Diceware

Le diceware, ou méthode du lancer de dés selon l'Office québécois de la langue française[1], est, en cryptologie, une méthode employée pour créer des phrases secrètes, des mots de passe et d'autres variables cryptographiques en utilisant un dé ordinaire à six faces comme générateur de nombres aléatoires physique. Pour chaque mot de la phrase secrète, cinq lancés de dés sont nécessaires. Les nombres de 1 à 6 obtenus lors des lancers sont assemblés en un nombre à cinq chiffres, par exemple « 43165 ». Ce nombre est ensuite cherché dans une liste de mots. Dans la liste française, 43165 correspond à « mirage ». En générant plusieurs mots à la suite, on peut construire une phrase secrète suffisamment longue.

Les mots de passe de la méthode Diceware sont générés en lançant cinq fois un dé à six faces pour générer un nombre à 5 chiffres, qui correspond à un seul mot

Des listes ont été compilées pour plusieurs langues : la langue chinoise, le danois, le néerlandais, l'anglais, l'esperanto, le finnois, le français, l'allemand, l'italien, le japonais, les langues polynésiennes, le norvégien, le polonais, le roumain, le russe, l'espagnol, le suédois et le turc. Une liste de mots « Diceware » est n'importe quelle liste de $6^{5}=7776$ mots uniques, de préférence parmi ceux qui seront facile à épeler et à mémoriser pour l'utilisateur. Le contenu de la liste de mots n'a pas besoin d'être protégé ou caché, puisque la sécurité d'une phrase secrète réside dans le nombre de mots sélectionnés ainsi que dans la taille de la liste d'où ils sont tirés.

Le calcul de la complexité d'une phrase secrète « DiceWare » est simple. Chaque mot ajoute 12,9 bits d'entropie à la phrase secrète (c'est-à-dire $\log _{2}(6^{5})$ bits). À l'origine, en 1995, Arnold Reinhold, le créateur de Diceware, considérait que 5 mots (64 bits) était la longueur minimum nécessaire pour un utilisateur moyen. Toutefois, depuis 2014, Reinhold recommande qu'au moins 6 mots (77 bits) soient utilisés[2].

Ce niveau de complexité prend en compte le fait que le potentiel « pirate » sache que c'est l'algorithme Diceware qui a été utilisé pour générer la phrase secrète, connaisse la liste de mots choisie et sache également le nombre exact de mots constituant la phrase secrète. Avec moins d'informations l'entropie serait plus élevée que 12,9 bits par mots.

Listes de mots de l'EFF

L'Electronic Frontier Foundation a publié en 2016 trois listes alternatives de mots diceware en anglais[3] pour favoriser la facilité de mémorisation, en retirant les mots obscurs, abstraits ou problématiques. Toutefois, les phrases ainsi générées sont plus longues et demandent de saisir plus de caractères[4].

En 2018, l'EFF a de nouveau publié des listes pour diceware basées sur Star Wars, Star Trek, Games of Thrones et Harry Potter.

Extrait

La liste originale diceware comprend une ligne pour chacune des 7 776 combinaisons possibles des cinq dés. Un extrait[5]

Chiffres	Mots
43136	mulct
43141	mule
43142	mull
43143	multi
43144	mum
43145	mummy
43146	munch
43151	mung

Exemples

Exemple de phrase secrète Diceware[4] :

Dobbs bella bump flash begin ansi
easel venom aver flung jon call

Exemple de phrase secrète EFF[4] :

Conjoined sterling securely chitchat spinout pelvis
rice immorally worrisome shopping traverse recharger

Exemple pour le français[6] :

Louves 20ᵉ saline un grappe

Bibliographie

[Levine 2000] (en) John R. Levine, Internet Secrets, IDG Books, 2000, 2^e éd. (ISBN 0-7645-3239-1), chap. 37.

Liens externes

Le site de Diceware en anglais donne une description complète et des listes de mots en différentes langues.
Autres listes de mots Diceware :
Générateur de mots de passe fonctionnant côté client, diceware [7], utilisant plusieurs listes de mots, sous licence libre, accompagné du code source complet. Il peut générer des mots en français [8]
Appli Diceware pour le web qui utilise la fonction getRandomValues(), sûre du point de vue cryptographique.
Méthode Diceware pour générer des phrases et mots de passe faciles à mémoriser et solides du point de vue cryptographique.
Diceware pour Android par Doug Prostko.

Notes et références

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Diceware » (voir la liste des auteurs).

Office québécois de la langue française, « méthode du lancer de dés », sur Le grand dictionnaire terminologique (consulté le 18 mars 2019)
(en) Jon Brodkin, « Diceware passwords now need six random words to thwart hackers », Ars Technica, 27 mars 2014
(en) « EFF's New Wordlists for Random Passphrases », sur Electronic Frontier Foundation, 19 juillet 2016 (consulté le 4 décembre 2016)
(en) « Change Your Password: This New Word List Makes the Diceware Method User Friendly », Observer,‎ 22 septembre 2016 (lire en ligne, consulté le 4 décembre 2016)
(en) « Liste de mot Diceware » (consulté le 4 décembre 2016)
« La liste de mots Diceware™ (en français) » (consulté le 3 novembre 2017)
(en) « Diceware », sur password.diet (consulté le 30 mars 2019)
(en) « Diceware Secure Passphrase and Password Generator, French wordlist », sur www.rempe.us (consulté le 30 mars 2019)

Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.