Mots de passe : on nous mentirait depuis 14 ans ?

Je suis tombé il y a peu sur un article de www.lesechos.fr traitant d’une tromperie qui durerait depuis 14 ans à propos des mots de passe.

Je vous laisse le lire et revenir (éventuellement) lire mes commentaires.

Examinons tout d’abord une valeur qui nous est fournie dans l’article

Des chiffres qui donnent d’ailleurs le tournis quand on sait que la population mondiale passe plus de «1.300 ans par jour» à taper des mots de passe, selon le directeur de la recherche de Microsoft.

Tout d’abord, 1.300 ans : s’agit-il de mille trois cents ou de un virgule trois ans ? Le séparateur de milliers "." semble inusité (voir ici).

Evaluons le calcul :

  • 7 527 400 205 personnes peuplent la Terre au moment où j’écris cet article (source)
  • la population active en âge de travailler (15-64 ans) est en France de 70.9% (source). Transposons-la sur le monde entier (je sais, c’est discutable mais j’essaie de trouver un ordre de grandeur) : 5 336 926 745 personnes utilisent certainement un mot de passe
  • imaginons que le composer prend 10 secondes
  • temps passé par la population mondiale à entrer un mot de passe : 5 336 926 745 * 10 = 53 369 267 453 secondes
  • reportons cela en années : cela fait 1 692 ans. C’est dans l’ordre de grandeur si le séparateur des milliers cité dans l’article est bien "."

Mais les – de 15 et + de 64 ans utilisent aussi des mots de passe. Oui, des car chacun en a plusieurs (théoriquement différents, pour plus de sécurité), selon le site visité, le service, l’application… Pour ma part, je pense en utiliser quotidiennement une trentaine (pro + perso, je vais compter exactement un de ces jours). Donc, j’estime que la valeur est fortement à revoir à la hausse.

Soit Bill a fait ses calculs sur un PC sous Windows (voir ici et ), soit je me suis complètement planté. A vous de juger.

Un calcul digne de ce nom aurait estimé le temps que vous (nous) passons dans une vie à entrer ces satanés mots de passe. Mais c’était sans doute trop évident. Je vous laisse faire le calcul.

Un mot de passe simple plus difficle à trouver qu’un compliqué ?!

Le rédacteur des préconisations en matière de sécurité des mots de passe (tiens, c’est aussi un Bill) a donc totalement bidonné son rapport… comme le “journaliste” son article qui indique :

Il faudrait plus de 550 ans à des hackers pour déchiffrer le mot de passe "Batteries correctement branchées", selon des travaux universitaires, tandis qu’il ne leur prendrait que 3 jours pour déchiffrer "Tr0ub4dor & 3"

(notez que ce dernier password possède un espace en tête et en queue, il est malin très notre journaleux).

Si vous lancez un utilitaire pour craquer (casser ou trouver) un mot de passe, il vous proposera de faire une recherche, dans cet ordre, afin de l’obtenir le plus rapidement possible :

  • dictionnaires de mots de passe très utilisés ou de mots issus de dictionnaires en plusieurs langues

Si cela ne fonctionne pas, il va passer en mode “force brute” et tester tous les caractères possibles :

  • minuscules (26 possibilités par caractère à trouver)
  • minuscules + chiffres (36 possibilités)
  • majuscules (26 possibilités)
  • majuscules + chiffres (36 possibilités)
  • minuscules, majuscules, chiffres (62 possibilités)

Toujours pas trouvé ? On ajoute les caractères spéciaux (256 possibilités en ASCII moins quelques-unes difficiles à générer avec un clavier) :

  • classiques (./*-+= etc…)
  • plus spéciaux ({[|ç@µ] etc…)

A votre avis, quel est le plus difficile à trouver :

  • un mot de passe de 10 caractères dont chacun peut prendre 62 valeurs différentes
  • un mot de passe de 10 caractères dont chacun peut prendre 256 valeurs différentes

Changer régulièrement de mot de passe ?

Si le votre est fort et n’est pas compromis, pourquoi le modifier ?

Par contre, si votre entreprise vous impose de le changer régulièrement, faites une simple modification mais de manière intelligente : {mois}mot_de_passe_non_modifié{année}, vous aurez ainsi “01mot_de_passe_non_modifié2017” en janvier 2017 puis “02mot_de_passe_non_modifié2017” en février.

De toutes façons, n’oubliez pas de modifier le mot de passe sur le post-it collé sous le clavier 🙂

Conseils

  • n’utilisez jamais le même mot de passe pour plusieurs comptes, services ou applications ! S’il est trouvé, vous ouvrez la boîte de Pandore et compromettez vos autres comptes. A suivre en particulier si vous avez un(e) copain (copine) jaloux(se)
  • ne les stockez pas dans un tableau Excel protégé par mot de passe : des utilitaires peuvent supprimer la protection en une fraction de seconde
  • si vous devez les mémoriser dans un document, noyez-les dans d’autres informations sans intérêt et de même aspect en mémorisant simplement l’endroit où le bon est stocké (tableur, document)
  • utilisez un logiciel (libre et gratuit, avec ses sources disponibles) de gestion de mots de passe : vous n’en aurez qu’un seul à mémoriser (non testé, je suis de la vieille école)

Le futur ?

La tendance est au remplacement des mots de passe par une reconnaissance biométrique (empreinte, pupille, visage…).

Mais il m’arrive de faire un cauchemar : mon distributeur de papier me demande un mot de passe… et je ne m’en souviens pas.

Laisser un Commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*
*