Diceware
Le diceware, ou méthode du lancer de dés selon l'Office québécois de la langue française[1], est, en cryptologie, une méthode employée pour créer des phrases secrètes, des mots de passe et d'autres variables cryptographiques en utilisant un dé ordinaire à six faces comme générateur de nombres aléatoires physique. Pour chaque mot de la phrase secrète, cinq lancés de dés sont nécessaires. Les nombres de 1 à 6 obtenus lors des lancers sont assemblés en un nombre à cinq chiffres, par exemple « 43165 ». Ce nombre est ensuite cherché dans une liste de mots. Dans la liste française, 43165 correspond à « mirage ». En générant plusieurs mots à la suite, on peut construire une phrase secrète suffisamment longue.
Des listes ont été compilées pour plusieurs langues : la langue chinoise, le danois, le néerlandais, l'anglais, l'esperanto, le finnois, le français, l'allemand, l'italien, le japonais, les langues polynésiennes, le norvégien, le polonais, le roumain, le russe, l'espagnol, le suédois et le turc. Une liste de mots « Diceware » est n'importe quelle liste de mots uniques, de préférence parmi ceux qui seront facile à épeler et à mémoriser pour l'utilisateur. Le contenu de la liste de mots n'a pas besoin d'être protégé ou caché, puisque la sécurité d'une phrase secrète réside dans le nombre de mots sélectionnés ainsi que dans la taille de la liste d'où ils sont tirés.
Le calcul de la complexité d'une phrase secrète « DiceWare » est simple. Chaque mot ajoute 12,9 bits d'entropie à la phrase secrète (c'est-à-dire bits). À l'origine, en 1995, Arnold Reinhold, le créateur de Diceware, considérait que 5 mots (64 bits) était la longueur minimum nécessaire pour un utilisateur moyen. Toutefois, depuis 2014, Reinhold recommande qu'au moins 6 mots (77 bits) soient utilisés[2].
Ce niveau de complexité prend en compte le fait que le potentiel « pirate » sache que c'est l'algorithme Diceware qui a été utilisé pour générer la phrase secrète, connaisse la liste de mots choisie et sache également le nombre exact de mots constituant la phrase secrète. Avec moins d'informations l'entropie serait plus élevée que 12,9 bits par mots.
Listes de mots de l'EFF
L'Electronic Frontier Foundation a publié en 2016 trois listes alternatives de mots diceware en anglais[3] pour favoriser la facilité de mémorisation, en retirant les mots obscurs, abstraits ou problématiques. Toutefois, les phrases ainsi générées sont plus longues et demandent de saisir plus de caractères[4].
En 2018, l'EFF a de nouveau publié des listes pour diceware basées sur Star Wars, Star Trek, Games of Thrones et Harry Potter.
Extrait
La liste originale diceware comprend une ligne pour chacune des 7 776 combinaisons possibles des cinq dés. Un extrait[5]
| Chiffres | Mots |
|---|---|
| 43136 | mulct |
| 43141 | mule |
| 43142 | mull |
| 43143 | multi |
| 43144 | mum |
| 43145 | mummy |
| 43146 | munch |
| 43151 | mung |
Exemples
Exemple de phrase secrète Diceware[4] :
- Dobbs bella bump flash begin ansi
- easel venom aver flung jon call
Exemple de phrase secrète EFF[4] :
- Conjoined sterling securely chitchat spinout pelvis
- rice immorally worrisome shopping traverse recharger
Exemple pour le français[6] :
- Louves 20ᵉ saline un grappe
Bibliographie
- [Levine 2000] (en) John R. Levine, Internet Secrets, IDG Books, , 2e éd. (ISBN 0-7645-3239-1), chap. 37.
Articles connexes
- Attaque par force brute
- Longueur de clé explique combien de bits une clé doit avoir pour être considérée comme "sûre".
- La liste de mots de PGP pour la biométrie utilise deux listes de 256 mots, chacun représentant 8 bits.
- S/KEY (en) utilise une liste de 2 048 mots pour coder des nombres de 64-bit sous la forme de six mots anglais
- Robustesse d'un mot de passe
- Générateur de mots de passe aléatoires
- Hashcat (en)
Liens externes
- Le site de Diceware en anglais donne une description complète et des listes de mots en différentes langues.
- Autres listes de mots Diceware :
- Générateur de mots de passe fonctionnant côté client, diceware [7], utilisant plusieurs listes de mots, sous licence libre, accompagné du code source complet. Il peut générer des mots en français [8]
- Appli Diceware pour le web qui utilise la fonction getRandomValues(), sûre du point de vue cryptographique.
- Méthode Diceware pour générer des phrases et mots de passe faciles à mémoriser et solides du point de vue cryptographique.
- Diceware pour Android par Doug Prostko.
Notes et références
- Office québécois de la langue française, « méthode du lancer de dés », sur Le grand dictionnaire terminologique (consulté le )
- (en) Jon Brodkin, « Diceware passwords now need six random words to thwart hackers », Ars Technica,
- (en) « EFF's New Wordlists for Random Passphrases », sur Electronic Frontier Foundation, (consulté le )
- (en) « Change Your Password: This New Word List Makes the Diceware Method User Friendly », Observer, (lire en ligne, consulté le )
- (en) « Liste de mot Diceware » (consulté le )
- « La liste de mots Diceware™ (en français) » (consulté le )
- (en) « Diceware », sur password.diet (consulté le )
- (en) « Diceware Secure Passphrase and Password Generator, French wordlist », sur www.rempe.us (consulté le )
Portail de la sécurité informatique 
Portail de la cryptologie