même un mot de passe simple type 8 caractères, ce qui est peu peut déjà être impossible à trouver dans des temps relativement abordables, bien-sur a chaque fois que tu l allonges de 1 caracteres tu vas multiplier sa complexité.
un petit résumé en algebre booléen :
-
- Validation (Algèbre Booléenne) : On utilise la formule V = m ∧ M ∧ c ∧ s ∧ L pour vérifier si le mot de passe respecte la politique. Si V est FAUX, le mot de passe est*
-
rejeté.*
-
- Calcul de la Force (Combinatoire) : Si V est VRAI, on peut alors affirmer que sa force est basée sur la formule C = N ^ L, où N est la taille de l’ensemble des*
-
caractères autorisés et L est sa longueur.*
-
Partie 1 : L’Évaluation par Algèbre Booléenne (La politique de mot de passe)*
-
L’algèbre booléenne ne mesure pas la « force », mais elle répond à la question : « Est-ce que ce mot de passe respecte les règles ? ». C’est une évaluation binaire : VRAI*
-
(1) ou FAUX (0).*
-
- Définition des Variables Booléennes*
-
Nous allons définir une variable pour chaque critère requis. Chaque variable ne peut être que VRAI (1) ou FAUX (0).*
-
- m : Le mot de passe contient au moins une minuscule.*
-
- M : Le mot de passe contient au moins une Majuscule.*
-
- c : Le mot de passe contient au moins un chiffre.*
-
- s : Le mot de passe contient au moins un caractère spécial.*
-
- L : La Longueur du mot de passe est supérieure ou égale à 8.*
-
- La Formule Logique*
-
Pour qu’un mot de passe soit considéré comme valide selon votre politique, tous les critères doivent être remplis simultanément. L’opérateur logique qui correspond à*
-
cette condition est le ET logique (noté ∧ ou ·).*
-
La formule pour évaluer la validité (V) du mot de passe est donc :*
-
V = m ∧ M ∧ c ∧ s ∧ L*
-
En d’autres termes :*
-
Validité = (contient_minuscule ET contient_majuscule ET contient_chiffre ET contient_special ET longueur_suffisante)*
-
- Exemple de Calcul*
-
Prenons le mot de passe : Ex3mpl@ire*
-
- Évaluation de chaque variable :*
-
* m (contient "e", "x", "m", "p", "l", "i", "r", "e") -> VRAI (1)*
-
* M (contient "E") -> VRAI (1)*
-
* c (contient "3") -> VRAI (1)*
-
* s (contient "@") -> VRAI (1)*
-
* L (longueur de 10, ce qui est >= 8) -> VRAI (1)*
-
- Application de la formule :*
-
* V = VRAI ∧ VRAI ∧ VRAI ∧ VRAI ∧ VRAI*
-
* V = 1 ∧ 1 ∧ 1 ∧ 1 ∧ 1*
-
* V = 1 -> Le mot de passe est VALIDE.*
-
Prenons un autre mot de passe : motdepasse*
-
- Évaluation de chaque variable :*
-
* m -> VRAI (1)*
-
* M -> FAUX (0)*
-
* c -> FAUX (0)*
-
* s -> FAUX (0)*
-
* L (longueur de 10, >= 8) -> VRAI (1)*
-
- Application de la formule :*
-
* V = VRAI ∧ FAUX ∧ FAUX ∧ FAUX ∧ VRAI*
-
* V = 1 ∧ 0 ∧ 0 ∧ 0 ∧ 1*
-
* V = 0 -> Le mot de passe est INVALIDE.*
-
—*
-
Partie 2 : Le Calcul de la Force (La combinatoire)*
-
Maintenant que nous savons si un mot de passe est valide, nous pouvons calculer sa force. La force d’un mot de passe est le nombre total de combinaisons possibles qu’un*
-
attaquant devrait essayer pour le trouver par force brute.*
-
- Définition de l’Ensemble de Caractères (Le « Pool »)*
-
Nous devons d’abord définir la taille de l’ensemble de tous les caractères autorisés.*
-
- Minuscules (a-z) : 26 caractères*
-
- Majuscules (A-Z) : 26 caractères*
-
- Chiffres (0-9) : 10 caractères*
-
- Caractères spéciaux : Le nombre peut varier, mais prenons un ensemble courant de 32 caractères (ex: !@#$%^&()_±=[]{}|;:',.<>/?~).
-
- Taille totale du pool (N) : 26 + 26 + 10 + 32 = 94 caractères possibles*
-
- La Formule de Calcul de la Force*
-
La force (le nombre total de combinaisons, C) est calculée en élevant la taille du pool (N) à la puissance de la longueur du mot de passe (L).*
-
C = N ^ L*
-
- Exemple de Calcul pour un mot de passe de 8 caractères*
-
-
-
C = 94 ^ 8*
-
C = 94 × 94 × 94 × 94 × 94 × 94 × 94 × 94*
-
C = 5 732 593 038 784 16*
-
Cela représente plus de 5,7 quadrillions de combinaisons possibles. C’est ce chiffre qui définit la force réelle du mot de passe.*
-
Conclusion*
-
Pour résumer la méthode complète :*
-
- Validation (Algèbre Booléenne) : On utilise la formule V = m ∧ M ∧ c ∧ s ∧ L pour vérifier si le mot de passe respecte la politique. Si V est FAUX, le mot de passe est*
-
rejeté.*
-
- Calcul de la Force (Combinatoire) : Si V est VRAI, on peut alors affirmer que sa force est basée sur la formule C = N ^ L, où N est la taille de l’ensemble des*
-
caractères autorisés et L est sa longueur.*
Je reprends la main en probabilités simple, supposons que tu aies 100 caracteres à ta disposition
tu auras donc 100⁸, soit 100x100x100x100x100X100x100X100, soit Dix millions de milliards de possibilités, ça va être dur … Et … encore faut il pouvoir accéder sans latence, si tu ne peux pas casser le fichier de hash (récupéré on ne sait comment) et l’attaquer depuis la ram ou SSD, tu vas attaquer un gestionnaire de fenêtre de connexion, admettons qu il t autorise une connexion toutes les 5 secondes, tu auras donc 50 millions de milliards de secondes.
Si tu attaques un ficher hash avec un truc type jack the ripper ou un cracker brute force GPU, tu peux peut etre atteindre le gigahash/s, admettons 1milliards/s ce qui me semble quand meme beaucoup, il te faudra malgré tout 50 millions de secondes, il ya environ 80 000 seconde par jour, soit environ 600 jours non stop, si tu rajoutes un caractère ce sera 60 000 jours, un de plus 6 000 000 de jours etc … Donc même à 8 caractères un mots de passe complexe basé sur un ensemble de 100 caractères sera déjà costaud.
Apres certains vont penser passphrase, juste avec 53 caractères ( minuscule majuscule, rien d autre que l espace), mais une passphrase est quand même susceptible d’être attaquée via un dico, par exemple « j ai dematte mon cata pendant une tempete » quelque chose comme 41 caractères,alors oui si tu utilises le brute force, ca va être mega long, il y aura sans doute à nouveau des dinosaures, mais si tu utilises un dico bien formé avec une méthode, une logique de construction … Ca peut tout changer.
