Bonjour ilorium,
Oui, il a raison.
Un générateur de mots de passe (
Test de solidité d'un mot de passe) utilisant ces caractères exotiques ? Là, à l'instant, je n'en connais pas.
Ce qu'il faut retenir est que la construction d'un mot de passe dur consiste à inventer un mot de passe qui va résister après que l'information protégée ait perdu tout intérêt. Il n'est pas utile de chercher un mot de passe qui va résister plusieurs millénaires aux tentatives de le casser si l'information à protéger n'a plus aucune valeur dans 5 ans.
L'utilisation d'un mot de passe d'un minimum de 16 caractères contenant des caractères spéciaux français (ceux que nous avons à notre clavier), des majuscules et minuscules, des chiffres et des lettres, va résister de nombreuses années à des attaques :
Comme les cybercriminels n'ont pas 10 ou 20 ans de calculs devant eux, avec des machines ultra-puissantes, pour casser ces mots de passe, ils les laissent tomber pour s'attaquer à des choses plus simples.
Normalement, les choses simples devraient être interdites et pourtant, combien de fois, en s'inscrivant sur un site, un forum, etc. on se fait jeter si le mot de passe que l'on veut utiliser contient autre chose que des chiffres et des lettres (interdiction d'espace, du caractère "souligné", de minuscules, du moindre caractère "spécial" comme les caractères accentués, les signes de ponctuation, les trucs "normalement normaux" comme les ²&é"#4{5[6|7`8\9^0@°]+}¨¨^$£¤ù%*µ,?;.:/!§<> etc.
Pour ajouter des caractères cyrilliques, grecs, hébreux, arabes, etc. :
Prenons un mot de passe relativement sérieux : vB4£!aQ(&5dfgKLM$!
Allez dans la table des caractères de Windows
Sélectionnez puis copiez, par exemple : سꙌꜩﷺꝘꚆ₫
Parsemez ça dans le mot de passe pour faire un mot de passe à la v₫B4£Ꚇ!aQꝘ(ﷺ&5dfꜩgKꙌLسM$!
Espérons que le site sur lequel on s'inscrit utilise, au moins,
SHA-256 pour calculer le hashcode de ce mot de passe
Ça va être amusant de tenter de le casser durant les 50 ans à venir, en utilisant des centaines de processeurs graphiques ultrarapides.
L'autre chose à laquelle nous devrions tenir (et je vous mets au défi d'obtenir cette information sur 99,999% des sites sur lesquels il faut s'inscrire) est l'algorithme de chiffrement de nos mots de passe.
Nos mots de passe ne sont jamais (enfin... normalement) stockés en clair, mais uniquement sous une forme chiffrée (un "condensat" ou "
Hashcode (Fonction de hachage)") qui est, normalement, un calcul à sens unique (on peut calculer un
Hashcode à partir d'un mot de passe, mais il est impossible de recalculer un mot de passe à partir de son
Hashcode - enfin, en théorie, car il y a des attaques de plus en plus puissantes contre les
Hashcodes, dont les tables arc-en-ciel).
Comme cela prend du temps à calculer/recalculer chaque fois, les webmasters ont tendance à soulager leurs serveurs et leurs bases de données et donc à choisir l'algorithme de
Hashcode le plus rapide (donc le plus simple et générant des condensats courts) :
MD5 (devenu assez faible depuis quelques années). Mais
MD5 est aussi le plus rapide à casser (bien qu'avec des caractères venant de 4 ou 5 alphabets, plus des caractères spéciaux, cela va monstrueusement ralentir le calcul inverse : remonter du
Hashcode au mot de passe d'origine).
Cordialement,
Posté: 16 Juil 2012, 00:20
