Génération aléatoire de mot de passe en informatique

Comment est gérée la sécurité des mots de passe par les sites Internets

En pratique, lorsque vous choisissez un mot de passe sur un site Internet, le mot de passe circule sur le réseau chiffré grâce au protocole TLS. Le mot de passe arrive ensuite au serveur, est déchiffré, haché, puis est stocké dans la base de donnée.
Le hachage est une opération cryptographique possédans certaines propriétés intéressantes dans ce cadre.
C'est une opération irréversible, c'est-à-dire très coûteuse en ressources, où on obtient en sortie une suite de bits avec un nombre de caractères fixés.

Une des propriétés intéressantes d'une fonction de hachage est qu'un changement d'un seul bit en entrée conduit à un changement total de la sortie. Ainsi, le serveur ne connaît pas du tout votre mot de passe et lorsque vous entrez un mot de passe pour vous connecter, le serveur récupère ce mot de passe saisi, le hache, et le compare au haché stocké dans la base de données.
Si le résultat est égal, alors le mot de passe saisi est le bon. En pratique, cette dernière affirmation n'est pas vraie, il est possible que deux entrées différentes donnent le même haché (on appelle cela une collision) puisque l'espace d'arrivée d'une fonction de hachage est fini, alors que l'espace de départ est potentiellement infini.

Cependant, le risque pour que cela arrive est très faible. Certaines fonction de hachage sont dites "non cryptographiquement sûres" puisqu'il est assez facile de générer des collisions pour ces fonctions. C'est par exemple le cas de MD4 ou de MD5.
Enfin, certaines fonctions de hachage sont plus chères en ressources que d'autres. Une fonction de hachage lente à calculer peut servir à empêcher une attaque par force brute qui consiste à tester toutes les entrées possibles pour trouver en sortie un haché que l'on a volé dans une base de donnée d'un serveur. Par exemple, bcrypt est une fonction de hachage dont le nombre d'itération est variable et dont le coût en ressources peut être très élevé.