Entropie de mot de passe
Qu'est-ce que Entropie de mot de passe ?
Entropie de mot de passeMesure en bits de l'imprevisibilite d'un mot de passe : plus l'entropie est elevee, plus il faut d'essais pour le retrouver.
L'entropie de mot de passe quantifie sa difficulte a deviner. Pour une chaine uniformement aleatoire de longueur L choisie dans un alphabet de taille N, l'entropie vaut L * log2(N) bits. Les mots de passe choisis par les humains presentent une entropie effective bien moindre a cause des mots du dictionnaire, des substitutions previsibles et des motifs reutilises, comme l'ont montre Claude Shannon puis des travaux cryptographiques ulterieurs. L'annexe A du NIST SP 800-63B rappelle que ce comptage est un modele faible en pratique et recommande la longueur et le filtrage contre les bases divulguees plutot que des regles de composition. Les longues phrases Diceware de l'EFF (quatre mots aleatoires, environ 51 bits) combinees a un gestionnaire de mots de passe restent la voie pratique.
● Exemples
- 01
Un mot de passe aleatoire de 12 caracteres tire d'un alphabet de 94 symboles offre environ 78 bits d'entropie.
- 02
Une phrase Diceware EFF de 4 mots atteint environ 51 bits, suffisant face a la majorite des attaques hors ligne.
● Questions fréquentes
Qu'est-ce que Entropie de mot de passe ?
Mesure en bits de l'imprevisibilite d'un mot de passe : plus l'entropie est elevee, plus il faut d'essais pour le retrouver. Cette notion relève de la catégorie Identité et accès en cybersécurité.
Que signifie Entropie de mot de passe ?
Mesure en bits de l'imprevisibilite d'un mot de passe : plus l'entropie est elevee, plus il faut d'essais pour le retrouver.
Comment fonctionne Entropie de mot de passe ?
L'entropie de mot de passe quantifie sa difficulte a deviner. Pour une chaine uniformement aleatoire de longueur L choisie dans un alphabet de taille N, l'entropie vaut L * log2(N) bits. Les mots de passe choisis par les humains presentent une entropie effective bien moindre a cause des mots du dictionnaire, des substitutions previsibles et des motifs reutilises, comme l'ont montre Claude Shannon puis des travaux cryptographiques ulterieurs. L'annexe A du NIST SP 800-63B rappelle que ce comptage est un modele faible en pratique et recommande la longueur et le filtrage contre les bases divulguees plutot que des regles de composition. Les longues phrases Diceware de l'EFF (quatre mots aleatoires, environ 51 bits) combinees a un gestionnaire de mots de passe restent la voie pratique.
Comment se défendre contre Entropie de mot de passe ?
Les défenses contre Entropie de mot de passe combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Entropie de mot de passe ?
Noms alternatifs courants : Entropie du mot de passe, Entropie de devinabilite.
● Termes liés
- identity-access№ 795
Mot de passe
Chaîne de caractères secrète qu'un utilisateur fournit pour prouver son identité à un système ; historiquement le mécanisme d'authentification à facteur unique dominant.
- identity-access№ 798
Politique de mots de passe
Ensemble documenté de regles encadrant la creation, le stockage, la rotation et la validation des mots de passe utilisateur pour equilibrer securite et usabilite.
- identity-access№ 797
Gestionnaire de mots de passe
Application qui génère, stocke et remplit automatiquement des identifiants uniques et robustes, protégée par une phrase maîtresse et, de plus en plus, par des passkeys.
- identity-access№ 884
Mot de passe compromis (Pwned)
Mot de passe deja apparu dans une fuite connue et qui ne doit donc jamais etre autorise, conformement au service Have I Been Pwned de Troy Hunt.
- cryptography№ 059
Argon2
Fonction moderne de hachage de mots de passe et de dérivation de clés à coût mémoire, lauréate du Password Hashing Competition 2015 et spécifiée dans RFC 9106.
- cryptography№ 087
bcrypt
Fonction adaptative de hachage de mots de passe fondée sur le chiffrement Blowfish avec un facteur de coût ajustable, conçue par Provos et Mazières en 1999.