Oubliez tout ce qu'on vous a dit sur la sécurisation des mots de passe
Ponctuer son mot de passe de chiffres et de caractères spéciaux est inutile. Celui qui avait prodigué ces conseils voici 14 ans, vient de faire son mea culpa. Et il en livre de nouveaux qui devraient vous ravir.
Quatorze ans après avoir publié ce qui était considéré comme la bible de la création de mots de passe, l’auteur du document révise sa position dans une interview au Wall Street Journal.
En 2003, Bill Burr conseillait dans une annexe d'un document publié par le National Institute of Standards and Technology (agence américaine notamment chargée de développer des normes technologiques) de créer un mot de passe contenant majuscules, minuscules, chiffres et signes de ponctuation et d’en changer régulièrement (tous les 90 jours).
Des combinaisons trop compliquées à retenir
Mais ces conseils n’étaient finalement pas si judicieux. Pour une raison simple: de tels mots de passe sont non seulement compliqués à retenir pour les utilisateurs... mais aussi très faciles à casser par d'éventuels pirates. En effet, d'innombrables internautes choisissent un simple mot, qu'ils vont légèrement modifier et/ou compléter par des caractères spéciaux pour en faire leur sésame.
Exemple? Un amateur d'oursins pourrait par exemple choisir de sécuriser son compte avec le mot de passe "HouR-s1N$!". Or malgré sa complexité apparente, cette suite de caractères demeure facilement cassable par une attaque hybride combinant dictionnaire et force brute (voir le dessin plus bas).
"Je regrette une grande partie de ce que j’ai écrit", a déclaré Bill Burr, aujourd’hui à la retraite, au journal américain. Il admet par ailleurs que ses conseils n’étaient pas basés sur des données empiriques et qu’il était sous pression parce qu’il devait terminer rapidement son document. "Finalement, conclut-il, ça rendait juste les gens dingues et leur a fait choisir de mauvais mots de passe."Une meilleure idée: la phrase longue
En juin dernier, le document a donc été entièrement réécrit par Paul Grassi, expert en sécurité pour le NIST, qui tempère les reproches que se fait le retraité. "Il a tout de même rédigé un document qui a duré dix à quinze ans. J’espère pouvoir en faire autant. "
Désormais, le NIST conseille d’utiliser une longue phrase facile à retenir, comme le montre la bande dessinée de l'inénarrable Randall Munroe ci-dessous. Selon ses calculs, il faudrait seulement trois jours pour trouver le mot de passe Tr0ub4dor&3 à raison de 1000 tentatives par seconde, contre... 550 ans pour la phrase "correcthorsebatteryestable" !
Plutôt que son mot de passe impossible à retenir, notre fan d'oursins serait donc plus en sécurité avec une clé telle que "mangezlesoursinsleplusfraispossible" ou "filetsderougetsauxoursins" par exemple. Des suites de mots qui sont, en plus, bien plus faciles à retenir.
Autre changement dans les consigne du NIST: ne changer de mot de passe que s’il y a un signe qu’il a pu être corrompu, et non plus tous les 90 jours.
Ces consignes utiles peuvent désormais être accompagnées d'outils complémentaires pour sécuriser ses comptes. La double authentification que proposent déjà de nombreuses applis et services (Facebook, Apple, Google…) en est un. Vous savez ce qu'il vous reste à faire !