Si les algorithmes cryptographiques sont aujourd'hui inviolables grâce à la multitude de clés possibles, les mots de passe utilisés sont les maillons faibles des systèmes de cryptage actuels. D'une part, il faut généralement qu'un être humain puisse se souvenir du mot de passe, d'autre part, il faut le saisir et d'autres personnes ou programmes peuvent écouter ce qui se passe.
Il existe plusieurs façons d'identifier un mot de passe :
L'écoute clandestine, l'espionnage, le chantage et la ruse sont autant de bonnes méthodes pour obtenir la possession directe d'un mot de passe. Les méthodes techniques ne peuvent offrir une protection que dans des cas isolés. Dans ce contexte, tout dépend de la prudence de l'utilisateur.
La supercherie est possible dès lors que l'auteur connaît suffisamment bien l'utilisateur et que le mot de passe a été choisi sans le soin requis. Les erreurs typiques dans ce contexte sont les noms des partenaires, des enfants et des animaux domestiques ou encore les numéros de téléphone et les anniversaires comme mots de passe.
Essais et erreurs. La langue allemande, par exemple, compte environ 300 000 à 500 000 mots. Le dictionnaire Duden comprend 120 000 mots-clés. Le poète Goethe utilisait quelque 80 000 mots. Une personne "normale" utilise au maximum 10 000 mots. Le journal populaire allemand Bild en utilise 1 500. Si un mot simple est choisi comme mot de passe, il y a une forte probabilité qu'il puisse être identifié après quelques centaines de milliers de tentatives en parcourant simplement tous ces mots - aucun problème si l'on utilise un ordinateur.
La bibliothèque intégrée à Steganos Safe vous avertit si le mot de passe que vous avez choisi est facilement craquable en le comparant à plus d'un demi-million d'entrées. Environ 0,3 seconde est nécessaire pour vérifier un mot de passe (P4 3GHz) : en d'autres termes, trois mots de passe par seconde. Ainsi, si vous utilisez par exemple un mot du journal Bild, il peut être identifié en 500 secondes maximum, soit un peu plus de 9 minutes, si l'auteur dispose des moyens techniques pour automatiser ce processus.
Si l'on combine au hasard quatre caractères (lettres majuscules, minuscules et chiffres), on obtient plus de 14 millions de possibilités. Un ordinateur aurait besoin de 57 jours pour les essayer toutes. Ce processus peut toutefois être accéléré en utilisant des ordinateurs plus rapides et plus nombreux. Dans le cas de 8 caractères aléatoires, un ordinateur aurait besoin de plus de 2 millions d'années. En outre, une capacité informatique importante serait nécessaire pour réduire ce temps à une période plus gérable.
Lorsque vous choisissez un mot de passe, vous devez d'abord prendre en considération de qui vous voulez vous protéger. Si vous souhaitez protéger vos secrets personnels, les exigences en matière de qualité du mot de passe seront moins élevées que dans le cadre d'une entreprise, où les données doivent éventuellement être protégées contre le personnel possédant des compétences informatiques ou contre les espions industriels. Les exigences sont évidemment encore plus élevées s'il faut empêcher les agences gouvernementales ou les services secrets d'accéder aux données.
Il existe plusieurs stratégies pour générer de bons mots de passe. La meilleure est d'utiliser un générateur de mots de passe pour créer un mot de passe composé d'un minimum de 10 caractères ; ceux-ci doivent à leur tour être choisis parmi au moins 62 caractères différents (les majuscules et minuscules de l'alphabet allemand plus les chiffres de 0 à 9). Le problème à cet égard est, bien entendu, de se souvenir du mot de passe. Le sauvegarder ou l'écrire n'a qu'une utilité limitée : même si vous utilisez un gestionnaire de mots de passe, vous avez besoin d'un mot de passe sécurisé pour y accéder - le mot de passe le plus sécurisé du monde ne sert à rien s'il est écrit sur un bout de papier posé à côté du clavier. Si tel n'est pas le cas, un gestionnaire de mots de passe peut constituer une méthode simple et sûre pour créer et gérer un nombre infini de mots de passe hautement sécurisés et, si vous le souhaitez, pour les utiliser automatiquement.
Les abréviations pour les phrases sont un bon compromis entre sécurité et facilité de mémorisation. Afsaagcbsabatr serait, par exemple, le résultat de la phrase précédente. Cela devrait également produire au moins 10 caractères. Si, en plus, vous remplacez certains caractères par des chiffres ou des caractères spéciaux, par exemple "E" par "8" (huit) ou "f" par ? (point d'interrogation), vous obtiendrez un bon mot de passe facile à retenir.