L’homme qui avait imaginé des règles ardues pour les mots de passe, le regrette à présent

© .
Pieter Van Nuffel Journalist DataNews

L’homme qui pensait qu’un mot de passe devait se composer de chiffres, de majuscules et de signes spéciaux, est aujourd’hui désolé de ses recommandations. Dans le Wall Street Journal, il présente ses excuses à tout un chacun à qui il a ainsi causé des maux de tête.

En 2003, lorsque Bill Burr travaillait au National Institute of Standards and Technology (NIST), il avait rédigé un document qui devint par la suite la référence dans le domaine de la sécurité au moyen de mots de passe. Dans son document de huit pages, il mentionnait que les mots de passe doivent comporter des majuscules, des signes spéciaux et des chiffres. Il y affirmait en outre que les mots de passe doivent être régulièrement modifiés.

A présent que Burr (72 ans) est à la retraite, il s’excuse dans une interview étonnante accordée à The Wall Street Journal. Il admet à présent que ses directives étaient basées sur des éléments peu empiriques et qu’il était à l’époque sous pression parce qu’il devait terminer rapidement son document. ‘Les gens perdent la boule avec mes règles et finissent quand même par choisir des mots de passe faciles à déchiffrer’, explique-t-il aujourd’hui.

‘P@ssw00rd!’

En juin, le NIST publia une nouvelle version dudit document, dans laquelle il ne subsistait que peu des règles initialement recommandées par Burr. Les nouvelles règles n’exigent ainsi plus le recourt à des signes spéciaux.

Des experts indiquent depuis assez longtemps déjà qu’il est préférable d’utiliser un mot de passe long et facile à retenir qu’un mot de passe court, mais dont on de la peine à se souvenir. Dans un cartoon bien connu, Randall Munroe signale que le mot de passe ‘Tr0ub4dor&3’ peut être déchiffré en trois jours, alors que pour ‘correcthorsebatterystaple’, cela prend 550 ans.

Les nouvelles directives de NIST n’imposent plus non plus de limite à la durée de vie d’un mot de passe. La semaine dernière, le chercheur en sécurité Troy Hunt, à l’initiative du site web Have I been Pwned, a mis en ligne une nouvelle base de données explorable de mots de passe dérobés. Aussi longtemps que votre mot de passe personnel n’y figure pas, vous ne devez pas en changer.

Dans un proche avenir, les mots de passe seront toujours davantage remplacés par un contrôle biométrique du genre reconnaissance de l’empreinte digitale ou scannage de l’iris de l’oeil.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire