La robustesse d’un mot de passe est généralement mesurée au moyen de l’entropie, exprimée en bits. L’entropie d’un mot de passe peut être estimée en calculant l’ensemble des mots de passe possibles pour une longueur donnée et une complexité donnée.
Règles de complexité des mots de passe
La notion de complexité d’un mot de passe désigne usuellement le choix du jeu de caractères dans lequel les caractères composant un mot de passe sont choisis. Ces jeux de caractères peuvent être assez variés concernant leur taille et composition ( les possibilités de catégories: caractères numériques, alphanumériques, en minuscules, en majuscules, comprenant des caractères spéciaux, etc.). En règle générale, plus la taille du jeu de caractères est grande, couplée avec des caractères de différentes catégories et choisis d’une manière aléatoire, plus le mot de passe est robuste.
Au moment de la création ou du renouvellement d’un mot de passe par un utilisateur, il est recommandé de mettre en œuvre des règles de complexité tout en proposant un jeu de caractères le plus large possible. Ce type de règles se trouve en pratique souvent détourné par les utilisateurs : transformation de a en @, de o en 0, ajout d’une majuscule en début de mot de passe, ajout d’un chiffre en fin de mot de passe, etc. Les attaquants ayant connaissance de tels comportements, ce genre de mesure n’apporte en pratique qu’assez peu de sécurité contre des attaques hors ligne, où il est possible de créer des dictionnaires dédiés.
Imposer une longueur minimale pour les mots de passe
Il est souvent plus efficace d’allonger un mot de passe que de chercher à le rendre plus complexe pour en augmenter l’entropie. Définir une longueur minimale permet d’avoir un certain contrôle sur le niveau de sécurité apporté par les mots de passe lors de leur création par les utilisateurs. La longueur minimale des mots de passe doit être définie en fonction du niveau de sécurité visé par le système d’information. Ce niveau peut-être fixé en fonction de la sensibilité du compte ou du service. Il n’existe pas de niveau idéal pour un compte, toutefois, L’ANSSI estime que le niveau de sécurité du mot de passe peut se situer entre faible à moyen pour 9 et 11 caractères ce qui correspond à environ 65 bits. Il peut être situé entre moyen à fort pour 12 et 14 caractères ce qui correspond à environ 85 bits. Et enfin, le niveau peut aller de fort à très fort à partir de 15 caractères, ce qui correspond à environ 100 bits.
L’entropie nécessaire peut être obtenue de plusieurs manières. Dans le cas, d’un mot de passe de 80 bits, ces trois exemples sont équivalents en termes d’entropie:
Exemple 1 : les mots de passe doivent être composés d’au minimum 12 caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux à choisir dans une liste d’au moins 37 caractères spéciaux possibles.
Exemple 2 : les mots de passe doivent être composés d’au minimum 14 caractères comprenant des majuscules, des minuscules et des chiffres, sans caractère spécial obligatoire.
Exemple 3 : une phrase de passe doit être utilisée et elle doit être composée d’au minimum 7 mots.
La définition des niveaux dépend fortement du contexte de mise en œuvre de l’authentification et doit être accompagnée d’une analyse de risque. Il revient donc à chacun d’adopter la méthode la plus sécurisée et pratique tout en respectant d’autres bons reflexes pour se protéger des dangers liés à l’usage d’un mot de passe non sécurisé.
Auteur:
Stéphane KOUAKOU-KAN, Juriste en conformité, spécialisé en Numérique, en Gouvernance des données, en lutte contre le blanchiment des capitaux et le financement du terrorisme.
Pour aller plus loin
- Recommandations relatives à l’authentification multifacteur et aux mots de passe, ANSSI
- Axes indispensables de la politique de sécurité des mots de passe
- Naviguer avec prudence et vigilance sur Internet
- Délai d’expiration des mots de passe
