Toutes les infos ici !
En prenant la liste des noms communs les plus rapidement reconnaissables de la langue française, les noms communs étant plus concrets et mémorisables d'après plusieurs études (par exemple ici, ou là). De plus, ajouter les adjectifs, les verbes ou les adverbes ne ferait essentiellement que rajouter des doublons. Exemple : ami, amitié, amicalement sont des concepts très proches, or l'idée derrière Diceware est que ce sont les concepts qui sont faciles à retenir, et non les variantes orthographiques ou grammaticales. Enfin, vous trouverez plus de détails ici en ce qui concerne le temps de réaction des individus à la lecture d'un mot. Ce temps de réaction est corrélé à la fréquence du mot dans la langue française.
Puis de cette liste on enlève les mots trop longs pour qu'ils soient plus rapides à taper. Pour l'explication complète de la construction de la liste, voir cette archive.
D'après l'ANSSI, pour quelque chose de peu important 5 mots suffisent (équivalent-entropie à 9 caractères, page 12 du document). Si c'est important mais que cela reste dans le cadre d'un service pour particuliers, 6 mots minimum. S'il s'agit d'un cadre professionnel, préférez 7 mots. Enfin, s'il s'agit d'un système absolument critique, il vous faut au moins 8 mots.
Pour illustrer le niveau de sécurité de ces différentes tailles, voici les équivalents si l'on choisit des caractères totalement aléatoires parmi 70 (majuscules, minuscules, chiffres et !@#$%^&*).
Si vous ne voulez pas retenir un trop grand nombre de mots de passe, on conseille l'utilisation d'un gestionnaire de mots de passe (local ou synchronisé dans le cloud) pour n'avoir qu'un seul mot de passe à retenir pour toutes ses applications web ou smartphone.
Pour créer un mot de passe Diceware il faut vous munir d'un générateur de nombres aléatoires (comme celui que vous trouverez ci-dessous !). Par exemple pour six mots : tirez six nombres aléatoires entre 1 et 2724. Chacun de ces six nombres correspond à un mot de la liste ci-dessous. Il vous suffit alors de mettre ces six mots bout à bout afin d'obtenir votre nouveau mot de passe (ou « phrase de passe »).
Exemple en tirant les six nombres suivants : 1757, 2672, 1281, 102, 397 et 711. On obtient les mots suivants : écho, toubib, lèvre, os, noix et casse. Ce qui donne le mot de passe : « écho toubib lèvre os noix casse » (les espaces sont facultatifs). Facile à retenir et beaucoup plus sécurisé que votre ancien mot de passe. 😉
Conseil : ne choisissez pas les mots vous-même, tirez-les au hasard ! Les humains sont bien plus prédictibles que le hasard, il serait donc plus facile à un attaquant de deviner votre mot de passe si vous choisissez les mots.
Camille RAHI. Sous licence CC BY 4.0. Contact : diceware@rahi.fr