"Ne pas tenir compte de la force brute" - c'est exactement ce que mesurent ces outils.
Évidemment, ils n'essayent pas l'ingénierie sociale, ou n'essaient pas de découvrir si c'est l'anniversaire de la première petite amie de l'utilisateur. L'attaquant le sait peut-être, mais pas ces outils.

Ce qu'ils mesurent, c'est simplement la difficulté pour un outil de force brute de le casser. Pas même l'entropie du mot de passe, qui est un attribut de la méthode de génération, juste une estimation du temps qu'il faudrait à un outil de force brute pour trouver avec succès le mot de passe correct.
Évidemment, l'entropie a un effet là-dessus, mais elle c'est seulement l'entropie totale qui compte, pas l'entropie par caractère. Donc oui, avoir beaucoup d'options équi-probables pour chaque caractère ajoute à l'entropie, mais la longueur peut jouer un rôle encore plus important pour rendre un mot de passe incassable, en élevant l'entropie par caractère à une puissance plus élevée, par caractère compter. Cela donne une entropie totale beaucoup plus élevée, ce qui est la seule chose qui compte.

Donc, dans votre cas - oui, la phrase de passe de 32 caractères, uniquement alpha, est beaucoup plus forte que le mot de passe de ponctuation à 8 caractères.

Je vais essayer de faire le calcul ici pendant un moment: (veuillez me corriger si je me trompe):

Si nous supposons un clavier de style américain standard , il y a 85 caractères imprimables possibles (peut-être pouvoir en gratter quelques autres, mais allons-y pour le moment): lettres minuscules + majuscules + chiffres + ponctuation standard + espace.
Cela donne une force de ~ 6,3 bits par personnage; avec une longueur de 8 caractères, le mot de passe vous donne une force d'environ 50,4 bits.
Remarque vraiment très forte ... Même si nous ajoutons quelques caractères "spéciaux" supplémentaires, vous n'allez pas beaucoup mettre à jour.

Maintenant, pour votre mot de passe de 32 caractères, alpha uniquement ...
Supposons uniquement les lettres minuscules et majuscules (même si vous n'en avez pas utilisé), plus un espace (U + 32). Pas même des chiffres ...
Cela vous donne 54 caractères possibles, environ ~ 5,8 bits par caractère. À 32 caractères de long, c'est plus de 185 bits de force. Considérablement plus fort. Et c'est même sans chiffres, qui sont généralement acceptés même dans les schémas de mot de passe «simples».

Bruce Schneier parle souvent de la façon dont le passage à de longues phrases de passe mémorables serait beaucoup plus sûr que des mots de passe courts et aléatoires à l'aspect bizarre.
Vous voyez maintenant pourquoi.

Vous craignez que parce que la phrase de passe utilise des mots du dictionnaire, il pourrait être plus facile à déchiffrer que quelque chose qui doit être forcé brutalement.

tl; dr: C'est une inquiétude théorique valable, mais pour le moment, ce n'est pas une préoccupation pratique.

"Je vais déjeuner ce soir" est une phrase de cinq mots utilisant des mots sur les 5000 les plus courants en langue anglaise. Naïvement, le deviner est isomorphe à deviner un mot de passe de 5 lettres dans un alphabet de 5000 lettres, ce qui représente 3x10 ^ 18 possibilités. C'est à peu près la même chose qu'un mot de passe de 10 caractères utilisant des majuscules et des minuscules, des chiffres et des symboles.

Bien sûr, un programme de craquage assez intelligent pourrait réduire considérablement cela. La phrase est en prose anglaise standard, qui suit des règles si strictes qu'elle a un taux d'entropie d'information d'environ 1 bit par lettre. Cela signifie que votre phrase a 33 bits d'entropie, ce qui la rend aussi complexe qu'un mot de passe parfaitement aléatoire de 5 caractères ASCII imprimables.

Ce n'est pas très complexe.

Cependant, exploiter cela manque de complexité, vous auriez besoin d'un "cracker de phrase de passe anglais" spécialisé qui pourrait optimiser quelque chose comme la modélisation de chaînes de markov dans les noyaux pour le traitement GPGPU. À ma connaissance, rien de tout cela n'est même en cours de développement. Donc, à moins que quelqu'un disposant des ressources nécessaires pour créer ce logiciel ne veuille votre mot de passe, vous devriez être en sécurité pendant un certain temps.

L'entropie est une chose étrange à mesurer.

Publication spéciale NIST 800-63, Directives d'authentification électronique comprend des guides pour estimer la force du mot de passe:

L'entropie varie considérablement selon que le mot de passe est sélectionné par un utilisateur ou généré de manière aléatoire. Statistiquement, deviner le premier caractère d'un mot de passe sélectionné par un utilisateur est difficile, mais deviner le second est plus facile et le troisième est encore plus facile. Les directives du NIST donnent au premier caractère 4 bits d'entropie lors de l'utilisation des 94 caractères disponibles sur les claviers standard, mais seulement 2 bits pour chacun des sept caractères suivants, et ainsi de suite.

Les mots de passe sélectionnés au hasard ne s'affichent pas motifs, de sorte que chaque caractère a le même niveau d'entropie, environ 6,6 bits.

Cela signifie qu'un mot de passe de huit caractères sélectionné par un utilisateur a 18 bits d'entropie, tandis qu'un mot de passe aléatoire de la même longueur a environ 52,7 bits.

En d'autres termes, si vous pouvez déterminer les 3 premiers caractères de mon mot de passe sont

Awe

Ensuite, les chances que le prochain caractère soit s sont bien plus élevées que *.

Alors quand nous disons qu'un caractère de mot de passe peut être n'importe quel caractère, ce n'est pas vraiment vrai; la plupart des gens utilisent des mots qui ont des motifs forts en eux et réduisent implicitement l'ensemble possible des caractères suivants - produisant ainsi un mot de passe avec une entropie inférieure (aléatoire).

Je ne sais pas comment "je vais déjeuner ce soir" est vulnérable au dictionnaire, c'est une phrase de sept mots. Où "th1 $ .v4l" est une phrase de deux mots avec une jointure de caractère, et la substitution de caractères est quelque chose que les craqueurs de mots de passe ont traité depuis toujours.

Quelques testeurs de mots de passe utilisent cracklib + ajax comme des tests avec une petite base de règles pour éliminer votre mot de passe "this.val".

La question de la fiabilité des vérificateurs de force des mots de passe s'étend également à la sécurité du vérificateur en général. Il est effrayant de voir une prolifération de compteurs de force de mot de passe en ligne. Vous exposez inutilement votre mot de passe à un site sur Internet! Même les applications locales de vérification des mots de passe peuvent être néfastes. Les affirmations selon lesquelles le site utilise javascript et ne transmet jamais le mot de passe sur Internet ne sont pas fiables. Certains sites de test de la force des mots de passe sont sûrement gérés par des chapeaux noirs, qui les ajoutent simplement à leurs dictionnaires avec toute autre information qu'ils peuvent recueillir sur vous. D'autres sites sont gérés par des personnes avec de bonnes intentions, mais peut-être de mauvaises implémentations, comme un serveur vulnérable ou un manque de https. Et d'autres encore sont vulnérables aux attaques des «autorités» qui ont des moyens d'obliger le site à révéler par ex. les mots de passe soumis par certaines plages d'adresses IP.

Je suggère que quiconque utilise un tel site ne doit jamais soumettre un mot de passe qu'il a réellement l'intention d'utiliser.

La longueur est presque tout lorsque vous essayez de vous défendre contre les attaques par force brute.

Même les craqueurs de mots de passe de base permettent des substitutions de style à 1337 mots, donc dans votre exemple, vous comparez efficacement une phrase de passe de 7 mots avec une phrase de passe de 2 mots.

Tant que vous avez de longues phrases de passe (où la définition exacte de long peut varier en fonction de vos besoins, mais devrait au moins dépasser 13 caractères pour faire les probabilités d'une attaque de table arc-en-ciel minimale) vous forcez un attaquant à essayer d'autres formes d'attaque, telles que l'ingénierie sociale; savoir où vous avez écrit la phrase secrète; tenir votre chat en otage, etc.

Théoriquement, les "compteurs de force de mot de passe" ne peuvent pas fonctionner . L'outil ne voit que le résultat du processus de génération de mot de passe, tandis que la "force" du mot de passe est vraiment une propriété du processus. Consultez cette réponse, puis cette réponse pour plus de détails.

Le mieux qu'une application de mesure de la force de mot de passe puisse vous donner est le temps qu'il lui aurait fallu pour casser votre mot de passe - en d'autres termes, cela suppose que l'attaquant exécute exactement le même code et ne sait rien de plus sur vous. Ce n'est pas une hypothèse raisonnable en pratique: l'attaquant, quand il vous attaque, est, eh bien, après vous, spécifiquement. S'appuyer sur un compteur de mots de passe pour la sécurité, c'est comme prier pour que tous les attaquants soient incompétents: c'est une sorte d '"acte de foi".

En regardant le Javascript de cet outil Microsoft, il semble qu'il n'a qu'une liste limitée de mots du dictionnaire (voir les lignes 264 et suivantes dans le fichier js), ce qui pourrait expliquer pourquoi votre phrase secrète une note plus élevée qu'elle ne devrait.

Personnellement, je recommanderais ce testeur de force de mot de passe. Il donne une bonne ventilation des éléments qui composent votre mot de passe et vous indique comment il peut être amélioré. Il évalue votre mot de passe "je vais déjeuner ce soir" à 56% et votre deuxième mot de passe "th1 $ .v4l" à 74% ce qui semble plus réaliste.

Cependant, cet outil n'en utilise aucun liste de mots du tout - votre mot de passe est marqué juste pour être tout en minuscules, tandis que "je vais déjeuner ce soir!" obtient 98%. Vous pouvez tirer vos propres conclusions sur l'utilité du pourcentage d'âge.

En ce qui concerne l'impact sur la durée du temps de craquage, cet article. Notez que cela remonte à 2009, cependant, et que les craqueurs de mots de passe basés sur GPGPU peuvent désormais gérer 10 ^ 9 / s (le niveau d'attaque le plus élevé de «classe F» dans l'article) sur un seul PC de jeu / poste de travail avec un GPU de 500 $ carte.

J'ai vu une bande dessinée dans le journal récemment. Ou peut-être était-ce une copie numérique en ligne d'une bande dessinée, je ne me souviens pas.

Cela illustrait ce débat même. Et je vais maintenant vous expliquer ce qu'il a dit:

Ce n'est pas parce qu'un mot de passe est court qu'il est facile à deviner, comme dans le cas de "th1 $ .v4l". Mais ce n'est pas parce qu'un mot de passe est long non plus qu'il est facile à deviner, comme dans le cas de "je vais déjeuner ce soir".

Le fait est qu'il n'y a pas de pirate humain sérieux va rester assis là et deviner votre mot de passe. Ils peuvent utiliser des mots de dictionnaire, mais ces dictionnaires ne contiennent pas toutes les phrases possibles. Juste des mots.

Non, ce que font les hackers (lorsqu'ils ont épuisé un dictionnaire typique de MOTS), c'est qu'ils font en général passer systématiquement par l'ordinateur toutes les combinaisons possibles. Du début à la fin. S'ils sont forcés sur ce chemin, plus le mot de passe est court, pire c'est. Plus c'est long, mieux c'est. Peu importe s'il y a des chiffres ou des symboles. Les chiffres et les symboles ne comptent que pour les humains qui se souviennent et pour les humains devinant. Pour un ordinateur, c'est la même chose ... une séquence de 1 et de 0 ... et cela ne fait aucune différence.

Faites-vous une faveur. Gardez-le long mais simple. Court et complexe peut coûter du temps à un hacker, mais long et simple fera la même chose. La question est la suivante: voulez-vous un mot de passe facile à retenir ou difficile à retenir?

Eh bien, tous les outils de vérification de la force des mots de passe vérifient combien d'efforts il faudra pour trouver le mot de passe en utilisant la force brute et l'attaque par dictionnaire.

comme si vous compariez vos résultats ici des deux mots de passe.

http://www.passwordmeter.com/

"th1 $ .v4l" est

Mot de passe fort avec 74%

"Je vais déjeuner ce soir" est

Bon mot de passe 56%

ce mot de passe prendra moins de temps à déchiffrer en utilisant la force brute.

Eh bien, si vous définissez la force d'un mot de passe comme sa difficulté ou sa probabilité d'être fissuré, alors presque contre-intuitivement, la force d'un mot de passe dépend plus de sa longueur que de sa difficulté à se souvenir.

Lorsqu'un attaquant potentiel ne sait rien de votre mot de passe et ne peut utiliser que la force brute pour déchiffrer votre mot de passe, un mot de passe plus long qui est beaucoup plus facile à retenir, comme

"Je vais déjeuner ce soir"

mettra plus de temps à craquer que

"th1$.v4l"

simplement parce qu'il y a plus de caractères que l'attaquant aurait besoin de deviner correctement dans l'ordre pour déchiffrer le mot de passe. Les mots de passe plus longs présentent un espace de recherche plus grand à épuiser, donne à votre aiguille (mot de passe) une botte de foin beaucoup plus grande pour se cacher.

La force du mot de passe ne peut être estimée que par vous seul ou par quelqu'un d'autre si vous leur dites comment vous créez vos mots de passe. Par exemple, si j'utilise un générateur de mot de passe aléatoire qui utilise un jeu de 50 caractères et que mon mot de passe comporte 8 caractères, mon mot de passe sera 1 parmi environ 3,9 × 10 ¹³ ou 2 ⁴⁵ . Si j'utilise des mots de passe basés sur le pinyin chinois et que mon mot de passe est une phrase de 4 mots, étant donné que chaque mot est sur un possible 2050, mon mot de passe est 1 sur un possible 1,8 × 10 ¹³ . La romanisation en pinyin moyenne d'un caractère chinois est d'environ 3 à 4 caractères, ce qui fait un mot de passe de «4 mots» d'environ 16 caractères. Pourtant, ce mot de passe Pinyin est plus faible que le mot de passe de 8 caractères généré à partir d'un jeu de 50 caractères.

Si un attaquant sait comment un mot de passe a été généré (disons en examinant les mots de passe en texte brut volés à quelques sites non sécurisés) par une certaine personne, ils ont les connaissances nécessaires pour réduire la difficulté du forçage brutal de beaucoup ! Parce qu'ils savent que vous n'utilisez plus tous les caractères possibles sur votre clavier, ils peuvent éliminer les combinaisons impossibles et gagner du temps.

La prochaine fois que vous générez un mot de passe, pensez à l'algorithme / méthode que vous utilisez en utilisant pour en générer un. Utilisation de Password Safe pour générer un mot de passe de 21 caractères à partir d'un jeu de 72 caractères ( + - = _ @ # $% ^ &<> / ~ \? AbcdefghijkmnopqrstuvwxyzandABCDEFGHJKLMNPQRTUVWXY3489 vous ) obtenez environ 1,0 × 10 ³⁹ combinaisons possibles ou 130 bits de sécurité.

Les vérificateurs de sécurité des mots de passe ne sont généralement pas très fiables. Ils ont tendance à s'appuyer sur des calculs trop simplistes qui supposent que les attaquants tenteront seulement de deviner votre mot de passe en essayant toutes les combinaisons possibles de caractères, une hypothèse qui est rarement vraie en pratique.

In En réalité, un attaquant motivé peut proposer toutes sortes de stratégies différentes pour deviner votre mot de passe, dont certaines n'ont jamais été programmées pour être prises en compte par aucun vérificateur de force de mot de passe.

Par exemple, le mot de passe "! QAZXSW @ #EDC "peut sembler assez aléatoire, jusqu'à ce que vous vous rendiez compte que je l'ai écrit en appuyant sur un motif très simple de touches sur un clavier anglais standard. Un attaquant utilisant un programme conçu pour deviner les mots de passe basés sur la disposition du clavier pourrait facilement déchiffrer un tel mot de passe en quelques minutes. (Et en effet, le vérificateur de mots de passe Pwned de Have I Been Pwned indique que ce mot de passe exact a déjà été utilisé et déchiffré plusieurs fois.) De même, "je vais déjeuner ce soir" peut sembler fort pour votre vérificateur de force de mot de passe, mais il pourrait être facilement craqué par un attaquant en utilisant un programme conçu pour deviner des phrases anglaises courantes.

Il existe des vérificateurs de force de mot de passe qui sont meilleurs dans ce genre de choses que d'autres ( ZXCVBN, par exemple, peut détecter le mot de passe basé sur le modèle de clavier que j'ai donné ci-dessus et donner une estimation de la force plus réaliste) mais finalement il n'est pas toujours possible de dire à quel point un mot de passe est simplement en analysant le mot de passe lui-même . Il n'est pas sûr de supposer que simplement parce que le vérificateur de force de mot de passe que vous utilisez ne peut pas deviner la méthode que vous avez utilisée pour choisir votre mot de passe, qu'un attaquant essayant de deviner votre mot de passe ne le fera pas. Cette hypothèse est connue sous le nom de "sécurité par l'obscurité" et c'est considéré comme une mauvaise pratique dans la communauté de la sécurité de l'information.

Alors, que devriez-vous faire à la place? Choisissez vos mots de passe au hasard , de préférence en utilisant une source aléatoire comme des dés qui ne peuvent être affaiblis par des préjugés humains naturels. De cette façon, même si vous supposez que l'attaquant sait exactement comment vous avez généré votre mot de passe, vous pouvez toujours calculer facilement combien de suppositions l'attaquant devrait essayer avant de deviner correctement votre mot de passe.

Diceware est un bon exemple d'une telle méthode pour générer des mots de passe. Quatre mots aléatoires de Diceware nécessiteront 7776 ⁴ / 2 = ~ 1,83 quadrillion de suppositions en moyenne pour qu'un attaquant devine, même s'il connaît la liste exacte des mots que vous avez choisi votre mot de passe de. Les mots de passe générés par un gestionnaire de mots de passe sont forts pour des raisons similaires.

Pour plus d'informations sur la façon de choisir des mots de passe en toute sécurité, je recommande la réponse de Thomas Pornin à "XKCD # 936: mot de passe court et complexe , ou longue phrase de passe de dictionnaire? ", qui explique en détail l'entropie du mot de passe et comment calculer la force d'un mot de passe généré aléatoirement.