Concept
La robustesse d'un mot de passe est la mesure de la capacité d'un mot de passe à résister à son cassage, que ce soit par des moyens permettant de le deviner ou par une attaque par force brute. On mesure la robustesse d'un mot de passe en estimant le nombre de tentatives nécessaires à un attaquant pour le casser. La robustesse d'un mot de passe est une fonction : de sa longueur (un mot de passe de 10 caractères est plus robuste qu'un mot de passe de 6 caractères, les attaques par force brute commençant par tester les mots de passe les plus courts) ; de sa complexité, c'est-à-dire du nombre de symboles différents utilisés pour construire le mot de passe (à longueur égale, un mot de passe contenant des chiffres ainsi que des lettres sera plus robuste qu'un mot de passe contenant seulement des chiffres) ; de son caractère aléatoire (le mot de passe 428195 est légèrement plus robuste que le mot de passe 123456, qui est un mot de passe très populaire). Si l'utilisation de mots de passe forts (ou d'une politique de mots de passe contraignante) réduit le risque d'une brèche de sécurité en augmentant le temps nécessaire au cassage de mot de passe par un attaquant, elle ne dispense cependant pas de la mise en place de mesures de sécurité additionnelles. La fondation OWASP souligne, après analyse des bases de données utilisateur fuitées lors d'attaques récentes, que les mots de passe les plus utilisés à ce jour sont les très simples 123456, password, et qwerty. Dans l'industrie informatique, la robustesse d'un mot de passe est exprimée en termes d'entropie de Shannon, mesurée en bits. Il s'agit d'un concept de la théorie de l'information. Au lieu de mesurer la robustesse par le nombre de combinaisons de caractères qu'il faut tester pour trouver le mot de passe avec certitude, on utilise le logarithme en base 2 de ce nombre. Cette mesure est appelée l'entropie du mot de passe. Un mot de passe avec une entropie de 42 bits calculée de la sorte serait aussi robuste qu'une chaîne de 42 bits choisie au hasard.
Henry Nathaniel Corrigan-Gibbs
Henry Nathaniel Corrigan-Gibbs
