lincnil / phrase2passe Goto Github PK

Bonjour,

Dans le but d'améliorer la sécurité de tous, je tiens à ce que ce projet soit mis à jour.
Ce projet montre au gens comment créer des mots de passe compliqué pour eux mais facile à deviner par une machine.

Voici un argumentaire, en anglais et sous forme de BD : https://xkcd.com/936/

La méthode la plus courante pour cassé les hash de mot de passe étant le brut force, l'entropie des mots de passe est donc l'un des éléments les plus important puisque cette méthode consiste principalement à tester "toutes" les solutions possible jusqu'à trouver la bonne.

Voici un exemple d'outil pour calculer l'entropie de ses mots de passe (ici en utilisant la méthode shanon): https://planetcalc.com/2475/?license=1 Les mots de passe n'ignore pas les majuscules ni les espaces, donc pensez bien à décocher "ignore case" et "ignore space" avant d'effectuer le calcul.

Même en utilisant un dictionnaire lors du brut-force, le mot de passe contenant les caractéristique demandé par la plupart des applications (majuscule, minuscule, chiffres, caractères spéciaux, ...) reste toujours plus compliqué que ce même mot de passe en version "raccourcie" comme le propose votre outil.

Et surtout, il est beaucoup plus simple pour l'humain de retenir ce mot de passe que sa version "raccourcie", ce qui n'est pas négligeable quand on suggère aux gens de ne pas avoir le même mot de passe sur plusieurs applications / sites web.

Avoir donc pour mot de passe
"J'ai acheté 6 oeufs & 2 BD ce matin." (entropie 4.07)
Est plus sécurisé que
"J'a6oe&2Bcm." (entropie 3.58)

Je pense que cet outil aurait plus de sens s'il pouvait faire l'inverse :
Les gens y mettent un mot de passe raccourci et obtiennent une phrase.
Même si elle n'a pas de sens, le côté drôle et surprenant pourrait rendre le mot de passe généré plus facile à retenir mais plus difficile à cassé par la machine.