Les mots de passe sont pénibles à retenir et à utiliser, c’est pourquoi les informaticiens ont inventé les gestionnaires de mots de passe. Mais ces logiciels doivent eux-mêmes être protégés par un mot de passe maître, particulièrement fort. Ce qui crée un double problème : comment le créer et comment ne pas le perdre ?
Il existe d’ores et déjà quantité de trucs et astuces pour générer des mots de passe forts. La tendance du moment est d’aligner des mots piqués au hasard, par exemple en utilisant une liste de mots et en jetant quelques dés. Cette méthode — baptisée « Diceware » — a visiblement beaucoup plu au cryptographe Stuart Schechter qui l’a perfectionnée pour créer « DiceKeys ».
Il s’agit d’un ensemble de 25 dés dont les faces arborent chacune une lettre et un chiffre. En les plaçant au hasard dans une boîte prévue à cet effet, on obtient un arrangement avec une entropie de 196 bits. En tenant compte, en effet, de l’orientation de chaque dé, il existe 2 puissance 196 arrangements possibles. Un tel code secret est à peu près aussi fort qu’une série aléatoire d’une trentaine de caractères (lettres minuscules ou majuscules, chiffres, caractères spéciaux). C’est donc très bien.
Un objet à usage unique
Une fois fermée, cette boîte de dés ne pourra plus s’ouvrir. Cet arrangement est donc permanent. Le but est ensuite de l’utiliser pour générer des mots de passe maître. En effet, Stuart Schechter a développé une application qui permet de scanner cet arrangement de dés comme un QR Code et de proposer à partir de là des successions aléatoires de mots : un pour Google, un pour Facebook, un pour LastPass, etc. Cette opération est à sens unique, comme un algorithme de hachage : il est impossible de retrouver l’arrangement de dés initial à partir de la succession de mots. Une démonstration de cette opération est disponible en ligne sur le site dicekeys.app.
Un autre cas d’usage est d’utiliser cet arrangement de dés pour créer une clé cryptographique primaire dans une clé de sécurité SoloKeys. En cas de perte de celle-ci, cette technique permettrait donc de recréer une clé de sécurité à l’identique. Ce qui est impossible avec les clés de type YubiKey, car elles ne permettent pas de recréer des clés primaires.
Selon Stuart Schechter, les avantages de DiceKeys seraient multiples. Cet objet permet de créer un code de secret particulièrement fort dont la sauvegarde serait nettement plus performante. C’est moins risqué qu’une mémoire Flash, qui peut se détériorer avec le temps. Et c’est plus solide que du papier.
Dans les forums de discussion, ce produit — qui est actuellement en prévente pour 25 dollars — provoque des réactions disparates. Certains le trouvent génial, d’autres pas du tout. Certains, notamment, critiquent le fait qu’il faille utiliser une application pour traduire l’arrangement de dés en mot de passe. C’est un intermédiaire auquel on ne pourrait pas forcément faire confiance, même si le chercheur assure mordicus que le code s’exécute uniquement en local et ne récupère aucune donnée.
D’autres encore estiment que son usage avec les gestionnaires de mots de passe ne serait pas très pratique. À chaque fois que l’on veut ouvrir sa base de données chiffrée, il faudrait en effet avoir sa boîte de dés sous la main et l’application dédiée. Il y a également ceux qui ont peur de se faire voler la boîte de dés, mais ce risque existe également avec n’importe quel autre support de stockage. À l’exception évidemment du cerveau, mais encore faut-il être capable de retenir un mot de passe avec une entropie de 196 bits. Bref, on le voit, il n’y a pas de système parfait.
Sources: Dicekeys.com, blog de Bruce Schneier
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
