Générateur de passphrases

Support Debian
#1

Bonjour à tous,

J’avais utilisé une fois un générateur de mots de passes qui permettait de créer des passphrases de ce style :

Mais impossible de remettre la main dessus ! Je sais pourtant qu’il est dans les dépôts de Debian…

Est-ce que quelqu’un saurait m’aider à le retrouver ?

Merci à vous !

#2

pwgen et apg ?

#3

[quote=“Cluxter”]Bonjour à tous,

J’avais utilisé une fois un générateur de mots de passes qui permettait de créer des passphrases de ce style :

Mais impossible de remettre la main dessus ! Je sais pourtant qu’il est dans les dépôts de Debian…

Est-ce que quelqu’un saurait m’aider à le retrouver ?

Merci à vous ![/quote]

Ce que tu présentes n’est pas, à proprement parler, une “passphrase”, à ce que j’en ai lu.
d’après la description, il s’agirait d’une “phrase” comportant plusieurs mots, séparés alors que là, il ne s’agit que d’une suite de caractères formant un seul mot.
Maintenant, je ne suis pas un expert mais je suis intéresser d’en apprendre plus à ce sujet : MDP vs Passphrase.

#4

L’idée de la passphrase c’est d’utiliser des mots plutôt que des caractères afin de former non seulement beaucoup plus de combinaisons possibles (au lieu de se limiter à 26 lettres * 2 + 10 chiffres + environ 20 caractères spéciaux = environ 80 caractères, on a environ 10.000 mots de vocabulaire courant) mais également de profiter de la longueur des mots pour rallonger le mot de passe, tout en ayant un mot de passe plus simple à retenir.

Non, j’ai bien 3 mots distincts séparés par des caractères spéciaux. L’espace n’est qu’un caractère spécial parmi d’autres.

D’ailleurs une passphrase qui est une phrase en tant que telle et dont les mots sont séparés par des espaces est moins sécurisée qu’un mot de passe compliqué : slate.fr/life/78758/bible-wi … -mot-passe

#5

cela peut se faire avec un script bash perso :114

#6

Diceware ?
https://linuxfr.org/users/mweber/journaux/diceware-liste-de-mots-en-fran%C3%A7ais
(1er résultat avec « passphrase générateur plusieurs mots » en utilisant Duckduckgo)

Bon pas mal de liens ont l’air morts… Ça peut peut-être t’aider pour faire d’autres recherches sur ton moteur de recherche préféré…

#7

Oui c’est sûr les combinaisons de caractères aléatoires ([mono]80^longueur[/mono]) sont moins sécurisées que les combinaisons de 3 mots parmi 10000 ([mono](10000x(longueur moyenne))^3[/mono]).

Ou pas.

Je te laisse faire le calcul à partir de quelle longueur le premier prend le pas sur le second… moi j’ai la flemme, y’a plus qu’une variable donc c’est plus l’heure. :mrgreen:
XKCD obligatoire, qui comme d’hab est très ironique : correct horse battery staple (le [mono]img alt[/mono] dit bien qu’il est désolé de la blague, il s’excuse auprès de ceux qui connaissent les maths impliquées :wink: – c’est du même calibre que le générateur de nombres aléatoires)

Bref c’est plus simple à retenir, mais niveau sécurité c’est pas ça ! C’est juste des maths (ou stats, je sais jamais) de base.

#8

Salut,

Réflexion d’un primaire :

Si la phrase est plus facile à retenir c’est que les mots figurent dans un dictionnaire ! A nous la force brute :slightly_smiling:

#9

Un peu de lecture MDP vs Phrase de passe (mais ça date de quelques années) :
http://www.cryptup.com/fr/help/html/password_vs_passphrase.htm

#10

Oui je sais bien, mais ce qui m’intéresse c’est surtout de retrouver le nom du programme ! Que je n’ai toujours pas…

[quote]Diceware ?
linuxfr.org/users/mweber/journa … n%C3%A7ais
(1er résultat avec « passphrase générateur plusieurs mots » en utilisant Duckduckgo)[/quote]
Je suis aussi tombé rapidement sur celui là mais il n’est pas dans les dépôts de Debian, donc ce n’est pas celui là.

[quote]Oui c’est sûr les combinaisons de caractères aléatoires (80^longueur) sont moins sécurisées que les combinaisons de 3 mots parmi 10000 ((10000x(longueur moyenne))^3).

Ou pas.
[/quote]
Ca dépend de l’attaque en fait, et du mot de passe/de la passphrase.

Prenons un mot de passe compliqué à 8 caractères comme : &eU%kdTZ
et une passphrase comme : I have a dream that one day this nation will rise up and live out the true meaning of its creed

Sur une attaque en force brute pure, le 2ème mot de passe gagne très largement.
Mais sur une attaque un peu intelligente, le 1er est bien plus robuste car dans un dictionnaire de passphrases il y a fort à parier que cette phrase existe.

L’avantage de la passphrase c’est surtout de permettre de se prémunir de la force brute. Casser un mot de passe de 35 caractères en force brute, même si on sait qu’il n’y a que des minuscules et des espaces, prendra infiniment plus de temps à cracker qu’un mot de passe à 8 caractères tout caractères ASCII confondus. En effet, on compare 27^35 = 1,25x10^50 combinaisons à 255^8 = 1,79x10^19 combinaisons !

En revanche la passphrase, pour se prémunir d’une attaque intelligente, doit respecter des règles plus ou moins semblables à celles d’un bon mot de passe, à savoir ne pas être dans un dictionnaire, ne pas être issue d’un texte connu ou signifiant quelque chose pour nous, etc.
Son avantage c’est (en plus de faire barrage à la force brute) de remplacer des lettres par des mots, ce qui donne au cerveau humain plus de sens (car on peut s’imaginer une scène pour retenir les mots) et donc l’aide à mémoriser le mot de passe total. Et qui dit mémorisation dit plus besoin d’écrire son mot de passe sur un papier à côté de l’écran de l’ordi au bureau ! (je ne parle pas pour moi là hein, je vous rassure :ugeek: )

Donc globalement la passphrase ne résout pas le problème des attaques intelligentes mais permet au moins de se prémunir de la force brute.

Pour contrer les attaques intelligentes, il faut être soi-même intelligent et ne pas choisir un truc évident qu’on trouve partout sur Internet. Ca c’est un problème beaucoup plus difficile à résoudre puisqu’il relève du ô combien célèbre bug PEBKAC !

#11

Une idée, parmi de nombreuses autres, de passphrase facile à mémoriser :
Prendre une phrase d’un minimum de 8 mots (sans compter les articles courts) suffisamment longs que l’on pourra mémoriser facilement mais qui ne sera pas un texte connu. Une phrase qui veut dire quelque chose, quoi.
La dernière lettre de chaque mot (sauf les articles) sera écrite en majuscule.
Le premier mot long sera en Français, le second en une autre langue, sauf l’anglais, bien sûr et le troisième dans une langue différente des deux premières.
Vous serez étonnés de voir la rapidité d’apprentissage d’une telle phrase, surtout si vous maitrisez un tant soit peu les langues en question. Celles-ci pourront être des patois, ce qui ajoutera à la difficulté.

EDIT : les mots d’argot sont aussi des bon trucs :smiley: