Tout savoir sur l’Entropie des mots de passe

Cet article vous explique comment se fait le calcul de l’entropie des mots de passe dans Specops Password Auditor.

Qu’est-ce que l’entropie ?

L’entropie est un concept emprunté à la théorie de l’information. Dans le contexte des mots de passe, l’entropie peut être résumée comme suit : combien de tentatives seraient nécessaires pour deviner un mot de passe par force brute ?

Dans Specops Password Auditor, nous calculons l’entropie des mots de passe de vos politiques de mot de passe avec cette formule :

Regardons ce qu’il y a dans cette formule.

Pour calculer l’entropie, nous devons commencer par ces deux mesures

L – La longueur requise du mot de passe
R – La liste de caractères requise

Par exemple, si un mot de passe ne doit contenir que des lettres minuscules, R = 26. Si le mot de passe doit contenir des minuscules, des majuscules et des chiffres, R = 62 (26 + 26 + 10)

L’ensemble des possibilités de mots de passe pour un mot de passe, ou “password space” en anglais, peut alors être calculé comme R^L. L’espace de mot de passe est une mesure du nombre total de mots de passe possibles qui peuvent être créés en utilisant une certaine valeur pour L et R. Comme vous pouvez l’imaginer, il s’agit d’un très grand nombre. Par exemple, avec L = 10 et R = 62, l‘espace des mots de passe est de 839 299 365 868 340 224. Comme de telles échelles de nombres sont un peu difficiles à manier, l’entropie est définie comme le logarithme binaire, log₂ , de cette valeur. Le logarithme binaire peut également être lu comme le nombre de bits nécessaires pour exprimer le nombre. Cela conduit à la formule complète de l’entropie (E) : E = log₂(R^L).

Dans l’exemple ci-dessus avec L = 10 et R = 62, l’entropie s’élève à ≈ 60.

Dans Specops Password Auditor, nous visualisons ce calcul à l’aide de graphiques à barres.

---

L’échelle affichée dans Password Auditor est de 1 à 100. Tout score d’entropie de 100 ou plus est affiché sous forme de barre pleine.

L’entropie est-elle suffisante ?

L’entropie du mot de passe, ou un mot de passe difficile à deviner, est une mesure de la force du mot de passe. Cependant, dans la réalité des attaques actuelles, une politique de mot de passe avec un score d’entropie élevé n’est pas suffisante.

Un mot de passe long et complexe n’est difficile à deviner que si un attaquant n’utilise pas un ensemble d’informations d’identification volées sur lequel se trouve ce mot de passe pour attaquer votre réseau. Un mot de passe fort ne l’est que jusqu’à ce qu’il soit divulgué.

En plus de l’entropie, une politique de mot de passe fort devrait également exiger :

• Une vérification des mots de passe compromis
• Vérification des dictionnaires personnalisés pour des attaques sur mesure

Les dictionnaires personnalisés peuvent aider à prévenir les attaques qui tentent de deviner des mots de passe liés à votre organisation (en empêchant l’utilisation du nom de la société, du nom du produit, des équipes sportives locales, etc.) Les listes de mots de passe cachés peuvent aider à prévenir les attaques par credential stuffing (ou bourrage d’identifiant)et sont recommandées par presque tous les organismes de normalisation d’industrie.

Mise en œuvre de l’entropie + plus

Microsoft seul a quelques limitations sur ce qu’il peut exiger en termes d’entropie.

Avec un outil comme Specops Password Policy, vous pouvez associer toutes ces bonnes pratiques recommandées en matière de sécurité des mots de passe (entropie, dictionnaire personnalisé, listes de fuites) à un système de notifications pour l’utilisateur final. Specops Password Policy offre également un vieillissement des mots de passe basé sur la longueur pour récompenser les utilisateurs qui utilisent des mots de passe plus longs (et plus difficiles à deviner).

Et si vous n’avez pas encore exécuté une analyse en lecture seule avec Specops Password Auditor, vous pouvez le télécharger ici pour savoir combien de mots de passe dans votre environnement Active Directory sont faibles ou ont fait l’objet d’une fuite, et plus encore.