardé tout au long de la journée, en utilisant la technique nécessaire pour la mémoriser. Une fois mémorisé, j'ai effacé le tableau blanc. La phrase de passe fonctionne très bien ... et c'est fou depuis longtemps :)

3
vim_usr

Les autres réponses soulèvent deux points très importants.

  1. La réutilisation des mots de passe est le plus gros problème

  2. Les gestionnaires de mots de passe sont la solution idéale

Je recommande ce qui précède lorsque cela est possible. Mais j'ai trouvé des situations où je devais fournir un mot de passe sécurisé mais facile à retenir pour quelqu'un, pour lequel la méthode 4 Word est idéale.

Si vous essayez de fournir 4 mots aléatoires, ce ne sera peut-être pas très aléatoire. Une couleur est très probablement l'un des mots, tout comme la nourriture, les animaux et autres noms communs. Bien qu'il y ait un million de mots dans la langue anglaise, vous pourriez très facilement trouver un mot de passe très prévisible. Ainsi, par exemple, Conor Mancone a suggéré un dictionnaire de 7776 mots, mais un simple mot de passe de 4 mots pourrait être craqué en utilisant une liste de 1000 mots ou même moins, comme yellowcatrunaway.

Mon conseil pour utiliser des mots de passe sécurisés de 4 mots est d'utiliser des mots inhabituels, et cela vaut la peine de les répéter, ne réutilisez jamais votre mot de passe.

2
Goose

Comment puis-je créer un mot de passe fort et facile à retenir? La méthode 4 Word est-elle sûre?

Un mot de passe facile à retenir est désavantagé par rapport à une douzaine de lettres aléatoires, certaines majuscules, combinées à la ponctuation et aux chiffres - mais certainement plus facile à retenir et pratiquement sécurisé. Les quatre mots devraient faire une phrase inhabituelle. Plus c'est mieux.

L'utilisation de PasswordMeter.com pour vérifier la force d'un mot de passe donne ce résultat:

Mot de passe: "Google est le nom de votre mère." - Score: 100% - Complexité: Très fort

HowSecureIsMyPassword.net prétend: "Il faudrait un ordinateur d'environ 15 octillions d'années pour déchiffrer votre mot de passe".

Donner mon secret j'essaye Password.Kaspersky.com qui dit: "⚠️ Il existe des combinaisons largement utilisées. Votre mot de passe sera renforcé par un ordinateur domestique moyen dans environ 10000+ siècles. Vous pouvez trouver la réponse à la question ultime de la vie, de l'univers et de tout en ce temps. "

Une phrase secrète relativement simple peut fournir un niveau de sécurité suffisant et être facile à retenir, il suffit d'utiliser un mot de passe différent pour chaque site. L'ajout d'un nombre à la fin est utile.


Aide du compte Google: " Créer un mot de passe fort " propose quelques conseils pour les mots de passe mémorables:

  • Étape 1: répondre aux exigences de mot de passe

    Créez votre mot de passe avec 8 caractères ou plus. Il peut s'agir de n'importe quelle combinaison de lettres, de chiffres et de symboles.

    Vous ne pouvez pas utiliser un mot de passe qui:

    • Est utilisé par de nombreux autres comptes

    • Vous avez déjà utilisé sur votre compte

  • Étape 2: Suivez les conseils pour un bon mot de passe

    Un mot de passe fort est presque impossible à deviner pour quelqu'un d'autre. Suivez ces conseils pour savoir ce qui fait un bon mot de passe, puis appliquez-les au vôtre.

    Utilisez des lettres, des chiffres et des symboles

    • Combinez différents types de caractères

    Utilisez un mélange de caractères alphanumériques (lettres et chiffres) et de symboles:

    • Lettres majuscules (majuscules). Exemples: A, E, R

    • (Minuscules) minuscules. Exemples: a, e, r

    • Nombres. Exemples: 2, 6, 7

    • Symboles et caractères spéciaux. Exemples: ! @ & *

  • Recommandations et exemples

    Remplacez les lettres par des chiffres et des symboles: choisissez un mot ou une expression et utilisez des chiffres et des symboles à la place de certaines lettres. Exemples:

    • "Spooky Halloween" devient "sPo0kyH @ ll0w3En"

    • "Gator plus tard" devient "L8rg @ + 0R"

  • Abréger une phrase: rédigez une phrase et utilisez la première lettre de chaque mot.

    Exemple:

  • "Oncle Peter a toujours mangé tout ce qui était enrobé de chocolat" devient "uP @ 8cCe!"

    Utilisez des mots de passe longs: les mots de passe longs sont plus forts. Étant donné que les espaces sont autorisés, vous pouvez utiliser des phrases ou des mots mémorables de vos chansons, poèmes ou citations préférées. Exemple:

  • "un 0pen <3 = un 0pen MIND"

  • "C'est un long chemin 2 le ^ si vous voulez du Rock & Roll"

  • "De temps en temps, les nuages ​​donnent du repos aux observateurs de la lune"

  • Évitez les informations personnelles et les mots courants

  • N'utilisez pas d'informations personnelles

    Évitez d'utiliser des informations que d'autres pourraient connaître sur vous ou qui pourraient facilement trouver. Exemples:

    • Le nom de votre animal

    • Ton surnom

    • Votre nom de rue

  • N'utilisez pas de mots communs

    Évitez les mots, les phrases et les schémas simples qui sont faciles à deviner. Exemples:

    Mots et expressions évidents comme "mot de passe" ou "letmein"

    Séquences comme "abcd" ou "1234"

    Modèles de clavier comme "qwerty" ou "qazwsx"

    Tous les exemples de cet article, comme "sPo0kyH @ ll0w3En" ou "uP @ 8cCe!"

  • Ne réutilisez pas les mots de passe
0
Rob

Les mots de passe doivent toujours être randomisés indépendamment du fait que si vous devez pouvoir vous en souvenir ou non, je vous recommande de générer un mot de passe supérieur entropie ce qui rendrait brute- forcer des attaques pratiquement irréalisables ou presque impossibles.

Entropie

Entropie est fondamentalement le degré d'aléa donc vous pouvez fondamentalement taper des caractères spéciaux aléatoires, des chiffres et des lettres sans suivre un modèle spécifique par exemple - "cvg * @ 3 # 5 £ 22 @ _- + () czBbd * $" pourrait être un bon choix pour vos comptes sensibles car il a une entropie considérable, ce qui rend difficile la force brute possible. Parce que, vous pouvez avoir autant de permutations et de combinaisons de ces caractères qui contiennent également des lettres majuscules et minuscules, des chiffres et des caractères spéciaux.

tilisez un gestionnaire de mots de passe de confiance

Si vous vous sentez incapable de vous souvenir ou de perdre des mots de passe, vous pouvez opter pour un gestionnaire de mots de passe comme lastpass ou 1password pour aider à gérer vos mots de passe sans avoir à rendre vos mots de passe plus compréhensibles et moins aléatoires afin de les mémoriser, ce qui à son tour le rendrait facilement brutal.

0
A Khan

Oui, les quatre mots donnent un bon mot de passe long avec beaucoup d'entropie (en supposant que vous les ayez choisis au hasard).

J'utilise un générateur de passe de 4 mots pour tous mes mots de passe. Ils sont vraiment pratiques car vous pouvez vous en souvenir pendant une courte période, saisir facilement votre téléphone ou en parler à quelqu'un d'autre au bureau.

Bien sûr, tout ce que les gens ont dit sur les gestionnaires de mots de passe et la réutilisation des mots de passe est vrai, et j'en utilise toujours un aussi - comme cela a été dit, mais cela vaut la peine d'être répété, la réutilisation des mots de passe est mauvaise mauvaise mauvaise

0
mcfedr

L'utilisation d'un gestionnaire de mots de passe est un excellent conseil (que je suis), mais nous devons inévitablement composer des mots de passe parfois. Pour réellement répondre à votre question: essayez méthode de Bruce Schneier :

Mon conseil est de prendre une phrase et de la transformer en mot de passe. Quelque chose comme "Ce petit cochon est allé sur le marché" pourrait devenir "tlpWENT2m". Ce mot de passe à neuf caractères ne sera dans le dictionnaire de personne. Bien sûr, n'utilisez pas celui-ci, car j'ai écrit à ce sujet. Choisissez votre propre phrase - quelque chose de personnel.

Donc How can I make a strong password that's easy to remember? devient HcIma$TRONGpte2r? ou similaire. Je considérerais cela un peu court, alors pensez à une phrase plus longue. En fait, vous pouvez taper une phrase entière, et parfois je fais juste ça! Cependant, la longueur de votre mot de passe est malheureusement malheureusement limitée.

Personnellement, j'ai tendance à baser mes phrases de mot de passe sur des rancœurs mentales, comme la stupidité des politiques de mot de passe en question. L'émotion aide ma mémoire.

Assurez-vous simplement de ne pas utiliser quoi que ce soit qui ait jamais été publié - pas une citation de livre, un verset biblique, des films, des idiomes, etc. Cela doit être votre propre cerveau.

0
bendodge