J'étais curieux de la même chose, alors j'ai mis Gbt3fC79ZmMEFUFJ dans Google, et voilà! et voici, il a trouvé quelque chose qui n'était pas simplement une paraphrase du conseil "Ne pas utiliser ce mot de passe" - le mot de passe lui-même était intégré dans un exemple de code source qui montrait comment envoyer un mot de passe à un serveur ! ( lien vers la page, et capture d'écran ci-dessous)

Je pense donc que le véritable objectif de ce conseil est non pas que Gbt3fC79ZmMEFUFJ soit un mot de passe mystérieusement faible à cause de la disposition du clavier ou à cause d'une faible entropie ou parce qu'il n'inclut pas de symboles ou d'Unicode ou d'emoji ou autre: c'est simplement pour vous rappeler que vous ne devriez jamais utiliser un mot de passe qui a été publié quelque part, en particulier un mot de passe publié comme "exemple" de mot de passe!

[ Mise à jour: Ceci est intentionnellement une capture d'écran et pas simplement un extrait de code; le contenu du code est beaucoup moins important que de voir comment il est apparu textuellement sur le site Web de quelqu'un! ]

Comme vous l'avez remarqué, il n'a aucun symbole, ce qui le rend plus faible qu'un mot de passe de longueur similaire, mais il n'y a pas d'autre défaut «évident» avec ce mot de passe. Un mot de passe n'a pas besoin d'utiliser de symboles pour être fort, tant qu'il est long suffisant ( lien XKCD obligatoire).

Mais, maintenant que cela Le mot de passe apparaît en texte brut sur un site Web (dédié aux mots de passe), il est probable que certains attaquants l'incluent dans leur dictionnaire. Après tout, il peut y avoir des utilisateurs moins compétents en anglais, ou des types audacieux, qui utilisent encore ce mot de passe car il semble aléatoire et raisonnablement long. De cette façon, dire "Gbt3fC79ZmMEFUFJ est un mot de passe faible" est une sorte de prophétie auto-réalisatrice.

Il n'y a rien de mal avec ce mot de passe, à part qu'il est publié quelque part sur Internet. Le mot de passe est composé de 16 caractères en majuscules, minuscules et chiffres variables. Cela équivaut à un espace de recherche de 62 ¹⁶ , soit environ 95 bits d'entropie. C'est énorme et ne peut pas être forcé brutalement.

Alors pourquoi l'auteur de ce site Web a-t-il considéré que c'était un mauvais mot de passe? Il est peu probable que la publication sur Internet en soit la raison. Une liste de "bons mots de passe" est également incluse, qui sont évidemment également publiés sur Internet, ce qui en fait immédiatement de "mauvais mots de passe" en utilisant cette ligne de pensée.

Le scénario le plus probable est que l'auteur ne le fait pas comprendre l'entropie du mot de passe et pense que les mots de passe DOIVENT contenir des caractères spéciaux. C'est tout simplement faux. L'entropie est fonction du nombre de symboles possibles, ET de la longueur.

Si elle est générée au hasard, l'entropie (en bits) peut être calculée par log ₂ (nombre-de- symboles ^longueur ). Pour un alpha-numérique avec casse variable, il s'agit simplement de log ₂ (62 ¹⁶ ), soit environ 95.

Le hic est bien sûr le plus les mots de passe ne sont PAS générés au hasard, donc cette formule simple n'est pas souvent utile.

Il semble que le mot de passe soit composé de séries de caractères tapés au hasard sur un clavier QWERTZ / QWERTY / AZERTY qui sont fortement regroupés. Ceci est plus prononcé sur un clavier QWERTZ:

Image basée sur KB Germany.svg de Wiki Commons.

Ici, la couleur les touches sont celles du mot de passe avec la teinte indiquant sa position dans le mot de passe (passant du bleu au vert) .Vous voyez que les caractères se regroupent, et cela est encore plus prononcé pour les caractères de teinte similaire (c'est-à-dire les caractères proches de dans le mot de passe). En plus de cela, les clusters semblent s'agglutiner près de la position d'origine du clavier.

Je dois admettre que je ne connais pas suffisamment les logiciels de craquage de mots de passe / bases de données de mots de passe pour dire définitivement si ces clusters sont ou non pris en compte, mais c'est au moins quelque chose que j'ai remarqué moi-même lorsque j'essaie de taper des caractères aléatoires sur le clavier et qu'ils ne sortent pas vraiment de manière très aléatoire à la fin. Et si j'ai remarqué cela, probablement un auteur d'une base de données de mots de passe l'a fait aussi.

Le paragraphe complet est:

5. N'utilisez aucun mot du dictionnaire dans vos mots de passe. Exemples de mots de passe forts: ePYHc ~ dS *) 8 $ + V- ', qzRtC {6rXN3N \ RgL, zbfUMZPE6`FC%) sZ. Exemples de mots de passe faibles: qwert12345, Gbt3fC79ZmMEFUFJ, 1234567890, 987654321, nortonpassword.

Il semble donc que ce devrait être un exemple de mot de passe incorrect car il utilise des "mots du dictionnaire" . À première vue, je ne peux y reconnaître aucun mot. Cependant, j'ai essayé de rechercher ses parties sur Wikipédia (en anglais), et il semble qu'il y ait des articles pour toutes ses parties.

GBT, 3f, C79, Zm, MEF, UFJ.

Cependant, cela être assez tiré par les cheveux. Ce serait comme dire que, si l'on considère Wikipédia comme votre dictionnaire de mots, une phrase de passe de six mots ne serait pas sûre. En aucune façon! Une phrase de passe de six mots avec des entrées aléatoires de Wikipédia serait très sécurisée.Bien sûr, vous pouvez dire que ce mot de passe n'est plus sécurisé car il est écrit sur Internet, mais cela aurait été vrai pour tous les autres exemples possibles, même pour les exemples de mots de passe forts. J'ai aussi essayé de le chercher sur haveibeenpwned, et le résultat a été: "Ce mot de passe n'a été trouvé dans aucun des mots de passe Pwned chargés dans Have I Been Pwned". Une autre explication, qui est probablement la vraie raison pour laquelle cet exemple a été donné, est que le mot de passe peut être trouvé en ligne dans un code si vous le recherchez sur Google ( voir ici), comme cela a été souligné dans une autre réponse. Donc, par «mot de passe du dictionnaire», les auteurs entendaient peut-être «tout mot de passe qui ait jamais été écrit quelque part, y compris Internet». Cependant, ce conseil est encore une fois insensé: comment êtes-vous censé suivre ce conseil? Devriez-vous commencer à chercher votre mot de passe dans de nombreux endroits (y compris Google, peut-être même en laissant des traces dans l'histoire), juste pour être sûr qu'il n'apparaît déjà nulle part? Cela ne semble pas être une bonne chose à faire.

En conclusion: c'est un mauvais exemple et il a été donné dans le mauvais contexte. Les gens vont voir cela et l'interpréter comme "oh, il n'y a pas de symboles, je devrais utiliser des symboles". La vraie raison pour laquelle il a été inclus dans cette liste est cependant inconnue, et il ne semble y avoir aucune explication vraiment logique. Si quelqu'un a envie de perdre du temps, il peut essayer de contacter le propriétaire de ce site Web et lui demander.

C'est une déclaration trompeuse. "Gbt3fC79ZmMEFUFJ" est un mot de passe fort dans la pratique. Il ne sera attrapé par rien d'autre qu'une attaque par force brute (pas de mots du dictionnaire) et il fait seize caractères, ce qui est bien au-dessus des normes communes que je vois (8 ou 6). Ce mot de passe ne peut être considéré comme faible que si l'attaquant sait qu'aucun symbole n'est utilisé. Si le compte auquel ce mot de passe est attaché publiquement dit «seulement des chiffres et des majuscules / minuscules», alors ce mot de passe peut sembler plus faible pour faire un exemple, mais il est en fait toujours meilleur qu'un mot de passe à 8 chiffres.

Ainsi, pour un mot de passe de 16 caractères utilisant des lettres majuscules, des lettres minuscules et 0 à 9 chiffres, l'entropie est de 62 ¹⁶ = (48 × 10 ²⁷ ) par rapport à un 8 caractères mot de passe avec tous les symboles (nous supposerons même 96, pas 72 caractères) est 96 ⁸ = (7 × 10 ¹⁵ ). C'est une énorme différence.

La raison de cette confusion est que l'exemple simplifie à l'extrême le conseil de base d'utiliser une majuscule, une minuscule, un chiffre et un symbole. En réalité, la longueur du mot de passe est beaucoup plus critique et aussi dans la pratique l'attaquant ne serait pas en mesure de savoir que le jeu de caractères complet n'a pas été utilisé et devrait en fait continuer à utiliser la force brute 96 ¹⁶ .

Alors que Gbt3fC79ZmMEFUFJ est certainement un mauvais choix de mot de passe maintenant , étant donné que votre question a généré beaucoup d'activité sur Stack Exchange et a donc largement publié le mot de passe, je ne pensez pas qu'il y ait une raison discernable pour laquelle nous pouvons identifier pourquoi ce site Web dirait que c'est mauvais en premier lieu, parce que, franchement, ce n'est pas une source crédible.

La source que vous ' re dessiner à partir de semble être une liste vaguement organisée de conseils de sécurité de qualité faible à moyenne. Certains conseils sont bons (par exemple, utilisez l'authentification en 2 étapes chaque fois que possible, verrouillez votre ordinateur et votre téléphone portable lorsque vous les quittez), mais certains d'entre eux ont été remis en question par des experts en sécurité (par exemple, changez vos mots de passe toutes les 10 semaines, utilisez au moins une majuscule / minuscule / nombre / symbole) et un certain nombre semblent carrément paranoïaques (par exemple, astuce 22, qui indique que si vous avez un routeur WiFi dans votre maison, les attaquants à proximité peuvent détecter les mots de passe que vous saisissez en raison des changements dans le Le signal WiFi provenant du mouvement de vos mains, et que l'utilisation d'un clavier à l'écran avec des dispositions aléatoires atténuera cela.

Et même si ce n'est probablement pas un problème, la plupart des conseils sont mal relus (avec beaucoup d'orthographe erreurs et incohérences de ponctuation), c'est un problème que absolument aucun des conseils n'est cité , et que l'ensemble du site Web est anonyme. Il n'y a pas de citations d'experts en sécurité, pas d'articles que nous puissions lire pour plus d'informations ou de discussions. Et le site Web ne contient absolument aucune information sur l'auteur - nulle part sur le site Web, ni même dans l ' enregistrement Whois du site Web, il n'y a aucun moyen de contacter l'auteur ou même de savoir qui il est.

Cela signifie essentiellement que nous n'avons que peu ou pas de moyen de déterminer la qualité d'un conseil " Gbt3fC79ZmMEFUFJ est un mot de passe faible", ou ce que cela signifie même. Nous n'avons certainement aucun moyen de contacter l'auteur de ce site Web et de lui demander nous-mêmes, et je doute en fait qu'il soit même utile de le faire. Je pense qu'il vaut mieux ignorer cette suggestion, en prenant seulement le fait que Gbt3fC79ZmMEFUFJ ne devrait pas être utilisé parce que nous en avons parlé si longuement.

TL ; DR: Passwordsgenerator.net est juste un autre inconnu anonyme sur Internet - ignorez-le simplement.

En guise d'addendum, vous pourriez être intéressé par d'autres choses que j'ai trouvées quand j'étais inspecter le site Web lui-même, pour mieux comprendre ce qu'il était et peut-être trouver plus d'informations à ce sujet. Ce que j'ai trouvé n'était pas très agréable:

• Le site Web propose une option (cochée par défaut, mais toujours) pour ne pas générer le mot de passe sur le serveur. J'ai regardé le code source et la vue du trafic réseau dans la fenêtre Dev Tools, et il honore en fait cette demande, mais il n'y a aucun moyen de dire qu'il le fait réellement sans le lire.
• Les utilisateurs du générateur Math.random () ! Math.random () est un générateur de nombres aléatoires non sécurisé sur le plan cryptographique, ce qui rend les mots de passe générés étonnamment prévisibles et en fait beaucoup moins nombreux que ce que vous seriez amené à croire - par exemple , si votre implémentation de Math.random () n'a que 32 bits d'état, quels que soient les paramètres que vous utilisez, seuls 4 milliards de mots de passe uniques peuvent être générés, ce qui signifie que tout nombre de caractères au-delà de 7 ou alors n'a pas de sens. Un véritable générateur de mot de passe aléatoire devrait à la place utiliser l'appel window.crypto.getRandomValues ​​() à la place, qui source chaque bit du mot de passe à partir d'une véritable source d'entropie quelque part dans l'ordinateur .
• Le générateur de mot de passe est également placé étrangement sur la page - le code du générateur lui-même est minimisé, mais le code de configuration ne l'est pas. Il semble presque que l'auteur du site Web ait copié le module de mot de passe réduit à partir d'une autre source, comme un autre site Web.
• Le site Web tente également d'utiliser Google Ads pour une raison étrange. Il ne les appelle pas réellement - il a juste une signature en bas pour ajouter l'identifiant Google Ads à l'objet window - mais toute présence d'annonces réelles compromettra également les données saisies dans la page. , même si la page est diffusée via HTTPS.

La plupart des gens ont été distraits par la force / l'entropie du mot de passe (il semble que la plupart des gestionnaires de mots de passe crachent). La raison pour laquelle la recherche de la première réponse rend votre mot de passe faible est que il est presque certain de faire partie d'une base de données de mots de passe connus

"C'est très différent de ce qu'il était [avant] à cause de ces listes de mots de passe massives », a déclaré Rob Graham, PDG de la société de tests d'intrusion Errata Security. "Nous n'avons jamais eu une très grande liste de mots de passe à partir de laquelle travailler. Maintenant que nous le faisons, nous apprenons à en supprimer l'entropie. L'état de l'art de la fissuration est beaucoup plus subtil avant que nous devinions dans le noir . "

Si quelqu'un a une violation de données, les pirates commenceront avec la liste connue des mots de passe et travailleront à rebours à partir de là. C'est pourquoi les gestionnaires de mots de passe sont la nouvelle norme de sécurité: vous générez un mot de passe aléatoire et unique à chaque fois.

Fort ou faible est quelque peu arbitraire car il est basé sur le temps qu'il faudrait pour le deviner aléatoirement, qui est fonction de l'entropie du mot de passe. Vous pouvez l'allonger en augmentant la longueur des caractères ou en augmentant le pool de caractères qui peuvent être dans le mot de passe.

Dans l'exemple que vous fournissez, il s'agit simplement de chiffres en haut / en bas /, donc c'est un jeu de caractères de 62. Il y a 16 caractères, donc 62 ¹⁶ combinaisons devinables. L'ajout de symboles spéciaux (disons simplement 10), qui met les combinaisons à 72 ¹⁶ .

Essayer chaque combinaison est un peu naïf, mais c'est l'attaque la plus chère, donc vous avez une base sur laquelle opérer.