Cryptographie et codes secrets
Cryptographie! L'attaque par dictionnaire
L'attaque par dictionnaire est une attaque rencontrée lors des procédés
d'identification d'utilisateurs par mots de passe. Souvent, les mots de passe utilisés sont des mots faciles à retenir.
Un attaquant peut procéder à une attaque par dictionnaire, en interrogeant le serveur avec tous les mots d'un dictionnaire
contenant par exemple les noms communs, les prénoms, des noms de ville,….
Il y a deux façons de lutter contre une attaque par dictionnaire. La première repose sur l'utilisateur lui-même.
Le fait de choisir un mot de passe mélangeant des lettres minuscules et majuscules, des chiffres et des caractères ésotériques
comme %,£,… prémunit d'une attaque par dictionnaires. On parle alors d'entropie du mot de passe, ce terme permettant de mesurer
son caractère "aléatoire" et le fait qu'il résiste à une attaque par dictionnaire.
La seconde mesure peut être prise du côté du serveur. L'idée est d'introduire un petit délai (par exemple, un dixième de seconde)
entre l'envoi du (prétendu) mot de passe et la réponse (positive ou négative). Ce petit délai est invisible du point de vue de l'utilisateur
honnête cherchant simplement à s'identifier. Il empêche en revanche les attaques par dictionnaire d'un ordinateur malveillant, puisqu'il lui
faudra attendre un dixième de seconde entre chaque essai de mot de passe. Bien sûr, il faut aussi faire attention à interdire un grands nombre de
connexions en parallèle, qui permettraient de diluer le travail d'attaque par dictionnaire.
