Force d'un mot de passe - Page 1

Existe-t-il un algorithme pour donner une idée de la force d'un mot de passe?
Par exemple donnant une valeur de 0 à 1 avec 0 un mot de passe peu sûr (ex : 1234) et 1 un mot de passe un peu plus sûr (ex : E'({23euhU1éhD\|œ)

je te conseillerais de regarder du coté libcrack (ou cracklib je sais plus le nom) utilisé sous linux et divers autres UNIX

KGPG a un tel indicateur de mot de passe quand tu effectues je ne sais plus quelle opération, probablement la génération d'une paire clé privée / clé publique.

Oui exact. Je viens de récupérer les sources(http://websvn.kde.org/trunk/KDE/kdeutils/kgpg/), je compte bien trouver la fonction qui correspond.
J'ai aussi trouvé un site qui fait exactement ce que je veux : http://www.alaide.com/outils_testmotdepasse.php mais sans code disponible, seulement quelques pistes sur les points à contrôler. Je vais leur écrire on ne sais jamais.

spomky (./5) :
J'ai aussi trouvé un site qui fait exactement ce que je veux : http://www.alaide.com/outils_testmotdepasse.php mais sans code disponible, seulement quelques pistes sur les points à contrôler. Je vais leur écrire on ne sais jamais.

Je ne vois pas pourquoi sur leur site un mot de passe comme !£%^&! ne serait pas considere comme tres fort (barre dans le vert) (Et peut etre leur site leur permette de completer leur dictionnaire #f34r#)

La barre dans le vert correspond à un mot de passe fort.

dal: pke ce mot de passe n'est pas tres fort... pour trouver ton mdp par bruteforce il suffit de boucler sur les caracteres speciaux
La force d'un mdp pour eux est simplement:
- lettres (min et maj)
- chiffres
- caracteres speciaux
- longueur du mdp

Ils ne font rien a base de dictionnaire etc. en meme temps, ca se comprend

Mouai il concidere "a1!BAAAAA" comme fort

(ou "Aaaaaaa1!")

ué c'est un peu naze, comme dit nEUrOO on dirait que ça teste le nbr de catégories de caractères couvertes par le mdp, donc question fiabilité c'est limité

Sasume (./7) :
La barre dans le vert correspond à un mot de passe fort.

Oui, je me suis mal exprime, je voulais dire que la barre n'etait pas dans le vert.

nEUrOO (./8) :
dal: pke ce mot de passe n'est pas tres fort... pour trouver ton mdp par bruteforce il suffit de boucler sur les caracteres speciaux
La force d'un mdp pour eux est simplement:
- lettres (min et maj)
- chiffres
- caracteres speciaux
- longueur du mdp

Ils ne font rien a base de dictionnaire etc. en meme temps, ca se comprend

Oui, apparemment c'est ca.

Godzil (./9) :
Mouai il concidere "a1!BAAAAA" comme fort

Meme A!1a est considere comme fort

spomky (./1) :
Existe-t-il un algorithme pour donner une idée de la force d'un mot de passe?

pas d'algorithmes, seulement des heuristiques (la différence est importante)

Ce qui est proposé sur le site n'est qu'à titre de démo je pense. Dans tous les cas cet heuristique peut être amélioré.
Je leur ai écrit et ils m'ont suggéré de lire un mag sur le PHP où tout est expliqué.

changer de methode ca peut devenir couteux pour peu d'information en plus (je parle pour les tests a base de dictionnaire).
leur methode est simple et j'utilise ca aussi, le code qui peut retourner 4 valeurs de force de mdp:

$strength = 0;
$patterns = array('#[a-z]#','#[A-Z]#','#[0-9]#','/[¬!"£$%^&*()`{}\[\]:@~;\'#<>?,.\/\-=_+\|]/');
foreach($patterns as $pattern)
   if(preg_match($pattern,$password))
      $strength++;
return $strength;

Et a la rigueur, tu peux ajouter une echelle specifique a la taille de la chaine genre:
Si la longueur est entre 0 et 6, alors tu peux mapper entre nulle et moyen-moins etc. 8 avec tous les caracteres possibles commence a etre un tres bon mdp.

Faut dire que la notion de force d'un mot de passe est mal définie.

Par exemple, qu'est-ce qui te permet de dire que la chaîne aaaa est plus ou moins forte que jfos ?
En fait pour cet exemple, on peut définir une force en terme de redondance d'information : aaaa contient très peu d'information alors que jfos en contient davantage. Une idée pourrait être de compresser le mot de passe, et de disqualifier tout mot de passe dont la taille une fois compressé est inférieure à un certain seuil.

Cela dit, même si une telle définition a un sens mathématique, elle ne permet pas de disqualifier des mots de passe comme "jlennon".

y'a pas que ça : "maison" est un mot de passe qui contient plus d'information que "vytwty", et pourtant il sera trouvé plus facilement en utilisant un dictionnaire, donc il est théoriquement moins fort

bof, "contenir de l'information" ça n'a de sens que par rapport à un "background" donné : avec un corpus de pages web, on peut se rendre compte facilement que "jlennon" ou "maison" contiennent bcp moins d'information que "jfos" ; évidemment, le background dont vous parlez (compression avec un algorithme type zip, etc) n'est pas du tout adapté pour un mot de passe ^^

bah... oui c'est ce que je voulais souligner, le tout c'est de définir ton "background", mais le jeu c'est de savoir comment et en fonction de quoi (ça doit pas être bien difficile de trouver qqchose de mieux que "corpus de pages web" ou "compression" seuls, déjà)

(Microsoft avait trouvé la solution ultime à ce sujet : http://support.microsoft.com/?kbid=276304 )

la majorité des "calculateur" de force de mot de passe se basent sur la longueur (plus c'est long plus c'est bon ) la diersitée des caracteres (pour ceux que j'ai vu aaaa ou abcd donnent la meme "force") diversité dans le sens un peu d'alpha, un peu de numérique et un peu de ponctuation le tout "mélangé" et bien sur que le mot de passe ne soit pas soit 1 mot d'un dico soit plusieurs mots d'un dico colé les un au autres. meme si plus c'est long mieux c'est (ça joue dessus malgres tout un pass de 42 mots colé les un au autres est plus dur a craquer qu'un mot de passe de 10 caracteres alphanumeriques+ponctuation

Zephyr (./18) :
bah... oui c'est ce que je voulais souligner, le tout c'est de définir ton "background", mais le jeu c'est de savoir comment et en fonction de quoi (ça doit pas être bien difficile de trouver qqchose de mieux que "corpus de pages web" ou "compression" seuls, déjà)

j'ai pas dit que c'était pas ce que tu voulais souligner ^^ je disais juste que "contenir de l'information", c'est qqch de relatif à un background et pas d'absolu

meme si plus c'est long mieux c'est (ça joue dessus malgres tout un pass de 42 mots colé les un au autres est plus dur a craquer qu'un mot de passe de 10 caracteres alphanumeriques+ponctuation

A condition que les mots ne facent pas partie d'une suite logique comme une phrase célèbre(et se sera probablement le cas).