web-dev-qa-db-fra.com

Dans quelle mesure les mots de passe sont-ils constitués de phrases anglaises entières

Je lis souvent comme un conseil pour construire des mots de passe forts, juste pour penser à une phrase et ensuite prendre les premières lettres. Par exemple, prenez une phrase absurde comme "Je regarde Grey's Anatomy à 9h40" me donne le mot de passe "IwG'[email protected]".

À quel point est-ce sûr si je prends à la place de cette phrase toute la phrase (y compris les espaces blancs). Pour être plus concret:

Dans quelle mesure est-il sûr d'utiliser une phrase anglaise ordinaire comme mot de passe, en particulier en ce qui concerne

  • une attaque de répertoire sophistiquée
  • une attaque par force brute

Si c'est une bonne idée de le faire, y a-t-il des règles à suivre pour construire la phrase? (Nombre de mots, est-ce correct si c'est une citation d'une personne célèbre ou si ça doit être une phrase absurde ...)

Comment les mots de passe de ce type se comparent-ils à un mot de passe choisi au hasard composé de lettres minuscules et majuscules, de chiffres et de symboles de longueur n?

Je pense à quatre endroits où ce régime devrait être appliqué:

  1. Votre ordinateur personnel
  2. Comptes Internet (email, boutiques en ligne, réseaux sociaux, ...)
  3. Services bancaires sur Internet
  4. Stockage de données hautement sensibles

Le mot de passe doit être suffisamment sécurisé pour suivre les progrès techniques de la fissuration des mots de passe et du matériel informatique pendant au moins deux ans.

Dans quelle mesure le schéma de construction de mot de passe décrit est-il approprié dans ces cas, comment changer les recommandations sur la longueur de la phrase, etc., selon la zone dans laquelle le mot de passe est utilisé?

Ce serait génial si la réponse contient des calculs qui estiment la sécurité des mots de passe et quelques références à ce sujet.

31
student

Ce serait génial si la réponse contient des calculs qui estiment la sécurité des mots de passe et quelques références à ce sujet.

J'ai très récemment répondu presque exactement à la même question ici: Confus au sujet de l'entropie (mot de passe)

Le temps qu'il faut pour déchiffrer votre mot de passe est exactement égal au temps qu'il faut pour tester un seul mot de passe multiplié par le nombre de mots de passe qui seront essayé avant le vôtre. Puisque vous essayez de prédire le comportement de quelqu'un d'autre, c'est vraiment tout ce que vous pouvez dire.

Il existe d'autres estimations qui tentent de déterminer le nombre que cela représentera dans certains cas généraux, mais celles-ci sont nécessairement toujours fausses, car l'attaquant n'a pas à suivre le modèle mathématique que vous construisez. De toute évidence, le mot de passe sera deviné rapidement si l'attaquant sort une liste de frappes de votre ordinateur, et clairement le mot de passe sera jamais deviné si le dictionnaire que l'attaquant utilise ne contient pas votre mot de passe du tout.

Parfois, les gens utiliseront le concept de entropie pour faire ce genre d'estimation, mais encore une fois, dans le monde réel, comment cela tient-il? Un mot de passe composé de la lettre `` a '' répétée 27 fois a une entropie très faible, mais résisterait à presque toutes les attaques de dictionnaire couramment utilisées ... jusqu'à ce que les mots de passe extrêmement longs à une seule lettre deviennent à la mode et que les attaquants commencent à le chercher.

Plus un modèle de mot de passe devient courant, plus les attaquants le rechercheront probablement.

En général, les attaques par mot de passe essaient les mots de passe dans cet ordre:

  1. mots de passe couramment utilisés
  2. mots de passe simples basés sur un dictionnaire (lettres minuscules uniquement),
  3. des mots de passe basés sur des dictionnaires plus complexes (casse mixte, parsemé de chiffres et ponctuation selon certains modèles courants)
  4. recherche exhaustive de l'ensemble de l'espace clé en commençant par des mots de passe courts et en progressant vers des mots longs

Si vous pouvez résister aux 3 premiers types et que vous avez un mot de passe assez long, vous êtes à peu près libre à la maison car une recherche exhaustive d'un espace de touches de cette taille est irréalisable. La plupart des attaques s'arrêtent après les types 1, seules les attaques concertées tentent même les types 3 et les types 4 sont désespérés.

27
tylerl

Je pense que la meilleure référence est NIST SP 800-63 Annexe A , qui expose la théorie et les calculs. Le NIST suppose que la stratégie défensive dominante est l'entropie, et que les mots de passe avec l'entropie maximale sont les plus forts. Les meules de foin de mot de passe de Steve Gibson remet en question cette hypothèse et affirme que la longueur est plus importante que la complexité ou l'entropie (en partie en raison de la magie du hachage). Pour vos besoins, je pense qu'il suffit de supposer que la force d'une information d'authentification (mot de passe/phrase secrète/etc.) est dérivée à la fois de la longueur et de l'entropie.

Une phrase est plus forte parce qu'elle est plus longue. Certes, le texte anglais est hautement redondant environ 1 bit d'entropie/caractère , la plupart des attaquants ne parviendront pas à profiter de cette entropie. Je n'ai plus de pentesting depuis environ cinq ans maintenant, mais au moment où je l'ai fait pour la dernière fois, les outils d'attaque supposaient que le mot de passe ressemblait plus à un mot qu'à une phrase. La longueur du mot de passe jusqu'à l'entropie n'est pas une fonction linéaire pour des raisons que Henning Klevjer a assez bien expliquées, et les outils d'attaque profitent de ces limitations. (IIRC, les problèmes soulevés par Klevjer peuvent entraîner une augmentation de 100 fois de la vitesse de craquage des mots de passe).

Sur la base de ces hypothèses, la phrase en tant que phrase secrète est particulièrement forte. Comme d'autres l'ont souligné, les chercheurs ont attaqué les phrases secrètes, mais je ne suis au courant d'aucune information publiée indiquant que des attaquants du monde réel l'auraient fait.

Cependant, il existe une limitation importante à la phrase secrète. La partie utilisatrice (le site auquel vous vous authentifiez) doit accepter une phrase secrète. D'après mon expérience personnelle, une fraction importante, peut-être qu'une majorité de sites d'authentification n'accepteront pas une phrase comme phrase secrète. (J'apprécierais tous ceux qui peuvent me diriger vers des chiffres précis à ce sujet) De nombreuses implémentations de mots de passe rejettent explicitement les mots de passe de plus de 16 caractères, ou bien tronquent les phrases de passe plus longues à la longueur souhaitée.

Examen de vos cas d'utilisation à tour de rôle: 1) ordinateur domestique - Dépend de votre système d'exploitation, mais il existe des mécanismes d'authentification sans mot de passe qui sont beaucoup plus forts et beaucoup plus simples. (biométrie et jetons matériels, par exemple Yubikey ) 2) Comptes Internet (e-mail, boutiques en ligne, réseaux sociaux, ...) - Je doute que vous puissiez utiliser une phrase secrète de phrase. Beaucoup, sinon la plupart d'entre eux, n'accepteront pas de phrase secrète - votre seul espoir est de maximiser l'entropie du mot de passe que vous fournissez et de éviter de réutiliser le mot de passe 3) Services bancaires par Internet - Comme ci-dessus, peu probable accepter une phrase secrète. Cependant, un nombre croissant de sites Web acceptent l'authentification à deux facteurs de RSA ou Yubikey ou des touches programmables comme l'authentificateur Google. 4) Stockage de données très sensibles - je ne sais pas ce que vous voulez dire ici. Si vous stockez des données hautement sensibles, votre meilleur pari est hors ligne ou crypté. Si vous parlez de cryptage réel, alors une phrase devrait être plus forte, si le produit de cryptage l'acceptera. Personnellement, j'opterais pour l'authentification à deux facteurs ici et je sauterais le mot de passe.

Notez également que la force du mot de passe n'a pas de sens si la partie de confiance a une implémentation cérébrale - pour des exemples, voir Sarah Palin Hack ou Mat Honan . Votre entropie ultime ne peut pas vous protéger contre une partie de confiance négligente. Si vous renforcez les informations d'authentification, un attaquant ciblé aura recours à une autre méthode (bien sûr, vous pouvez lui coûter du temps et dissuader l'attaquant opportuniste). Dans de tels cas, vous devez accorder une attention à la fois à la prévention du compromis et à la détection/récupération du compromis. Mais cela sort du cadre de votre question.

Veuillez ne pas être distrait de l'objectif - si votre véritable objectif est une authentification forte, alors votre meilleur pari est d'utiliser un identifiant d'identité fédéré avec un haut niveau d'assurance, et d'utiliser une authentification à deux facteurs pour cette identité.

15
Mark C. Wallace

Les phrases complètes pour les mots de passe, avec ou sans espaces, sont appelées phrases secrètes . Ils sont plus sûrs simplement parce que leur longueur désactive toute attaque par force brute contemporaine. Cela nécessite cependant que l'attaquant ignore la structure de votre phrase secrète. Une politique de mot de passe bêtement écrite peut nécessiter "une phrase secrète composée d'au moins deux mots", ce qui facilite le tout. Dire qu'il faut X secondes pour deviner chaque phrase secrète anglaise d'un mot, faire la même chose pour deux mots prend X2. Les attaques par dictionnaire sur les mots de passe, lorsque l'attaquant est conscient de la structure, peuvent être très efficaces.

Une bonne idée est d'utiliser une phrase secrète telle que "J'espère que personne ne remarque l'odeur de mes pieds" et d'ajouter des fautes d'orthographe ou des caractères spéciaux. Ainsi, "Hope naune nytices mafit smell" est un meilleur mot de passe si l'attaquant peut deviner ou connaître la structure . Ceci est plus important pour les phrases plus courtes. "Yikes! Duperlarge% Dactionery" ne sera pas vulnérable à une attaque par dictionnaire et est suffisamment long pour échapper aux attaques par force brute.

Mauvaises pratiques (liste non exhaustive):

  • Mots de passe courts
  • Quelques mots simples du dictionnaire
  • Substitution de caractères avec des signes similaires (par exemple pa $$ w0rd). "Pissword" est presque aussi bon ..

  • Numéros en séquence

Historiquement, un mot de passe fort est un mot de passe long et aléatoire. Étant donné que nous ne pouvons pas tous nous souvenir de "% W¤GHAF034jio43Q¤ #% q3æPÅJ (%" ainsi que de "LookattemGo, thefatteys!", Je suggère des phrases de passe. Et écrivez-les si vous pouvez le faire en toute sécurité.

Pour répondre pleinement, vous pouvez utiliser un devis, mais pas "non-désinfecté". Dans le cas LinkedIn (LinkedIn a perdu beaucoup de hachages de mot de passe), les citations de la Bible et des films écrits directement comme mot de passe ont été correctement piratées.

Conclusion: pensez à la citation "Il n'y a pas de bonne taxe." et en faire quelque chose de similaire. "No_sych_thang: taxorama", ne l'écrivez pas directement.

"Votre mère sent le brouillard de toilette aux amandes", par la longueur est suffisante, mais encore une fois, si la politique de mot de passe dit "La phrase de passe devrait être de sept mots et offensante pour le parent de quelqu'un" ...

Pour votre ordinateur personnel, si vous utilisez Windows, vous pouvez avoir Ctrl + retour arrière comme mot de passe, et personne ne l’essaiera probablement tous.

5
Henning Klevjer

Ce qui importe n'est pas la longueur du mot de passe, mais son entropie. L'entropie d'un mot de passe est le nombre attendu de tentatives qu'un attaquant devra essayer avant de trouver votre mot de passe lors d'une tentative de force brute. (Nombre de tentatives "escompté" car un modèle réaliste de l'attaquant est probabiliste - si vous saviez exactement dans quel ordre l'attaquant allait énumérer les candidats de mot de passe, vous n'en choisiriez qu'un qui est suffisamment loin sur la liste pour qu'il " Je ne le trouverais jamais de votre vivant.)

Si vous appliquez une transformation prévisible à un modèle de mot de passe, l'entropie du mot de passe ne change pas beaucoup. Si la transformation est de plusieurs à un, l'entropie diminue en conséquence. La quantité dont l'entropie pourrait augmenter représente la propension de l'attaquant à risquer l'hypothèse que vous pourriez appliquer cette transformation. Des transformations mémorables telles que la prise de la première lettre ou 1337speak sont susceptibles d'être essayées assez rapidement (devinez quoi, les personnes qui écrivent des outils de craquage de mot de passe ne sont ni stupides ni ignorants). Ainsi, une transformation comme celle que vous décrivez pourrait ajouter un ou deux entropies au maximum - ou elle pourrait réduire considérablement l'entropie: si l'attaquant décide qu'il est plus probable que les gens appliquent de telles transformations, il essaiera d'abord la forme courte; et si la transformation réduit de nombreuses phrases secrètes en une seule, cela réduit le nombre de tentatives en conséquence.

La ponctuation ne rend pas intrinsèquement un mot de passe plus sûr. L'avantage d'une transformation comme celle que vous décrivez est qu'elle raccourcit la saisie de votre mot de passe. Notez qu'il peut être plus difficile à taper même s'il est plus court, en particulier sur les appareils mobiles avec des claviers à l'écran sur lesquels la ponctuation est quelque peu hors de portée. La phrase complète a au moins autant d'entropie, et supprimer toute sa ponctuation, ses espaces et mettre toutes les lettres en minuscules ne réduit pas l'entropie de manière significative.

Un bon schéma de mot de passe consiste à prendre plusieurs mots de dictionnaire aléatoires et à les enchaîner. Notez qu'il est essentiel que les mots du dictionnaire soient choisis au hasard. L'utilisation d'une phrase significative facilite la mémorisation, mais elle aide également l'attaquant. Un avantage d'utiliser un schéma de génération de mot de passe aléatoire simple est que vous pouvez évaluer facilement son entropie. Si votre dictionnaire contient 2 ^ D mots (D ≈ 10 pour l'anglais de base, D ≈ 14 pour des mots raisonnablement communs, D ≈ 19 pour l'OED) et que vous choisissez N mots pour votre mot de passe, alors votre mot de passe a N D bits d'entropie. Étant donné que la génération du mot de passe est aléatoire, l'attaquant n'a aucun moyen d'obtenir plus d'informations, il devra faire 2 ^ D N/2 tentatives pour le casser en moyenne. Si certains systèmes nécessitent des caractères spéciaux dans les mots de passe, collez un 1 à la fin ou en majuscule au début - l'entropie vient des mots aléatoires, pas des caractères spéciaux. Ce mécanisme de génération de mot de passe est illustré dans XKCD 936 , avec une comparaison avec 1337speak (bien pire); la bande dessinée a été discutée plus en détail sur ce site .

Que ferait vous si vous deviez déchiffrer un mot de passe et que vous n'avez pas le temps d'essayer toutes les combinaisons possibles? Vous feriez probablement quelque chose comme ceci:

  1. essayez les combinaisons souvent utilisées comme "admin" ou "12345"
  2. essayez des mots simples d'un dictionnaire
  3. essayez des combinaisons aléatoires jusqu'à environ 7 caractères
  4. essayez des paires de mots d'un dictionnaire
  5. Essayez des citations connues

Utiliser plusieurs mots au lieu d'un seul mot de passe est en fait une bonne idée, mais uniquement parce qu'il y a autant de mots possibles disponibles. Vous pouvez calculer vous-même les combinaisons possibles:

Random characters:
26 characters in alphabet ^ 8 places = 2.0E11 combinations
52 case sensitive characters ^ 8 places = 5.3E13 combinations

Sentence with words:
135'000 words in dictionary ^ 4 places = 3.3E20 combinations

Il est donc bon d'utiliser des phrases secrètes, tant qu'elles ne sont pas souvent utilisées (bien connues). Moins vous utilisez de mots, plus il est facile de craquer, 4 mots me semblent un minimum.

Utiliser uniquement les premières lettres des mots d'une phrase de passe est plus confortable, car vous devez taper moins. C'est bon tant que cela conduit à utiliser plus de mots. Si votre phrase secrète utilise trop peu de mots, votre mot de passe tombera dans la catégorie 3 (combinaisons aléatoires jusqu'à caractères?).

2
martinstoeckli

Le problème avec le crackage est que vous ne savez pas dans quel contexte saisir les phrases pour correspondre au contexte que la personne a utilisé pour choisir le mot de passe.

Cela devient extrêmement difficile lorsque vous utilisez des textes qui ont différentes sources telles que des fichiers PDF, TXT, Word Docs, etc.

Par exemple, disons que j'ai un livre et qu'il contient les deux phrases suivantes:
Mary avait un petit agneau en polaire blanc
sous forme de neige. Marie a alors décidé un jour de faire de l'agneau
ragoût et ainsi Mary n'avait plus un petit agneau.

Donc, pour mon mot de passe, je choisis la phrase 1 "Mary avait un petit agneau dont la toison était blanche"

Mais maintenant, en essayant de résoudre ce problème, je crée ma liste de mots en obtenant le "LIVRE" au format TXT. Le fichier texte ressemble à ceci:
May avait un petit agneau dont la toison était blanche comme la neige. Mary a alors décidé
pour faire un ragoût d'agneau et ainsi Mary n'avait plus un petit agneau.

Vous voyez le problème ici? Mon candidat va être "Mary avait un petit agneau dont la toison était blanche comme la neige. Mary a alors décidé" - et peu importe ce que je fais à cette phrase lorsqu'elle est hachée et comparée, elle ne correspondra jamais à la "vraie" utilisée initialement.

Alors, comment savoir où tronquer des phrases pour les intégrer dans un dictionnaire? Les possibilités sont infinies - phrases avec 1 mot, 3 mots, 10 mots, 9 mots?

De toute évidence, il serait facile de simplement passer d'un point de ponctuation à un autre comme un "point" à un "point" - mais c'est en supposant que les gens choisissent des phrases pour leurs mots de passe en fonction de cela? S'ils le font, je serais surpris (et inquiet) - s'ils ne le font pas, alors encore une fois, cela rend les possibilités plutôt difficiles.

Peut-être qu'avec un certain codage, on peut générer des listes de phrases à partir d'une source basée sur de nombreuses itérations de mots + "x" dans la phrase, puis les canaliser dans un pirate de mot de passe. Pas sûr de l'efficacité ou de la vitesse.

2
RuraPenthe

Supposons que l'algorithme et la méthode de hachage (salés/non) soient identiques. Supposons que vous pouvez créer une liste de hachage et utiliser un cracker GPU comme ocl hashcat contre lui (j'ai vu des benchmarks revendiquant 59 Gps pour deviner - c'est Billion comme en 55 077 000 000 de suppositions par seconde. Cela brise l'espace entier d'un mot de passe de 8 caractères en utilisant 76 possibles caractères en environ 3 heures.). Supposons que vous avez 3 000 mots courants en cours d'utilisation. Supposons que 300 d'entre eux sont des verbes (ceci est basé sur une analyse lexicale publiée sur Internet - ymmv). Supposons que les verbes se produisent normalement dans les trois premières positions d'une phrase. Supposons que des mots courants comme "à, deux, pour, quatre, un, gagné, cinq", etc. sont échangeables avec leur homologue numérique, et supposons que votre ponctuation sera des espaces entre les mots et les points, des points d'exclamation et des points d'interrogation (ou rien) à la fin. Ne supposez aucune capitalisation sauf la première lettre. Supposons cinq phrases Word (une moyenne de Nice, même les personnes soucieuses de la sécurité dépassent rarement 12 à mon avis).

Vous pouvez le casser hors ligne dans environ deux mois en utilisant les mots comme morceaux.

Mais, les phrases choisies avec des noms, des mots rares, des fautes d'orthographe intentionnelles, des symboles autres que l'espace, des majuscules randomisées ou des mots absurdes seraient théoriquement plus sûres car les directives d'entropie briseraient mes hypothèses.

Bien sûr, ce n'est que de la théorie. Beaucoup de personnes à qui vous donnez votre mot de passe ne les hachent toujours pas. Beaucoup n'utilisent toujours pas de sel. Beaucoup d'autres utilisent des algorithmes de hachage non sécurisés éprouvés. Certaines technologies ne nécessitent pas la suppression d'un hachage pour en abuser. Même les fournisseurs sécurisés ne parviennent pas à protéger les réponses d'indication de mot de passe ou d'autres canaux dans les comptes. Et de nombreux bons fournisseurs qui essaient véritablement utilisent même un mauvais captcha pour deviner les "limites humaines".

Donc, je dirais: la non-réutilisation (des astuces, des réponses ou des mots de passe) est plus importante, la longueur importe, et incitez vos dépositaires de mots de passe à utiliser de meilleures pratiques. C'est une meilleure utilisation de votre temps qu'un débat comme celui-ci.

2
Davien the moose.

Que diriez-vous des phrases de passe générées avec diceware ? D'après la discussion, l'argument est que 5 ou 6 mots choisis au hasard dans une liste de 7776 mots (la clé est qu'ils soient vraiment aléatoires) ont autant d'entropie que d'utiliser les nombres de 5 ou 6 rouleaux de 5 dés

2
Keith Wolters

L'entropie du mot de passe et la complexité de l'espace de clés sont vraiment intéressantes à calculer et sont utiles pour comprendre la durée de survie probable du hachage de mot de passe sous une attaque par force brute. Bien qu'il ne s'agisse que d'un type d'attaque et que l'entropie ne soit qu'un aspect de ce qui peut ou non être un mot de passe "fort", il mérite d'être exploré. Voici quelques calculs que j'ai faits récemment. Divulgation complète: ce qui suit vient de mon propre blog, donc si les modérateurs veulent rejeter cette réponse, je ne m'en offenserai pas.

Il est étrange de penser qu'un mot de passe tout en minuscule à 7 caractères est meilleur qu'un alphanumérique à 5 caractères avec ponctuation:

95^5 = 7,737,809,375
26^7 = 8,031,810,176

Le mot de passe en minuscules à sept caractères comporte un peu plus (294 000 801) caractères. Mais si vous augmentez chaque type de mot de passe d'un caractère de plus, le mot de passe en minuscule a environ 3 fois et demi moins de caractères.

95^6 = 735,091,890,625
26^8 = 208,827,064,576

Je me demande s'ils vont et viennent comme ça lorsque vous ajoutez plus de caractères à vos mots de passe. Je me demande si les temps de crackage du hachage correspondent à cela.

1
Luke Sheppard

Si les premières lettres de votre phrase aboutissent à un mot de passe suffisamment long pour résister à presque toutes les attaques par force brute, à mon avis, l'utilisation de la phrase entière peut en fait réduire la sécurité du mot de passe. Mes raisons sont:

  1. Le mot de passe peut être tronqué, dans le pire des cas, je sais, ce qui entraîne 8 caractères avec la faible entropie de l'anglais.

  2. Vous donnerez aux observateurs plus de chances de vous observer avec succès lors de la saisie du mot de passe. En raison de la redondance de l'Englisch, les clés manquées dans l'observation sont facilement corrigées. Si vous êtes comme moi, vous entrerez également votre mot de passe plus souvent à cause de la longueur. Cela se traduit à nouveau par des observations bonus pour l'attaquant.

  3. C'est tiré par les cheveux, mais de toute façon: l'attaquant peut être quelqu'un qui a pu vous observer pendant longtemps taper des mots de passe différents. Il peut maintenant connaître le rythme avec lequel vous tapez des mots anglais. Il ne peut pas connaître le rythme d'un mot de passe apparemment aléatoire, car vous ne le saisiriez pas dans un contexte non sécurisé (c'est-à-dire sans dialogue de mot de passe). Ainsi, l'utilisation de phrases en anglais pourrait rendre possible une attaque en utilisant uniquement un microphone. Ou peut-être, le simple fait d'observer le moment où les paquets réseau vous transportent votre mot de passe pourrait suffire maintenant. C'est plus difficile que d'utiliser un microphone à cause de choses comme l'algorithme de Nagle dans TCP et nécessitant une sorte de capacité d'écoute réseau. Il pourrait même être impossible que le mot de passe ne soit transmis que dans son intégralité ou, comme recommandé , un hachage.

1
Peter G.

(Nombre d'ensembles universels de caractères de mot de passe) ^ (longueur du mot de passe) pas toujours égal à combinaisons possibles

Parce que la sécurité des mots de passe est grandement affectée par les algorithmes liés aux mots de passe.

Par exemple, le système d'exploitation Windows stocke les mots de passe de moins de 14 caractères avec l'algorithme de hachage LM. L'algorithme de hachage LM remplit chaque mot de passe utilisateur de moins de 14 caractères avec des caractères nuls pour étendre sa longueur. Le résultat est ensuite divisé en deux parties de 7 caractères, chacune étant chiffrée séparément. Avec une valeur de parité prévisible, les résultats sont hachés, concaténés et stockés. Du point de vue des attaquants, les pires combinaisons possibles sont: (Nombre d'ensembles universels de caractères de mot de passe) ^ (longueur du mot de passe)/2 + (Nombre d'ensembles universels de caractères de mot de passe) ^ (longueur du mot de passe)/2

Ce qui est beaucoup moins que le calcul ci-dessus. J'espère que cela vous donnera un autre point de vue lorsque vous décidez qu'un mot de passe est assez fort ou non.

0