Sécurité
Authentification
Lors des stages que je présente, revient souvent une discussion à propos de la qualité des mots de passe et en particulier sur la pertinence d'imposer des mots de passe "complexes" aux utilisateurs.
En quoi les mots de passe complexes sont-ils nuisibles ?
Ils entrainent l'utilisateur à choisir des mots de passe trop courts, difficiles à mémoriser et que l'on doit donc garder à portée de main, lents à frapper et par conséquent facilement enregistrables par un intrus.
Beaucoup trop de littérature, d'applications ou de sites Web vous conseillent ou vous imposent le fameux "Votre mot de passe doit faire entre 6 et 10 caractères, comporter une majuscule, un symbole et un chiffre au minimum".
Evidemment, il y a des raisons de posséder un mot de passe fort. Il résistera à des attaques de brute force, faciles à contrer en fait, et aux extrapolations d'attaquants vous connaissant. Mais est-ce par la variété des caractères saisis que l'on renforce le mot de passe ? En théorie, oui, mais au détriment de la facilité d'usage et donc de la sécurité
Par exemple, mon générateur de mots de passe vient de me proposer "ZfTRfp@*^", et encore ai-je calmé ses ardeurs en lui demandant de n'utiliser que des caractères "faciles". Je veux bien reconnaître que ce mot de passe est difficile à deviner mais il est aussi difficile à mémoriser et à taper. Alors que "Je suit fou" est beaucoup plus facile et tout aussi improbable car personne n'oserait imaginer une faute d'orthographe aussi grossière de la part d'un individu lettré comme vous. Par-dessus le marché, il est 60 fois plus fort que le précédent.
Comparons le nombre de combinaisons obtenues en utilisant des mots de passe soit "simples" soit "complexes". Le jeu de caractères complexe comporte
Quel est, en fonction de la longueur, le nombre de combinaisons obtenues :
Le tableau se lit comme cela. Un mot de passe complexe de 6 caractères (pavé rouge) offre 300 milliards de combinaisons. Avec des majuscules et minuscules uniquement, il suffit d'un caractère de plus pour obtenir une complexité 3 fois supérieure et de deux de plus pour avoir, en n'utilisant que des minuscules, un nombre de combinaisons cinq fois plus grand encore.
On voit qu'un mot de passe complexe de 9 caractères équivaut à un mot de passe de 13 caractères si l'on n'utilise que les minuscules mais de 11 caractères seulement si l'on emploie à la fois les minuscules et les majuscules.
Certes, il vaudrait mieux éviter des mots qui figurent dans le dictionnaire, ne pas utiliser des expressions ou des références familières mais il est certain que "Ah le petit vain blenc" est un bien meilleur mot de passe que "M3rciP@tr0n".
Etude Microsoft intéressante sur les mots de passe: https://bit.ly/MSPasswordsStudy1
Autre étude à l'aide d'un pot de miel sur les attaques de brute force (une raison de plus d'utiliser des espaces dans son mot de passe, entre autres) : https://bit.ly/MSPasswordsStudy2
Jean-Claude Berger, © 2006-2022. Ce billet est la réédition d'un blog paru en 2006.
 |
 |
 |
 |
 |
 |
Consultant Formateur Windows Server et Station, SQL Server, Azure, Office365
Microsoft Certified Trainer (MCT), Microsoft
Certified IT Professional Enterprise Administrator (MCITP) Windows 2008
R2,Microsoft Certified Systems Engineer (MCSE), Microsoft Certified Technology Specialist (MCTS),
Microsoft Certified Systems Administrator (MCSA), Microsoft Certified Product Specialist (MCPS), Microsoft Certified
Professional (MCP).
