Ubuntu-fr

BussyGGPC

[RESOLU]Taille de passphrase

Bonjour, j'ai lu sur le web que qu'en fonction de la taille de la clé, la passphrase devait comporter un certain nombre de caractères pour utiliser pleinement les capacités d'une taille de clé, si par exemple je chiffre mon système en AES 256 bits, quelle doit être la taille de ma passphrase pour qu'elle soit totalement efficiente ? Y'a t-il un intérêt à aller plus loin, si par exemple ma passphrase fait 90 caractères et que la taille idéale soit de 70.
Dans un tel cas, un adversaire qui tenterait une bruteforce pourrait bien ne chercher que des passphrases de 70 caractères pour gagner en temps, cette méthode serait affaiblie si j'avais délibérément choisi une passphrase plus grande que la taille nécessaire.

Merci de votre aide,
Bonne journée.

Dernière modification par BussyGGPC (Le 16/02/2014, à 14:52)

tiramiseb

Re : [RESOLU]Taille de passphrase

Salut,

Peux-tu nous donner le lien vers l'article où tu as lu cela ?

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

BussyGGPC

Re : [RESOLU]Taille de passphrase

Je serais incapable de le retrouver, j'avoue que j'étais un peu dans la nébuleuse quand j'ai lu ça, je cherchais quelle était la taille maxi d'une clé de chiffrement pour un particulier en France et cela ne provenait pas d'un article mais d'une discussion sur un forum.

tiramiseb

Re : [RESOLU]Taille de passphrase

Il n'y a pas de "taille idéale" pour une phrase de passe : plus elle est longue, plus elle a de chances d'être sûre.
Et encore ! « r4'(Rt7pmq lp"oj'id » (par exemple) est plus sûre que « j'aime beaucoup manger des frites » (par exemple).

Enfin bon, je ne suis pas super expert dans ce domaine.

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

BussyGGPC

Re : [RESOLU]Taille de passphrase

Très bien merci , je ferais quelque chose dans les environs des 80 caractères ça devrait aller ^^.

Dernière modification par BussyGGPC (Le 06/02/2014, à 22:21)

tiramiseb

Re : [RESOLU]Taille de passphrase

Personnellement je n'en vois pas l'intérêt, mais bon tu fais comme tu veux

Taper 80 caractères à chaque fois que tu veux l'utiliser, il faut du courage !

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

BussyGGPC

Re : [RESOLU]Taille de passphrase

Ha!  J'ai retrouvé le lien en question : forum.hardware.fr/hfr/WindowsSoftware/Securite/chiffrement-cryptage-comparaison-sujet_154550_1.htm

Et quand à la taille de ma passphrase, 80 caractères ce n'estpassi dur à retenir ^^.

tiramiseb

Re : [RESOLU]Taille de passphrase

cette discussion n'évoque pas la longueur de la phrase de passe. il y a juste quelques exemples de phrases de passe, ces exemples tournent autour de la dizaine de caractères...

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

BussyGGPC

Re : [RESOLU]Taille de passphrase

Au 7ème post sur le topic, l'auteur cite ce qui semble être issu de la doc d'un logiciel de chiffrement :

To actually have a password that *uses* all the bits of a 256-bit encryption
algorithm, you have to have a password consisting of random letters, numbers
and symbols 44 characters long, like this:

Et d'ailleurs je mesuis trompé, 44 caractères serait apparemment la taille idéale d'une clé 256 bits (et moi qui vient d'apprendre ma passphrase à 80 caractères...).

lool_lauris

Re : [RESOLU]Taille de passphrase

Salut,

Plutôt que d'apprendre des phrases de x caractères (car il est indispensable d'avoir des mots de passe différents dont chacun est dédié à n'ouvrir qu'une porte), il existe des possibilités pour mémoriser de nombreux mots de passe, tous différents, de longueurs certaines (certains sites limitent le nombres de caractères et/ou les types de caractères), générés sans aucune logique apparente, etc. et protégés dans un coffre fort numérique dont a l'accès par un unique mdp (ou une clé numérique) ... un seul mot de passe à retenir pour des 10zaines (voir plus) stockés et protégés. Attention de faire des sauvegardes sûres et pérennes.
=> https://www.keepassx.org/
=> http://keepass.info/

---

Soutenez le Libre => http://www.april.org/

BussyGGPC

Re : [RESOLU]Taille de passphrase

Hello,

J'ai déjà utilisé un service de ce genre pendant longtemps (en l'occurence lastpass) mais je ne veux plus utiliser ce genre de services, quand bien même serait RS aux commandes .
De plus, un service de ce genre nécessite soit d'avoir un accès internet, ou alors de les stocker en local sur une USB ? Or, lorsque je démarrerais mon ordinateur et que je devrais rentrer la passphrase, je n'aurais ni accès à Internet ni au contenu de ma clé USB, non ? Et finalement, quoi de plus sûr que ma teête (il y'a bien sûr un risque (minime) que je l'oublie mais ce n'est pas grave.

lool_lauris

Re : [RESOLU]Taille de passphrase

Non, je pense que tu te fourvoies.
KeepassX et Keepass Password Safe n'est pas un service internet. C'est une application que tu installes sur ton PC et éventuellement sur une clé.
Personnellement, J'utilise KeepassX sur mon laptop Ubuntu et j'ai Keepass Password Safe portable sur ma clé usb (ce qui me permet de pouvoir utiliser des machines externes qui sont en majorité sous windows).
L'important est de synchroniser la clé avec la machine source et d'avoir des sauvegardes pérennes.

.

Et finalement, quoi de plus sûr que ma teête

et bien les 2 applications que j'ai citées plus haut !
Par curiosité, j'ai compté combien d'entrées sont stockées dans mon coffre fort : il y en a 121. Dans ce chiffre, il y a des logins (oui il faut aussi les retenir), des mots de passe (tous différents - ce qui est essentiel), des mémorisation d'accès réseaux, adresses mac, ... ce qui fait énormément de données d'accès à retenir (bien plus que 121 mdp).
Je te mets au défi de retenir tout ça !

En ce qui concerne la clé usb, afin de sécuriser au mieux les données qui sont dessus (le coffre-fort déjà sécurisé et les fichiers personnels que je transporte : profil firefox, profil TBird, quelques documents confidentiels, ...) j'ai créé un espace crypté sous Truecrypt. En dehors de cet espace crypté, j'ai un fichier texte avec mes coordonnées pour que la personne qui trouverait ma clé en cas de perte, puisse me la renvoyer. Et si elle ne le faisait pas, elle ne pourrait pas accéder à cet espace crypté.

Je me déplace beaucoup, en France et à l'étranger, et quand je n'ai pas mon laptop perso, j'ai ma clé usb. Cela fait plusieurs années que je fonctionne ainsi et pas de problèmes, c'est super pratique et surtout, sécurisé.

---

Soutenez le Libre => http://www.april.org/

BussyGGPC

Re : [RESOLU]Taille de passphrase

J'ai des pages entières de livres dans ma tête, mais 121 mots de passe c'est vrai que c'est quelque chose à retenir, effectivement si keepassx n'est pas un service internet je l'utiliserais peut-être pour certains mots de passe, mais pas la passphrase de mon laptop je pense, d'ailleurs est ce que c'est même possible ? Je veux dire, est ce que si je branche ma clé USB au démarrage, je pourrais y accéder et récupérer ma passphrase pour déverouiller mon DD ?

lool_lauris

Re : [RESOLU]Taille de passphrase

Effectivement, il est plus pratique de retenir ton mdp pour ouvrir ta session sur ton PC et de retenir également celui de ta base keepass, ça te fait 2 mdp à retenir ...

---

Soutenez le Libre => http://www.april.org/

bruno

Re : [RESOLU]Taille de passphrase

Et encore ! « r4'(Rt7pmq lp"oj'id » (par exemple) est plus sûre que « j'aime beaucoup manger des frites » (par exemple).

C'est une idée reçue : http://tomroud.cafe-sciences.org/2011/0 … -de-passe/

L'entropie du mot de passe = N*log(p)/log(2)

Pour le premier N=19 caractères parmi p=255 possibles (en fait moins)

entropie = 152 bits

Pour le second N=33 caractères parmi p=60 (approximation lettres, lettres avec diacritiques, apostrophes)

entropie =195 bits

C'est bien sûr une approximation, mais a priori le second mot de passe est plus sûr que le premier et surtout beaucoup plus facile à mémoriser.

BussyGGPC

Re : [RESOLU]Taille de passphrase

Ha on arrive à ce qui m'intéresse , en revanche je suis un terminale littéraire qui a lâché les maths pour le moment, alors ceci : http://tomroud.cafe-sciences.org/files/ … ntropy.png je n'ai aucune idée de comment fonctionne le calcul de l'entropie d'un mot de passe, mais j'en reviens tout de même à ma question du début, on pourrait donc calculer l'entropie idéale de la passphrase pour un algorithme 256 bits ? Si oui, y'a-il un intérêt à créer une passphrase plus longue pour que si jamais un adversaire tenterait une attaque, ma passphrase soit suffisamment longue en taille mais d'une taille qu'il ne connaît pas, car sinon il lui suffirait de rechercher des passphrases seulement d'une taille égale à l'entropie idéale, réduisant ainsi énormément sa tâche.
Je ne sais pas si ma question est très claire, cette notion d'entropie m'est totalement nouvelle .

BussyGGPC

Re : [RESOLU]Taille de passphrase

up

bruno

Re : [RESOLU]Taille de passphrase

Je ne crois pas qu'il y ait de taille idéale pour ta phrase passe.
Si quelqu’un veut déchiffrer une partition chiffrée par AES256, il doit soit « casser » l'algorithme de chiffrement, soit avoir la clé de chiffrement et sa phrase de passe.
L'important est donc d'avoir une phrase de passe suffisamment solide pour résister aux attaques par force brute et par dictionnaire. Pour moi il est essentiel que cette phrase soit facilement mémorisable, car si tu la perd (ou l'oublie) il te sera impossible d'accèder à tes données !
Encore une fois je conseille donc plutôt une phrase (cela ne s'appelle pas « passphrase » pour rien) contenant des majuscules, caractères accentués et éventuellement ponctuation plutôt qu'un mot de passe alambiqués impossible à retenir.

Tiens un autre site pour tester la « force » d'un mot de passe : http://rumkin.com/tools/password/passchk.php (ne convient pas pour tester les mots de passe triviaux)

BussyGGPC

Re : [RESOLU]Taille de passphrase

Très bien, merci de vos réponses .