Comment utiliser un générateur de mot de passe aléatoire

Les mots de passe sont terribles. Si vous utilisez un mot de passe faible pour le site Web de votre banque, vous risquez de perdre vos fonds en raison d'une attaque par la force brute. Mais si vous créez un mot de passe trop aléatoire, vous risquez de l'oublier et de vous isoler du compte. Vous pouvez choisir de ne mémoriser qu'un seul mot de passe complexe et de l'utiliser partout, mais si vous le faites, une violation sur un site expose tous vos comptes. Votre seul moyen raisonnable est de faire appel à un gestionnaire de mots de passe et de changer tous vos mots de passe faibles et dupliqués en chaînes de caractères uniques et aléatoires.

Presque tous les gestionnaires de mots de passe incluent un composant générateur de mot de passe, vous n'avez donc pas besoin de vous-même. (Mais si vous voulez une solution à faire soi-même, nous vous montrerons comment créer votre propre générateur de mot de passe aléatoire). Cependant, tous les générateurs de mots de passe ne sont pas créés égaux. Lorsque vous savez comment ils fonctionnent, vous pouvez choisir celui qui vous convient le mieux et utiliser celui que vous avez intelligemment.

Générateurs de mots de passe: aléatoires ou non?

Lorsque vous lancez une paire de dés, vous obtenez un résultat vraiment aléatoire. Personne ne peut prédire si vous aurez des yeux de serpent, des wagons de chemin de fer ou des sept chanceux. Mais dans le domaine informatique, les randomiseurs physiques tels que les dés ne sont pas disponibles. Oui, il existe quelques sources de nombres aléatoires basées sur la désintégration radioactive, mais vous ne les trouverez pas dans le gestionnaire de mots de passe moyen du côté client.

Les gestionnaires de mots de passe et autres programmes informatiques utilisent ce qu'on appelle un algorithme pseudo-aléatoire. Cet algorithme commence par un nombre appelé une graine. L'algorithme traite la graine et obtient un nouveau numéro sans connexion traçable avec l'ancien, et le nouveau numéro devient la graine suivante. La graine d'origine ne réapparaît jamais avant que tous les autres nombres soient apparus. Si la graine était un entier de 32 bits, cela signifie que l'algorithme parcourrait 4 294 967 295 autres nombres avant une répétition.

Cela convient à un usage quotidien et aux besoins de la plupart des utilisateurs en matière de génération de mot de passe. Cependant, il est théoriquement possible pour un pirate informatique qualifié de déterminer l'algorithme pseudo-aléatoire utilisé. Compte tenu de ces informations et de ces informations, le pirate informatique pourrait éventuellement reproduire la séquence de nombres aléatoires (bien que ce soit difficile).

Ce type de piratage informatique dirigé est extrêmement improbable, sauf dans le cadre d’une attaque d’État-nation ou d’espionnage des entreprises. Si vous êtes sujet à une telle attaque, votre suite de sécurité ne pourra probablement pas vous protéger. heureusement, vous n'êtes certainement pas la cible de ce type de cyberespionnage.

Malgré tout, quelques gestionnaires de mots de passe travaillent activement à éliminer même la possibilité lointaine d'une telle attaque ciblée. En incorporant vos propres mouvements de souris ou des caractères aléatoires dans l'algorithme aléatoire, ils obtiennent un résultat réellement aléatoire. AceBIT Password Depot, KeePass et Steganos Password Manager font partie de ceux qui proposent cette randomisation dans le monde réel. La capture d'écran montre le randomiseur de style matrice de Password Depot; oui, les caractères tombent lorsque vous déplacez votre souris.

Avez-vous vraiment besoin d'ajouter une randomisation dans le monde réel? Probablement pas. Mais si cela vous rend heureux, foncez!

Les gestionnaires de mot de passe réduisent le caractère aléatoire

Bien sûr, les générateurs de mots de passe ne renvoient pas littéralement de nombres aléatoires. Au lieu de cela, ils renvoient une chaîne de caractères, en utilisant des nombres aléatoires pour choisir parmi les jeux de caractères disponibles. Vous devez toujours activer l'utilisation de tous les jeux de caractères disponibles, sauf si vous générez un mot de passe pour un site Web qui, par exemple, n'autorise pas les caractères spéciaux.

Le groupe de caractères disponibles comprend 26 lettres majuscules, 26 lettres minuscules et 10 chiffres. Il comprend également une collection de caractères spéciaux pouvant varier d’un produit à l’autre. Pour simplifier, supposons que 18 caractères spéciaux soient disponibles. Cela fait un beau total de 80 caractères au choix. Dans un mot de passe totalement aléatoire, il y a 80 possibilités pour chaque personnage. Si vous choisissez un mot de passe de huit caractères, le nombre de possibilités est de 80 à la huitième puissance, soit 1 677 721, 6 milliards de dollars, soit plus d'un quadrillion. C'est une tâche difficile pour une attaque par force brute, et deviner par la force brute est vraiment le seul moyen de déchiffrer un mot de passe vraiment aléatoire.

Bien sûr, un générateur totalement aléatoire produira éventuellement "aaaaaaaa" et "Covfefe!" et "12345678", car ils sont aussi probables que toute autre séquence de huit caractères. Certains générateurs de mots de passe filtrent activement leur sortie pour éviter de tels mots de passe. Bien, mais si un pirate informatique connaît ces filtres, le nombre de possibilités est réduit et la fissuration par la force brute est facilitée.

Voici un exemple extrême. Il y a 40 960 000 mots de passe possibles à quatre caractères, tirés d'une collection de 80 caractères. Mais certains générateurs de mots de passe forcent la sélection d'au moins un de chaque type de caractère, ce qui réduit considérablement les possibilités. Il y a encore 80 possibilités pour le premier caractère. Supposons que ce soit une lettre majuscule; le pool pour le deuxième caractère est de 54 (80 moins les 26 caractères majuscules). Supposons en outre que le deuxième caractère soit une lettre minuscule. Pour le troisième caractère, il ne reste que des chiffres et des caractères spéciaux, pour 28 choix. Et si le troisième caractère est la ponctuation, le dernier doit être un chiffre, 10 choix. Nos 40 millions de possibilités diminuent à 1 209 600.

L'utilisation de tous les jeux de caractères est une nécessité pour de nombreux sites Web. Pour éviter que cette exigence ne réduise votre pool de mots de passe, définissez une longueur de mot de passe élevée. Lorsque le mot de passe est suffisamment long, le fait de forcer tous les types de caractères devient négligeable.

D'autres limites appliquées par les gestionnaires de mots de passe réduisent inutilement le pool de mots de passe possibles. Par exemple, RememBear Premium spécifie le nombre précis de caractères de chacun des quatre jeux de caractères, ce qui réduit considérablement le pool. Par défaut, il requiert deux lettres majuscules, deux chiffres, 14 lettres minuscules et aucun symbole, pour un total de 18 caractères. Il en résulte un pool de mots de passe qui est des centaines de millions de fois plus petit que s'il nécessitait simplement un ou plusieurs types de caractères. Là encore, vous pouvez compenser ce problème en définissant une longueur de mot de passe supérieure.

LastPass et plusieurs autres personnes évitent par défaut les paires de caractères ambigus comme le chiffre 0 et la lettre O. Si vous ne devez pas vous souvenir du mot de passe, ce n'est pas nécessaire. désactiver cette option. De même, ne choisissez pas l'option permettant de générer un mot de passe prononçable comme "entlestmospa". Cette option n’est importante que s’il s’agit d’un mot de passe dont vous devez vous souvenir. L’application de cette option ne vous limite pas seulement aux caractères minuscules, elle rejette le grand nombre de possibilités que le générateur de mot de passe juge imprononçables.

Générer des mots de passe longs

Comme nous l'avons vu, les générateurs de mots de passe ne choisissent pas nécessairement dans le pool de tous les mots de passe possibles correspondant à la longueur et aux jeux de caractères sélectionnés. Dans l'exemple extrême d'un mot de passe à quatre caractères utilisant tous les jeux de caractères, environ 97% des mots de passe possibles à quatre caractères n'apparaissent jamais. La solution est simple. allez long! Vous n'avez pas à vous souvenir de ces mots de passe, ils peuvent donc être énormes. Du moins, autant que le site Web en question accepte; certains imposent des limites.

Plus l’espace de recherche est grand (ce que j’appelle le pool de mots de passe disponibles), plus il faudra de temps d’une attaque par force brute pour frapper votre mot de passe. Vous pouvez jouer avec la calculatrice de mot de passe Haystack (en tant que, aiguille dans une botte de foin) sur le site Web de Gibson Research pour avoir une idée de la valeur de la longueur.

Il suffit d'entrer un mot de passe pour voir combien de temps cela prendrait. (Le site promet "RIEN que vous fassiez ici ne quitte jamais votre navigateur. Ce qui se passe ici reste ici." Mais la prudence vous suggère d'éviter d'utiliser vos mots de passe réels). Un mot de passe à quatre caractères comme 1eA & ne prendrait pas un jour à craquer, si le pirate informatique doit envoyer des suppositions en ligne. Mais dans un scénario hors ligne, où le pirate informatique peut essayer de deviner à grande vitesse, le temps de craquage est une fraction de seconde.

Dans mon article sur la création de mots de passe forts et mémorables (pour des choses comme le mot de passe principal d'un gestionnaire de mots de passe), je suggère une technique mnémonique qui transforme une ligne d'un poème ou joue en un mot de passe d'aspect aléatoire. Par exemple, une ligne de Roméo et Juliette, Acte 2, scène 2, est devenue "bS, wLtYdWdB? A2S2". Ce n'est pas un mot de passe aléatoire, mais un cracker ne le sait pas. En le laissant tomber dans la calculatrice de Gibson, nous apprenons que, même en utilisant une matrice de craquage massive, il faudrait 1, 41 milliards de siècles pour forcer celle-ci.

Faire un choix de gestionnaire de mot de passe informé

Alors maintenant, vous savez que le facteur le plus important pour générer des mots de passe forts et aléatoires est leur longueur. Certains générateurs de mots de passe rejettent les mots de passe qui ne contiennent pas tous les jeux de caractères, certains refusent ceux avec des mots de dictionnaire incorporés, certains suppriment les mots de passe contenant des caractères ambigus tels que petit l et chiffre 1. Toutes ces restrictions limitent le pool de mots de passe possibles. est assez élevé, cette limitation n'a pas d'importance.

Bien sûr, il est théoriquement (sinon pratiquement) possible que certains malfaiteurs piratent le schéma de génération de mots de passe de votre gestionnaire de mots de passe préféré, et aient ainsi la possibilité de prédire les mots de passe pseudo-aléatoires qu'il vous proposera. Un programme de gestion des mots de passe louche pourrait renvoyer vos mots de passe aléatoires au siège de la société. Ceci est vraiment dans le niveau de préoccupation de papier d'aluminium-chapeau. Mais si vous ne voulez vraiment pas vous fier à quelqu'un d'autre pour vos mots de passe aléatoires, vous pouvez créer votre propre générateur de mot de passe aléatoire dans Excel.