Oubliez les mots de passe compliqués à trouver : les règles ont changé

En 2003, alors qu’il travaillait à l’Institut National des Normes et de la Technologie, un homme s’appelant Bill Burr a publié un document qui a changé le monde.

Burr a conseillé que tous les mots de passe doivent être composés d’une chaîne de caractères aléatoires et qu’ils doivent être changés tous les 90 jours. Ainsi, au lieu de prendre le nom de votre chien, « p@ssword » ou votre numéro de téléphone, l’idée de Burr d’un « mot de passe compliqué » a été adoptée par les gouvernements et les entreprises du monde entier. Avec sa recommandation de créer des mots de passe sécurisés comportant un mélange de lettres numériques, non alphanumériques et mixtes, Burr est devenu connu comme «le père des mots de passe compliqués».

Mais en fin de compte, Burr avait tort !
Dans une interview récente dans le Wall Street Journal, Burr a dit qu’il regrette maintenant d’avoir conseillé de faire des mots de passe difficiles. En effet, il précise : «Il est probablement préférable de faire des mots de passe assez longs qui sont des phrases dont  vous pouvez vous rappeler.

Comme les des pirates sont devenus de plus en plus performants (il est aujourd’hui possible de décrypter un mot de passe Instagram en quelques minutes), la préconisation initiale de Burr d’utiliser un mot de passe compliqué est devenue plus facile à cracker. Parce qu’ils sont si difficiles à retenir, les utilisateurs ont eu tendance à choisir un mot de passe courant et à simplement changer un « 0 pour un o » et un « @ pour a » et ainsi de suite. Les pirates informatiques ont rapidement compris ce mécanisme et peuvent maintenant pirater un mot de passe de style Burr en moins de trois jours.

Pour empirer les choses, les mots de passe super-complexes «non mémorisables» de Burr qui doivent changer tous les 90 jours ont provoqué une épidémie virtuelle de Post-it-Notes avec des mots de passe écrits dessus. Collés sur le moniteur ou le clavier d’un utilisateur à la vue de tous, les mots de passe compliqués de Burr deviennent inutiles.

Ainsi, les mots de passe comme « J’aime ma maison rose » ou « mavoitureestpetite » sont plus compliqués que « tR0u8b1e » parce qu’ils sont plus difficiles à pirater et plus faciles à mémoriser. En revanche, la thèse de Burr d’utiliser 12 caractères alphanumériques et non-alphanumériques aléatoires qui changent tous les trois mois est normalement sécurisée. Mais comme beaucoup d’entre nous ont tendance à le faire, Burr a oublié un paramètre : la nature humaine.

Qu’il s’agisse d’un ordinateur portable d’entreprise, d’un appareil mobile ou d’un ordinateur personnel, le facteur X à prendre en compte dans la cybersécurité est l’humain derrière le clavier qui doit utiliser ces appareils quotidiennement. Malgré les risques, la plupart d’entre nous opte pour la commodité et la productivité plutôt que pour la sécurité complexe. Mémoriser 12 caractères aléatoires est théoriquement possible mais ce n’est pas pratique.

L’équilibre entre sécurité et facilité d’utilisation est délicat. C’est un défi pour les professionnels de l’informatique responsables de la sécurité des données et les utilisateurs qui essaient simplement de faire leur travail. L’objectif, bien sûr, est que la technologie soit à la fois sécurisée et pratique.

L’inversion récente de la politique de mots de passe de Burr n’est que le début. Des avancées dans tous les domaines, de la technologie de balayage biométrique des yeux à des applications d’intelligence artificielle sécurisées, qui agissent comme des «gardes de sécurité virtuels», commencent à se frayer un chemin sur le marché.