Entropie des mots de passe : la valeur des mots de passe imprévisibles
L’entropie des mots de passe permet d’évaluer dans quelle mesure un mot de passe est imprévisible, et donc impossible à deviner.
La plupart des mots de passe que nous utilisons échouent à ce test de l’entropie. À titre d’exemple, « 123456 » et « qwerty » font partie des mots de passe les plus utilisés en 2021.
En savoir plus sur le concept d’entropie des mots de passe et la façon de la mesurer vous aidera à mieux protéger les informations critiques des hackers.
Rentrons dans le vif du sujet.
Que signifie l’entropie des mots de passe ?
Vous souhaitez protéger vos données. Les hackers veulent les voler. Comment pouvez-vous ériger un mur de protection robuste ? Intéressez-vous à l’entropie des mots de passe.
L’entropie des mots de passe est une mesure du niveau de difficulté. Ainsi, un hacker peut essayer les tactiques suivantes :
-
Deviner. Le hacker utilise des mots de passe courants comme « motdepasse » ou « password » pour obtenir un accès.
-
Lancer des attaques par force brute. Le hacker utilise un programme qui envoie des dizaines de demandes par minute en fonction des probabilités mathématiques.
-
Effectuer des recherches. Le hacker passe au crible vos comptes de réseaux sociaux et votre présence en ligne pour découvrir votre adresse postale, le nom de votre animal de compagnie et d’autres données couramment utilisées dans les mots de passe.
L’entropie des mots de passe mesure la probabilité que ces méthodes de hacking fonctionnent et que l’intrus obtienne un accès.
Règles d’entropie des mots de passe
Les responsables IT maîtrisent l’entropie des mots de passe et créent des règles qui obligent les collaborateurs à choisir des codes plus complexes.
Un ensemble de directives bien connu suggère que les mots de passe doivent être :
-
Attribués. Si le système attribue un mot de passe aux utilisateurs au lieu de leur permettre d’en choisir un, le mot de passe peut être plus court.
-
Longs. Si l’utilisateur a la possibilité de choisir un mot de passe, celui-ci doit contenir au moins huit caractères.
-
Peu courants. L’entreprise crée une liste de blocage des mots de passe les plus utilisés (et non sécurisés) que les utilisateurs ne peuvent pas choisir.
Il est tentant de renforcer ces règles et de rendre les directives plus strictes. Malheureusement, les utilisateurs trouvent des solutions de contournement. Ils réutilisent leurs mots de passe, les écrivent ou les partagent lorsqu’ils ne parviennent pas à les retenir facilement.
Idéalement, formez vos collaborateurs à l’entropie des mots de passe afin qu’ils puissent choisir un mot de passe à la fois sûr et plutôt facile à mémoriser.
Testez un calculateur de l’entropie des mots de passe
Les mathématiques interviennent dans le calcul de l’entropie des mots de passe. La formule peut sembler compliquée, mais les concepts sous-jacents sont faciles à comprendre.
L’entropie des mots de passe est généralement exprimée en bits. Les scores faibles indiquent que les mots de passe sont très faciles à craquer. Plus le score est élevé, plus un hacker doit déployer des efforts.
Une équation d’un calculateur de l’entropie des mots de passe se présente comme suit :
E = log2(RL)
-
« E » correspond à l’entropie des mots de passe.
-
« R » correspond aux caractères possibles au sein du mot de passe.
-
« L » correspond au nombre de caractères dans votre mot de passe.
Renforcez l’entropie en deux étapes :
-
Ajoutez plus de types de caractères. Incluez des lettres majuscules et minuscules, des caractères spéciaux et des chiffres.
-
Augmentez la longueur. Les mots de passe plus longs obtiennent des scores plus élevés que les courts.
Visez un score minimum de 60. Mais souvenez-vous : ne choisissez pas un mot de passe si long et si complexe que vous serez incapable de le retenir.
Chez Okta, nous sommes convaincus qu’une gestion globale des mots de passe est essentielle. Pour en savoir plus sur nos recommandations, cliquez ici. Consultez également notre livre blanc Passwordless : Adopter l’authentification sans mot de passe pour découvrir pourquoi nous pensons que le meilleur des mots de passe, c’est celui que l’utilisateur ne doit pas fournir.
Références
10 Most Common Passwords in 2021. Avril 2021. Becker’s Health IT.
Digital Identity Guidelines. Juin 2021. NIST.
Calculating Password Entropy. Pleacher.