Le Tlog (TECHNOLOGY log)

Jean-Claude Berger, Formation, conseil et développement
Jean-Claude Berger, MCT, MCITP, MCSE, MCTS, MCSA, MCP
Consultant, Formateur Microsoft, Windows Server, SQL Server, Active Directory, Azure, Office365

Home

Thèmes de la page

Sécurité

Authentification

Faut-il faire des complexes?

Sécurité

Lors des stages que je présente, revient souvent une discussion à propos de la qualité des mots de passe et en particulier sur la pertinence d'imposer des mots de passe "complexes" aux utilisateurs.

En quoi les mots de passe complexes sont-ils nuisibles ?

Ils entrainent l'utilisateur à choisir des mots de passe trop courts, difficiles à mémoriser et que l'on doit donc garder à portée de main, lents à frapper et par conséquent facilement enregistrables par un intrus.

Beaucoup trop de littérature, d'applications ou de sites Web vous conseillent ou vous imposent le fameux "Votre mot de passe doit faire entre 6 et 10 caractères, comporter une majuscule, un symbole et un chiffre au minimum".

Evidemment, il y a des raisons de posséder un mot de passe fort. Il résistera à des attaques de brute force, faciles à contrer en fait, et aux extrapolations d'attaquants vous connaissant. Mais est-ce par la variété des caractères saisis que l'on renforce le mot de passe ? En théorie, oui, mais au détriment de la facilité d'usage et donc de la sécurité

Par exemple, mon générateur de mots de passe vient de me proposer "ZfTRfp@*^", et encore ai-je calmé ses ardeurs en lui demandant de n'utiliser que des caractères "faciles". Je veux bien reconnaître que ce mot de passe est difficile à deviner mais il est aussi difficile à mémoriser et à taper. Alors que "Je suit fou" est beaucoup plus facile et tout aussi improbable car personne n'oserait imaginer une faute d'orthographe aussi grossière de la part d'un individu lettré comme vous. Par-dessus le marché, il est 60 fois plus fort que le précédent.

Comparons le nombre de combinaisons obtenues en utilisant des mots de passe soit "simples" soit "complexes". Le jeu de caractères complexe comporte

Caractères utilisés dans un mot de passe complexe

Quel est, en fonction de la longueur, le nombre de combinaisons obtenues :

Tableau du nombre de combinaisons obtenues en fonction de la longueur d'un mot de passe

Le tableau se lit comme cela. Un mot de passe complexe de 6 caractères (pavé rouge) offre 300 milliards de combinaisons. Avec des majuscules et minuscules uniquement, il suffit d'un caractère de plus pour obtenir une complexité 3 fois supérieure et de deux de plus pour avoir, en n'utilisant que des minuscules, un nombre de combinaisons cinq fois plus grand encore.

On voit qu'un mot de passe complexe de 9 caractères équivaut à un mot de passe de 13 caractères si l'on n'utilise que les minuscules mais de 11 caractères seulement si l'on emploie à la fois les minuscules et les majuscules.

Certes, il vaudrait mieux éviter des mots qui figurent dans le dictionnaire, ne pas utiliser des expressions ou des références familières mais il est certain que "Ah le petit vain blenc" est un bien meilleur mot de passe que "M3rciP@tr0n".

Etude Microsoft intéressante sur les mots de passe: https://bit.ly/MSPasswordsStudy1

Autre étude à l'aide d'un pot de miel sur les attaques de brute force (une raison de plus d'utiliser des espaces dans son mot de passe, entre autres) :  https://bit.ly/MSPasswordsStudy2

Jean-Claude Berger, © 2006-2022. Ce billet est la réédition d'un blog paru en 2006.

Microsoft Certified IT Professional
MCSE
Microsoft Certified Technology Specialist
MCT
MCSA
MCP

Consultant Formateur Windows Server et Station, SQL Server, Azure, Office365
Microsoft Certified Trainer (MCT), Microsoft Certified IT Professional Enterprise Administrator (MCITP) Windows 2008 R2,Microsoft Certified Systems Engineer (MCSE),  Microsoft Certified Technology Specialist (MCTS), Microsoft Certified Systems Administrator (MCSA), Microsoft Certified Product Specialist (MCPS), Microsoft Certified Professional (MCP).