Concept
Une phrase secrète ou phrase de passe (en passphrase) est un mot de passe d'un nombre important de caractères. On parle de phrase de passe plutôt que de mot de passe parce que la phrase de passe contient souvent des suites de mots qui ressemblent parfois à une phrase pour des raisons mnémotechniques. Les mots de passe couramment utilisés sont souvent sans espaces et d'une longueur maximale de . Cependant, dans certains domaines, en particulier en cryptographie, le niveau de sécurité requis exige des mots de passe beaucoup plus longs. On pense que le concept moderne de phrase secrète a été inventé par Sigmund N. Porter en 1982. Robustesse d'un mot de passe Une phrase secrète d'une vingtaine de caractères peut donner un faux sentiment de sécurité à un utilisateur qui peut penser qu'une phrase secrète de 20 caractères est beaucoup plus sécuritaire qu'un mot de passe de 8 caractères. En effet, l'entropie d'un texte en anglais étant de 1 à 2 bits par caractère, certaines phrases secrètes peuvent être relativement peu robustes. Le National Institute of Standards and Technology (NIST) a estimé que la phrase secrète de 23 caractères IamtheCapitanofthePina4 a une entropie de seulement 45 bits (remarquons que ce calcul ne tient pas compte du fait que cette phrase est une citation bien connue tirée de l'opérette HMS Pinafore. Un hachage MD5 de cette phrase secrète peut être déchiffré en quatre secondes à l'aide du site de cassage de mot de passe crackstation.net, indiquant que la phrase se trouve dans sa base de données de cassage de mot de passe). Supposant une entropie équivalente par caractère, pour atteindre une entropie de telle que recommandée par le National Institute of Standards and Technology (NIST) pour une sécurité commerciale élevée (non militaire), il faudrait une phrase secrète d'une quarantaine de caractères. Si des parties de mots, des mots ou des groupes de mots d'une phrase secrète peuvent être trouvés dans un dictionnaire, en particulier un dictionnaire numérique, la phrase secrète est plus vulnérable aux attaques par dictionnaire.
Henry Nathaniel Corrigan-Gibbs
Henry Nathaniel Corrigan-Gibbs