Au minimum huit caractères, ajoutez-y des chiffres et de la ponctuation et remplacez vos mots de passe tous les x mois. Les règles que de nombreuses entreprises et sites web utilisent pour un mot de passe sécurisé, sont soumises à une pression croissante.
Toute personne qui travaille pour une assez grande entreprise appliquant une politique de sécurité, reçoit de temps à autres le courriel suivant: ‘Votre mot de passe va bientôt expirer!’ C’est depuis des années déjà une ‘bonne pratique’ que de changer souvent son mot de passe et de le rendre assez complexe avec une longueur minimale et pas mal de signes de ponctuation spéciaux. Mais cela suscite aussi des critiques, car aucune politique de sécurité ne reste sûre des années durant et peut être entre-temps dépassée.
Quelque 83% de mots de passe piratés respectent pourtant les règles habituelles de complexité et de longueur, selon une enquête réalisée par la firme de sécurité Specops. Ce ne sont donc pas seulement les personnes utilisant ‘motdepasse’, ‘hello’ ou ‘medor’ qui sont piratées, mais aussi celles recourant à ‘!motdepasse123’, ‘helloavril2023?’ ou ‘(medor47)’
Le facteur humain
Le problème, selon le rapport, peut résider dans une combinaison de règles et du facteur humain. Que se passe-t-il si vous devez créer tous les trois mois un nouveau mot de passe répondant à des exigences spécifiques, dont vous devez ensuite vous souvenir? La plupart des gens en viennent alors à un ‘système’. L’une ou l’autre combinaison d’un mot de passe de base avec, avant et après, les chiffres et les signes de ponctuation nécessaires pour se conformer aux règles. Et ce mot de passe de base change légèrement tous les x mois. Généralement, ce système est aussi étendu aux 35 autres services et applis aux règles de mot de passe similaires, comme la messagerie web et les comptes de médias sociaux.
Or les cybercriminels le savent également. Specops signale qu’ils recourent toujours plus souvent à des ‘attaques au dictionnaire’, où ils ne doivent pas utiliser brutalement toutes les itérations possibles de chiffres, de lettres et de signes de ponctuation, mais se concentrer sur les mots-clés avec des chiffres et une ponctuation prévisibles avant et après. Ce faisant, ils peuvent pirater ce type de mot de passe plus rapidement.
Dépassé
Les règles standard qui sont encore largement utilisées aujourd’hui, ont été élaborées par Bill Burr, un collaborateur de l’institut national américain des normes (NIST) en 2003. Cet homme s’est entre-temps excusé, mais il n’avait pourtant pas vraiment tort sur le plan technique.
Soyons clairs: les mots de passe longs et complexes comme ceux générés par un gestionnaire de mots de passe, sont nettement plus difficiles à pirater que les mots de passe moins complexes. Ce n’est que si on demande à l’utilisateur de saisir chaque matin ‘5m6zPYBls@j4’ dans son ordinateur que cela devient fastidieux. Plusieurs études ont entre-temps montré que pour les utilisateurs, la création de mots de passe longs et complexes, dont ils doivent se souvenir, s’avère frustrante, ce qui peut potentiellement engendrer des mots de passe moins sûrs et des systèmes avec des dispositifs mnémoniques.
Que faire alors?
C’est pour cette raison que ce même NIST a en 2020 élaboré de nouvelles règles. Celles-ci reposent sur une vingtaine d’années d’expérience supplémentaire dans l’utilisation de mots de passe et demandent entre autres de ne plus remplacer les mots de passe sur une base régulière (sauf en cas de violation ayant potentiellement entraîné le vol de mots de passe, évidemment).
En outre, le NIST recommande de renoncer aux exigences de complexité en faveur des exigences de longueur. L’idée ici est qu’il est plus facile d’inventer et de retenir un mot de passe composé d’au moins douze lettres. Par défaut, il peut s’agir d’une phrase par exemple. Ce mot de passe doit alors être passé en revue sur base de termes fréquemment utilisés dans un dictionnaire, et par rapport à une liste de mots de passe déjà piratés.
Pour les entreprises et les organisations qui le peuvent, il existe évidemment aussi des systèmes tels que les gestionnaires de mots de passe et, surtout, la vérification à plusieurs facteurs, qui offrent une alternative plus sûre. Mais pour sécuriser les logiciels existants, une nouvelle directive sur les mots de passe pourrait être de mise.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici