Grâce à lui vous avez inventé des mots de passe compliqué, aujourd’hui il le regrette

Sécurité

Par Elodie le

Il y a 15 ans, Bill Burr éditait des normes pour créer un mot de passe compliqué et donc censément sécurisé. Désormais il le regrette.

Dawson

Avant les gestionnaires de mots de passe et autres applications aidant l’internaute à se connecter facilement à ses divers comptes (sans avoir à se souvenir de ses innombrables identifiants), les mots de passe compliqués réunissant chiffres, lettres (minuscules et majuscules), caractères spéciaux étaient la voie royale, si ce n’est la norme. Cette « norme », on la devait notamment à Bill Burr.

15 ans plus tôt, en 2003, cet ancien directeur de l’Institut National des Standards et de la Technologie (NIST), publiait un petit guide expliquant comment créer un mot de passe sécurisé intitulé NIST Special Publication 800-63. Appendix A. : des méthodes qui s’appliquaient pour n’importe quel compte en ligne. Pourtant, il n’avait rien du crack en informatique. Aujourd’hui, il regrette cette publication dont le contenu était tiré d’un livre blanc écrit dans les années 80, bien avant l’apparition d’internet.

m0t 2 pA$$€

« En fin de compte [le guide] était probablement trop compliqué à comprendre pour un grand nombre de gens, et la vérité, c’est qu’il est allé dans la mauvaise direction », admet-il au Wall Street Journal.

Depuis il a en effet été démontré qu’un mot de passe court avec une multitude de caractères était plus facile à cracker qu’un long mot de passe de plusieurs mots simples à retenir. Comme cette planche l’explique :

Plus c’est long…

Ainsi, un mot compliqué écrit en caractères spéciaux mettra 3 jours à être deviné, contre 550 ans pour quatre mots des plus banals.

La dernière version du guide NIST recommande d’ailleurs aux internautes de créer de longs mots de passe/phrase plutôt que ceux préconisés par Bill Burr. Ne lui jetons pas la pierre pour autant, les erreurs aux prémices du web ont été légion, certains s’en repentent encore. Mais le web est aussi un lieu d’expérimentation, aujourd’hui avec le recul nécessaire certaines erreurs ne seront plus reproduites.

Toutefois, “123456”, “password” ou “azerty” restent encore et toujours des catastrophes en termes de mots de passe.