128 bits (d'entropie)

Le but principal d'un mot de passe plus long est d'empêcher les attaques par force brute. Il est généralement admis que 128 bits est au-delà de la capacité de quiconque à la force brute, et le restera dans un avenir prévisible. Vous voyez ce chiffre à quelques endroits, par exemple Les chiffrements SSL avec une longueur de clé de 128 bits ou plus sont considérés comme «haute sécurité» et OWASP recommande que les jetons de session soient d'au moins 128 bits. Le raisonnement est le même pour tous - 128 bits empêche les attaques par force brute.

En pratique, si un mot de passe est composé de lettres majuscules et minuscules, de chiffres et d'un peu de ponctuation, il y en a environ 6 bits d'entropie dans chaque caractère, donc un mot de passe de 128 bits se compose de 22 caractères.

Un mot de passe peut être compromis par des moyens autres que la force brute. Peut-être y a-t-il un keylogger sur le système client, ou l'utilisateur se fait-il phishing. La longueur du mot de passe ne fait pratiquement aucune différence pour ces attaques - même un mot de passe de 1000 bits serait capturé de la même manière. Et ces attaques sont courantes dans la pratique, donc cela ne vaut vraiment pas la peine d'utiliser des mots de passe trop longs.

En fait, vous pouvez vous en tirer avec un peu moins de 128 bits. Si le mot de passe est haché avec une fonction de hachage lente comme bcrypt, cela rend une attaque par force brute plus difficile, donc 100 bits (ou à peu près) empêche complètement les attaques par force brute. Si vous êtes uniquement concerné par les attaques en ligne et que le site a une politique de verrouillage, vous pouvez vous en sortir avec moins encore - 64 bits empêcherait complètement une attaque par force brute en ligne à taux limité.

Un mot de passe peut-il être suffisamment long pour ne pas être sécurisé? Oui.

Lorsque vous examinez le tableau général de la sécurité dans votre organisation, la sécurité ne signifie pas seulement «protéger les comptes avec des mots de passe impossibles à deviner». La sécurité doit protéger l'ensemble de l'organisation avec la «triade CIA» de la confidentialité, de l'intégrité et de la disponibilité. Au-delà d'un certain seuil de longueur de mot de passe, la confidentialité et l'intégrité ne s'améliorent pas statistiquement, tandis que la disponibilité diminue en raison d'une mauvaise utilisabilité. Un système auquel vous ne pouvez pas vous connecter est tout aussi indisponible qu'un système en panne.

Si vous forcez votre utilisateur à saisir un mot de passe de 22 caractères composé de toutes les lettres, chiffres et symboles aléatoires et mixtes, vos utilisateurs seront plus sujets aux erreurs. Considérez qu'un utilisateur peut être stressé pour réagir immédiatement à une situation critique. Trébucher avec un mot de passe long peut entraîner un verrouillage de 3 tentatives et prendre tellement de temps à l'utilisateur pour se réinitialiser qu'il ne peut pas résoudre la situation en temps opportun, et un désastre en résulte. Ce long mot de passe empêchait la disponibilité; au lieu de protéger l'organisation, cela lui a causé du tort.

Combien de temps vos utilisateurs perdent-ils à saisir des mots de passe? Plus le mot de passe est long, plus la saisie est lente. Soustrayez cette dépense de la ligne du bas. Cela fait partie du coût de la sécurité, de l'argent qui aurait pu être dépensé ailleurs. Un mot de passe de 100 caractères vous coûterait plus qu'un mot de passe de 20 caractères, tout en n'apportant aucune diminution mesurable du risque. Le temps et l'argent sont des atouts, et un mot de passe trop long les dépense sans produire d'avantages supplémentaires.

Avec tout cela, je préconise une mauvaise sécurité des codes PIN à 4 chiffres, afin que les utilisateurs soient plus rapides, plus heureux et moins d'erreurs? Bien sûr que non. Ce que vous devez faire est d'équilibrer l'entropie fournie par le mot de passe avec la psychologie de son utilisation.

Bien que la plupart des utilisateurs ne puissent pas se souvenir d'un mot de passe de 12 caractères composé de 70 lettres, chiffres et symboles, ils pourraient probablement se souvenir d'une phrase de passe de cinq mots; envisagez donc une approche par logiciel de dés pour obtenir une entropie similaire. Cinq mots aléatoires mais familiers sont probablement plus faciles à retenir et à taper que 12 symboles aléatoires tout en fournissant des quintillions de combinaisons possibles; six mots de dés fournissent encore plus de sécurité que les mots de passe à 12 caractères.

S'il doit s'agir de caractères pour une raison quelconque, assurez-vous de les choisir parmi l'ensemble de caractères non ambigus. Ne forcez pas l'utilisateur à danser sur la touche Maj ou à saisir des symboles aléatoires. Si vous avez besoin de l'entropie d'un mot de passe de 12 caractères aléatoires qui tire de [az] [AZ] [0-9] [! - *], vous pouvez atteindre un niveau d'entropie similaire en utilisant juste [az] et en l'étendant à 15 caractères .

Ou pensez à d'autres outils, tels que les jetons d'authentification, la biométrie ou les cartes à puce, et demandez à ceux-ci de compléter un code PIN plus court.

Les systèmes de sécurité doivent être utilisables, sinon ils interfèrent avec l'organisation à son détriment.

Les mots de passe de plus en plus longs ne deviennent pas dangereux, mais à un moment donné, ils cessent de devenir plus sûrs.

Sur la base des hypothèses que vous mentionnez, il semble probable que le mot de passe soit vraiment aléatoire et stocké en utilisant bcrypt (stockage de mots de passe de pointe). Bcrypt a une limite de longueur comprise entre 50 et 72 caractères, selon l'implémentation. Ainsi, un mot de passe plus long ne sera pas autorisé, haché en utilisant uniquement les N premiers caractères, ou quelque chose de similaire. Fondamentalement, plus ne sera pas mieux (même si ce ne sera pas pire).

On pourrait également affirmer qu'une fois que le mot de passe est sécurisé contre une attaque par force brute sur le hachage du mot de passe d'ici la fin de l'univers, rendre le mot de passe plus long ne le rend pas plus sûr. Même si vous faites des hypothèses farfelues sur le matériel d'un attaquant, un mot de passe vraiment aléatoire de 20 à 30 caractères sera sécurisé jusqu'à la fin de l'univers. Par conséquent, un mot de passe plus long ne sera pas plus sécurisé.

Un cas où un mot de passe plus long peut être en fait plus faible que prévu est celui des systèmes qui tronquent la chaîne que vous entrez comme mot de passe. Considérez

  passwordsogoodtahtittakestrillionyearstobreakitgoaheadtryme  

Ce mot de passe est extrêmement bon ¹ sauf si vous avez un système qui le considère comme

  mot de passe  

car il n'accepte que 8 caractères. Le reste est silencieusement supprimé de sorte que vous saisissez toujours passwordsogoodtahtittakestrillionyearstobreakitgoaheadtryme , le système accepte password de celui-ci et tout le monde est content.
Y compris le hacker qui essaie d'abord cette combinaison.

¹ _{oui, aussi parce qu'il contient des mots du dictionnaire qui le rendent plus facile à retenir que quelques chiffres majuscules inutiles triade -specialchars promue par des consultants en sécurité mathématiquement déficients}

Je vois quelques commentaires faisant allusion à cela, mais aucune réponse ne le précise clairement, je vais donc l'ajouter ici.

Oui, il y a une limite à la longueur que vous pouvez ajouter à un mot de passe avant que vous n'obteniez plus de sécurité si le mot de passe est haché (et espérons qu'il le soit). C'est parce qu'un attaquant n'a pas besoin de connaître votre mot de passe, il / elle a seulement besoin de connaître une chaîne qui hache vers la même sortie. Par conséquent, si vous avez un mot de passe avec plus d'entropie que la sortie de l'algorithme de hachage, il y aura presque certainement une chaîne plus courte qui produira la même sortie en raison de collisions de hachage. À ce stade, peu importe combien de temps vous créez le mot de passe, vous n'obtiendrez toujours que la même entropie de sortie.

Cela signifie bien sûr que l'attaquant devrait forcer brutalement le hachage jusqu'à ce qu'une collision soit trouvée, ce qui sera pratiquement impossible pour les hachages cryptographiques sécurisés, mais vous avez demandé une limite théorique, pas une limite pratique.

La limite de Landauer spécifie le nombre maximum théorique possible de changements de bit uniques que vous pouvez effectuer avec une quantité d'énergie donnée. Disons que vous avez accès aux 20 centrales électriques les plus puissantes au monde, toutes fonctionnant à pleine capacité pendant 100 ans. Cela vous donnerait 5 * 10 ^ 20 Joules d'énergie pour faire vos calculs. Supposons que vous ayez un ordinateur moderne qui ne consomme qu'un million de fois plus d'énergie que théoriquement. Avec autant d'énergie, ce bon ordinateur refroidi à -270 Celsius, les lois de la physique disent que vous ne pouvez travailler qu'avec 2 ^ 124 combinaisons d'entrées.

Si vous êtes prêt à détruire complètement la planète entière , convertissant avec une efficacité parfaite en énergie, et faites refroidir à nouveau à -270 Celsius un ordinateur fonctionnant à la limite de Landauer, alors vous pourriez énumérer 2 ^ 213 combinaisons d'entrées possibles.

Si vous pouvez d'une manière ou d'une autre détruire toute la matière dans l'univers entier et récolter toute l'énergie sombre, alors votre ordinateur théoriquement parfait ne peut toujours fonctionner que par 2 ^ 233 combinaisons.

Par conséquent, 2 ^ 233 combinaisons est le point auquel une attaque par force brute n'est plus garantie de réussir avec un investissement suffisant en temps et en énergie. Il n'y a pas d'investissement possible assez important.

Il y a toujours de la chance. Peu importe le nombre de bits dont vous disposez, il est possible qu'une estimation soit correcte. On choisit donc un risque acceptable. Il n'y a aucun moyen d'obtenir un risque nul, et aucun moyen de définir «acceptable» en termes universels.

Théoriquement, un ordinateur de la taille de la Terre et fonctionnant à la limite de Bremermann pour la vitesse de calcul craquerait un Mot de passe de 256 bits en moins de deux minutes. Cependant, comme il vient d'être calculé, la puissance de l'univers est insuffisante pour faire cet effort. Le temps qu'il faut pour craquer avec un équipement théoriquement idéal ne nous donne pas une limite "acceptable".

Le président Obama a ordonné la création d'un ordinateur exaflop d'ici 2025, espérant que ce sera l'ordinateur le plus rapide du monde lorsqu'il sera construit. Quelle chance un ordinateur exaflop a-t-il de craquer un mot de passe de 2 ^ 233 bits dans les 5 milliards d'années qui restent avant que le soleil n'explose? Eh bien, c'est 1,6 * 10 ^ 34 suppositions ou moins de 2 ^ 114 suppositions. C'est une chance sur 2 ^ 119 (6 * 10 ^ 35) de déchiffrer le mot de passe avant que le soleil n'explose.

Acceptable? Qui doit dire? Il est très difficile de mettre ces probabilités en perspective car elles sont si peu probables. Gagner le jackpot de la loterie cette semaine, la semaine prochaine et la semaine d'après également? Bien plus probable que de déchiffrer le mot de passe avant que le soleil n'explose dans cinq milliards d'années.

233 bits d'entropie peuvent être représentés avec 36 caractères tirés des 95 caractères imprimables de l'US-ASCII. Un attaquant ne peut pas garantir de déchiffrer un tel mot de passe par la force brute, même en utilisant toutes les ressources de l'univers entier pour le faire, et les chances qu'il le craque en utilisant uniquement la technologie existante aujourd'hui sont très très faibles.

C'est la seule limite dont je suis consciente qui est imposée non pas le choix de l'algorithme ou de la personne qui doit se souvenir du mot de passe mais par les lois physiques réelles de l'univers.

Par défaut, la réponse à une question de la forme peut [une mauvaise chose XYZ] se produire avec des mots de passe est oui . Il y a toujours de la place pour des commentaires spécifiques, mais il n'en demeure pas moins que les mots de passe sont l'une des tâches de sécurité les moins naturelles confiées à une personne, et cette personne privilégiera presque certainement l'efficacité à la sécurité.

Si vous choisissez un mot de passe long qui ne figure pas dans un dictionnaire, il y a de fortes chances que le mot de passe soit une chaîne aléatoire de caractères difficiles à retenir. En conséquence, l'utilisateur devra trouver des raccourcis pour utiliser réellement son système sans trop de brouilles (pour les utilisateurs, la sécurité est normalement un obstacle pour réaliser les tâches qui ont réellement de la valeur): notez-le, gardez-le dans le presse-papiers, branchez un dong USB qui tape le mot de passe automatiquement ... vous le nommez.

La bande dessinée Battery Horse Staple XKCD est devenue célèbre pour produire des mots de passe plus longs et plus mémorables, mais en tant que résultat, mettez correcthorsebaterrystaple dans chaque dictionnaire. Donc, en général, il est difficile de produire des mots de passe longs utilisables.

C'est tout pour la responsabilité pratique. Voyons maintenant quelques chiffres. Supposons que vous ne stockiez pas votre mot de passe en texte brut, mais que vous le hachiez et le saliez. En général, disons qu'il n'y a pas de moyen plus simple de déchiffrer le stockage des mots de passe que d'obtenir une collision pour le mot de passe stocké. Dans ce cas, chaque hachage de mot de passe aura une longueur fixe: disons 256 bits pour SHA-256. Ensuite, vous avez tout au plus 2 ²⁵⁶ valeurs à stocker. Certes, c'est beaucoup, mais c'est aussi votre «limite». Si vous stockez des mots de passe avec plus de 256 bits d'entropie, vous ne conserverez nulle part cette entropie supplémentaire. Ce n’est pas moins sûr, mais, comme l’indique la réponse de Neil à propos de bcrypt , il n’y aura aucun gain avec des mots de passe plus longs.

pas de limites, en fait. La limite serait possible pour un hachage faible connu où une attaque de substitution est bien documentée et mesurable.

Lorsque vous parlez de mots de passe, il est important de prendre en compte tous les vecteurs.

Par exemple, le mot de passe "password" prendra 2,17 secondes à force brute. "p455w0rd" prend 29,02 secondes et "p455w0Rd!" prend 2,4 mois. Important : parlons du forçage brutal d'un mot de passe, ces trois exemples prendraient moins d'une seconde dans une attaque basée sur un dictionnaire.

En revanche, "thisisalongpassword" prend 2,5 millions de siècles, tandis que "th1sIs4l0ngPa55w0rd" prend 36,72 siècles. Cependant, en utilisant le mot de passe plus complexe, vous augmentez le risque que quelqu'un l'écrive sur un post-it et le colle sur son écran.

Ainsi, bien qu'une plus grande entropie soit meilleure du point de vue de la force brute, elle réduit la sécurité globale d'un système en augmentant la probabilité que les gens seront des personnes et feront des choses non sécurisées, augmentant ainsi la vulnérabilité dans d'autres vecteurs d'attaque.

Pour regarder un autre exemple, disons que vous obligez les utilisateurs à utiliser un mot de passe de longueur de phrase de passe. Ainsi, l'utilisateur choisit "tobeornottobe". Si un pirate utilisait uniquement la force brute, cela prendrait 9,85 mois. Mais comme un pirate utilisera des attaques par dictionnaire et d'autres heuristiques, cela prendra probablement des minutes. Si le même utilisateur utilisait «2b0n2b», la force brute seule prendrait 0,02 seconde, mais les attaques par dictionnaire seraient inutiles. Le but est de trouver un juste milieu entre facile à retenir, force brute et dictionnaire difficile. Si vous faites que votre politique de mot de passe s'éloigne trop de l'un de ces objectifs, c'est que vous avez affaibli le mot de passe global.

La réponse

Il n'y a pas de limite supérieure où plus d'entropie rendra un mot de passe plus faible. Il y a une limite supérieure quand on parle de utiliser un mot de passe dans le monde réel. La limite supérieure est le point où les utilisateurs du système ne peuvent plus utiliser le mot de passe sans utiliser des moyens non sécurisés pour s'en souvenir, vous ouvrant ainsi à d'autres vecteurs d'attaque.

Les mots de passe Time to Brute Force sont basés sur https://www.grc.com/haystack.htm dans "Scénario d'attaque rapide hors ligne"

Oui, il y a un cas où un mot de passe plus long est moins sécurisé, mais personne ne devrait de toute façon utiliser les mots de passe DES de toute façon car ils sont de toute façon triviaux à craquer. Certaines implémentations de DES étaient en fait moins sécurisées et utilisaient moins d'entropie lorsque le mot de passe comptait plus de huit caractères! La solution de contournement consistait à tronquer le mot de passe à huit caractères avant le hachage. Si vous trouvez quelqu'un qui utilise encore des hachages de mot de passe basés sur DES, ils ont également d'autres problèmes. Il est également théoriquement possible qu'une faille similaire puisse affecter d'autres algorithmes de hachage de mot de passe (je pense que certaines versions de lanman avaient un problème similaire), mais la plupart des personnes qui conçoivent des hachages de mot de passe tirent les leçons des leçons de l'histoire et je ne suis pas au courant d'une publication moderne fonction de hachage de mot de passe avec ce problème.