Passer au contenu

Grâce à lui vous avez inventé des mots de passe compliqué, aujourd’hui il le regrette

Il y a 15 ans, Bill Burr éditait des normes pour créer un mot de passe compliqué et donc censément sécurisé. Désormais il le regrette.

Dawson

Avant les gestionnaires de mots de passe et autres applications aidant l’internaute à se connecter facilement à ses divers comptes (sans avoir à se souvenir de ses innombrables identifiants), les mots de passe compliqués réunissant chiffres, lettres (minuscules et majuscules), caractères spéciaux étaient la voie royale, si ce n’est la norme. Cette « norme », on la devait notamment à Bill Burr.

15 ans plus tôt, en 2003, cet ancien directeur de l’Institut National des Standards et de la Technologie (NIST), publiait un petit guide expliquant comment créer un mot de passe sécurisé intitulé NIST Special Publication 800-63. Appendix A. : des méthodes qui s’appliquaient pour n’importe quel compte en ligne. Pourtant, il n’avait rien du crack en informatique. Aujourd’hui, il regrette cette publication dont le contenu était tiré d’un livre blanc écrit dans les années 80, bien avant l’apparition d’internet.

m0t 2 pA$$€

« En fin de compte [le guide] était probablement trop compliqué à comprendre pour un grand nombre de gens, et la vérité, c’est qu’il est allé dans la mauvaise direction », admet-il au Wall Street Journal.

Depuis il a en effet été démontré qu’un mot de passe court avec une multitude de caractères était plus facile à cracker qu’un long mot de passe de plusieurs mots simples à retenir. Comme cette planche l’explique :

Plus c’est long…

Ainsi, un mot compliqué écrit en caractères spéciaux mettra 3 jours à être deviné, contre 550 ans pour quatre mots des plus banals.

La dernière version du guide NIST recommande d’ailleurs aux internautes de créer de longs mots de passe/phrase plutôt que ceux préconisés par Bill Burr. Ne lui jetons pas la pierre pour autant, les erreurs aux prémices du web ont été légion, certains s’en repentent encore. Mais le web est aussi un lieu d’expérimentation, aujourd’hui avec le recul nécessaire certaines erreurs ne seront plus reproduites.

Toutefois, “123456”, “password” ou “azerty” restent encore et toujours des catastrophes en termes de mots de passe.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

26 commentaires
  1. Juste combiner des mots du dictionnaire n’est pas optimal non plus. Il est plutôt facile d’envisager une attaque brute force en utilisant directement les mots courants du dictionnaire plutôt que chaque caractère individuellement.

    1. Même en ne comptant que 3 000 mots (un dictionnaire en comporte 10x plus). Une attaque brute force sur toutes les combinaisons possibles de 4 mots prendra trèèèèèès longtemps 🙂

    2. Si l’on combine les mots, les conjugaisons, les pluriels possibles, un jeu autour des majuscules et minuscules… on peut agrémenter avec quelques fautes d’orthographes pour complexifier. On arrive à un mot long (plus de 20 caractères), facilement.

  2. Si je suis d’accord sur le fait qu’un m0t.2/P4s5 ne peut pas se faire à partir d’un mot qu’on essaye de masquer, je ne suis pas vraiment en phase avec la solution d’une “phrase”.
    Le premier souci, c’est qu’il faut arriver à se souvenir de chaque phrase pour tous les sites utilisés (ça ne sert à rien d’utiliser toujours la même). J’ai environ 400 entrées dans mon lastpass, je me vois mal mémoriser 400 phrases différentes même simples !
    Le second souci, c’est qu’il y a encore en 2017 des sites qui n’acceptent pas les espaces ou qui limitent le nombre de caractères d’un mot de passe.
    Pour rejoindre mon premier point, je pense que la seule option pour avoir des mots de passes sécurisés, c’est d’avoir un outil pour le faire à notre place. Après, libre à chacun de mémoriser une phrase ou un mot de passe compliqué pour l’accès à cet outil (avec un second facteur d’authentification bien sûr)…et de prier pour que cette solution soit fiable…
    Et le futur est certainement sur la généralisation de l’authentifications en 2 étapes : de cette façon, même si l’outil est compromis, l’accès reste sécurisé.

    1. En effet. Le problème en 2017 est non pas la complexité des mots de passe à se rappeler, mais bien la quantité. Et si tous les services utilisent Facebook ou Google pour authentifier leurs utilisateurs, l’accès à l’un de ces comptes devient très convoité, donc plus important de bien le protéger……………….

    2. Après, rien ne t’empêche d’avoir un outil qui puisse générer des mots de passe à partir de mots du dictionnaire et d’autres mots de passe plus complexes et moins longs pour les sites ayant une limite de caractères ou n’acceptant pas les espaces (même si, au final, tu pourrais faire une phrase de 4 mots sans espace pour ces derniers, ça serait toujours mieux que tes 12 caractères alphanumériques + spéciaux).

      1. 12 caractères alphanumériques (majuscules/minuscules), ça commence à faire beaucoup de possibilités : nettement plus que 4 mots du dico (même en prenant un dico de 30 000 mots) et même sans compter les caractères spéciaux.
        La limitation de la planche vient du fait qu’il part d’un mot existant. Si c’était des caractères aléatoires, la question de la difficulté à deviner ne se poserait pas, pas plus que celle de la difficulté à retenir pour la majorité des gens 😉
        Il ne faut pas oublier que, autant pour des mots de passe de 8 caractères, le brute force devient envisageable, mais dès qu’on commence à arriver à 12, c’est encore hors de portée à ma connaissance (j’utilise 18 et j’espère que d’ici à ce que ça soit attaquable, on aura d’autres méthodes d’authentification).

        1. Oui et non.

          Dans ton analyse tu tiens compte du fait que tu connais la structure du mot de passe. De plus, pour le cas des 4 mots, tu parts du fait que tu sais qu’il y a 4 mots du dictionnaire et qu’ils sont en majuscule ou minuscule, qu’il n’y a pas de ponctuation ou de chiffres…

          Un pirate lui, sauf à avoir fait de l’ingénierie social, n’aura pas cette information. Il n’aura pas plus celle de la longueur que de la structure du mot de passe. Il n’a donc pas de raison d’utiliser un algorithme de combinaisons de mot du dictionnaires (plus les conjugaisons et accord et majuscule ou minuscule et les accentuées et la ponctuation). Ce type de mot de passe devient, du coup, plutôt sécurisé.

          Mon mot de passe qui me permet d’accéder aux autres mots de passe est de plus de 25 caractères, avec les quatre types (majuscule, minuscule, chiffre et autre) plus une deuxième étapes. Dans ce mot de passe il y a des mots. Il reste que je me sens en sécurité.

    1. D’accord, donc pour toi, il y a un avion qui s’écrase et UN seul journal doit en parler ? C’est totalement débile ce raisonnement. Ils relayent l’info, point barre.

  3. J’utilise toujours 123456 et azerty sur la plupart des sites dont je n’ai que foutre de m’enregistrer pour de la m****.

  4. CompuServe (USA) proposait, dans les années 80, deux mots simples séparés par une étoile (*), genre “cuisine*tournevis”. Rien de nouveau…….. en 2017, on a simplement plus de ces mots qui, comme on dit au Québec “ont pas rapport”……………….. 🙂

  5. Les sites pour tester la complexité d’un mot de passe ne sont pas d’accord avec cette article vu les résultats… qu’en conlure ?

    1. Mettre son mot de passe sur un tel site conduit à le griller !

      La réponse dépend de l’algorithme utilisé pour définir calculer la complexité du mot de passe. Il n’y a pas, derrière un tel site, un moteur qui va tenter de trouver le passe. Si je prend un outil comme http://www.passwordmeter.com/, sur un mot de passe 111AAA$$$aaa il me donne une complexité de 66% et une sécurité forte. Avec a1$Aa1$Aa1$A j’ai une sécurité de 100% très forte. Mouai.

      Par contre mes mots de passe (dans le genre) sont bien traité. Du coup un mot de passe sur 4 Mots du dictionnaires avec ponctuation et un chiffre est une majuscule au hasard : chIen 34, biEn fOrt ! donne aussi une sécurité à très fort.

      Par contre, quatre mots en minuscule, sans chiffres et sans ponctuation donne une sécurité très faible, c’est là où, pour un passe de 22 caractères, je ne suis pas certain de la pertinence de l’algorithme.

  6. Faire des phrases c’est difficile à retenir certes, mais alors il n’y a qu’à apprendre une récitation, comme à l’école, et faire de chaque phrase un mot de passe.
    Pas besoin d’avoir une phrase pour chaque site, une peut servir pour plusieurs, si chaque phrase comporte suffisamment de mots pour faire un mot de passe robuste.
    Et en plus on devient un brin poète !

  7. avec une recherche dictionnaire et 30000 mots usuels de la langue français comment on calcule le nombre de possibilités? 30 000! ?

  8. Pour ma part je recommande en général deux mots de 4 à 6 charactères, une majuscule par mot (au hasard dans le mot), des chiffres, des espaces et un caractère de ponctuation. Un truc du genre ]sOupe, 75 manGer ![ Sans les []

    Efficace, simple et plutôt sécurisé.

    Ensuite un bon gestionnaire de mot de passe pour tout les sites sans intérêt.

  9. vous mettez comme mot de passe : “mot de passe incorrect” comme cela si vous oubliez et tapez autre chose l’ordinateur sera vous rappeler le bon!

  10. bonjour pour répondre à la réponse de lesgalapagos qui ne semble savoir de quoi il parle
    bien que le commentaire date de 2017 .

    aujourd’hui une bien meilleur pratique. pour les mots de passe.
    se fait en utilisent des faux mots de passe !

    malheureusement peut connu de certains. bien que la technique soit plus utiliser
    en entreprises.

    comment cela marche t’il ?

    des faux mots de passe dits honeywords sont stockés au même endroit que les mots de passe
    réels d’un utilisateur. si des mots de passe sont volés ou si des fichiers sont craqués.

    le voleur ne sait pas quel mot de passe associé au compte est le bon.
    si le pirate tente d’utiliser l’un des faux mots de passe pour commettre une intrusion

    un message d’alerte se déclenche.

    pour avertir le service informatique que un pirate tente de s’introduire dans le réseau.

    les honeywords n’empêchent pas une intrusion mais ils permettent de détecter une attaque
    en temps réel et donc d’optimiser la réactivité des services informatiques.

    l’avantage des honeywords c’est qu’aucun changement n’est opéré côté utilisateur final.
    et qu’aucune formation n’est nécessaire. l’utilisateur se connecte comme d’habitude
    et si son mot de passe correspond l’accès lui est accordé normalement.

    côté back office cependant un programme serveur auxilaire dénommé honeychecker
    aide à reconnaître les faux mots de passe et à donner l’alerte en cas d’attaque.

    concrètement le système d’authentification de l’entreprise stocke une matrice qui lie
    un ensemble de mots de passe à un utilisateur.

    le logiciel honeychecker stocke l’index du mot de passe correct de l’utilisateur.

    honeychecker est installé en aval dans le centre des opérations de sécurité.
    et ne participe pas à l’authentification proprement dite.

    son rôle consiste uniquement à vérifier que le mot de passe n’est pas un honeyword.

    par contre une chose important à savoir ici.

    si honeychecker est hors ligne ou défaillant l’utilisateur peut quand même
    se connecter bien que les capacités de détection d’infraction soient alors perdues.

    les honeywords établissent un juste équilibre entre la facilité de déploiement
    et la sécurité.
    voilà pour la petite info . très bonne journée à vous et au plaisir.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *