Oubliez les mots de passe compliqués à trouver : les règles ont changé
En 2003, alors qu’il travaillait à l’Institut National des Normes et de la Technologie, un homme s’appelant Bill Burr a publié un document qui a changé le monde.
Burr a conseillé que tous les mots de passe doivent être composés d’une chaîne de caractères aléatoires et qu’ils doivent être changés tous les 90 jours. Ainsi, au lieu de prendre le nom de votre chien, « p@ssword » ou votre numéro de téléphone, l’idée de Burr d’un « mot de passe compliqué » a été adoptée par les gouvernements et les entreprises du monde entier. Avec sa recommandation de créer des mots de passe sécurisés comportant un mélange de lettres numériques, non alphanumériques et mixtes, Burr est devenu connu comme «le père des mots de passe compliqués».
Mais en fin de compte, Burr avait tort !
Dans une interview récente dans le Wall Street Journal, Burr a dit qu’il regrette maintenant d’avoir conseillé de faire des mots de passe difficiles. En effet, il précise : «Il est probablement préférable de faire des mots de passe assez longs qui sont des phrases dont vous pouvez vous rappeler.
Comme les des pirates sont devenus de plus en plus performants (il est aujourd’hui possible de décrypter un mot de passe Instagram en quelques minutes), la préconisation initiale de Burr d’utiliser un mot de passe compliqué est devenue plus facile à cracker. Parce qu’ils sont si difficiles à retenir, les utilisateurs ont eu tendance à choisir un mot de passe courant et à simplement changer un « 0 pour un o » et un « @ pour a » et ainsi de suite. Les pirates informatiques ont rapidement compris ce mécanisme et peuvent maintenant pirater un mot de passe de style Burr en moins de trois jours.
Pour empirer les choses, les mots de passe super-complexes «non mémorisables» de Burr qui doivent changer tous les 90 jours ont provoqué une épidémie virtuelle de Post-it-Notes avec des mots de passe écrits dessus. Collés sur le moniteur ou le clavier d’un utilisateur à la vue de tous, les mots de passe compliqués de Burr deviennent inutiles.
Ainsi, les mots de passe comme « J’aime ma maison rose » ou « mavoitureestpetite » sont plus compliqués que « tR0u8b1e » parce qu’ils sont plus difficiles à pirater et plus faciles à mémoriser. En revanche, la thèse de Burr d’utiliser 12 caractères alphanumériques et non-alphanumériques aléatoires qui changent tous les trois mois est normalement sécurisée. Mais comme beaucoup d’entre nous ont tendance à le faire, Burr a oublié un paramètre : la nature humaine.
Qu’il s’agisse d’un ordinateur portable d’entreprise, d’un appareil mobile ou d’un ordinateur personnel, le facteur X à prendre en compte dans la cybersécurité est l’humain derrière le clavier qui doit utiliser ces appareils quotidiennement. Malgré les risques, la plupart d’entre nous opte pour la commodité et la productivité plutôt que pour la sécurité complexe. Mémoriser 12 caractères aléatoires est théoriquement possible mais ce n’est pas pratique.
L’équilibre entre sécurité et facilité d’utilisation est délicat. C’est un défi pour les professionnels de l’informatique responsables de la sécurité des données et les utilisateurs qui essaient simplement de faire leur travail. L’objectif, bien sûr, est que la technologie soit à la fois sécurisée et pratique.
L’inversion récente de la politique de mots de passe de Burr n’est que le début. Des avancées dans tous les domaines, de la technologie de balayage biométrique des yeux à des applications d’intelligence artificielle sécurisées, qui agissent comme des «gardes de sécurité virtuels», commencent à se frayer un chemin sur le marché.
« il est aujourd’hui possible de pirater Instagram en quelques minutes »
Le site présenté semble douteux. Nul part il n’est expliqué comme le hack se fait. S’il a pu exister des failles à l’époque, elles sont maintenant corrigées et ne permettaient en tout cas pas un brute force si rapide.
Est-ce que c’est vraiment compliqué de casser « mavoitureestpetite » avec un dictionnaire ? Il y a plein de lettres mais seulement 4 mots. Pareil pour les conseils du type prendre les initiales d’une chanson, ça doit pas être compliqué avec une liste des chansons populaires.
Ce qu’il faut c’est surtout que les mots de passe soient aléatoires, différents pour chaque site, et suffisamment compliqués pour qu’ils ne soient pas cracké par un site qui se ferait pirater. Un gestionnaire de mot de passe comme Keepass, ça résoud tous ces problèmes.
Bonjour,
pas un mot sur l’authentification à double facteurs ? c’est pourtant ce que préconisent les GAFAM.
@grumly : 4 mots « seulement » mais savoir quels mots sont utilisés et dans quel ordre est extrêmement difficile.
L’efficacité repose sur la longueur des password davantage que sur la complexité de chaque caractère.