» Vie Privée » En matière de mots de passe, la longueur compte !

En matière de mots de passe, la longueur compte !

  • Pypo 

Selon un expert en sécurité Microsoft, la force de votre mot de passe n’a pas d’importance. Ni la longueur, ni la complexité, ni le nombre de caractères spéciaux qu’il utilise. Les pirates informatiques peuvent l’obtenir de toute façon, et la seule chose qui fait vraiment une différence, dit-il, c’est si l’authentification à deux facteurs (2FA) est activée.

"Se concentrer sur les règles de mots de passe, plutôt que sur des choses qui peuvent vraiment aider, écrit Alex Weinert, Group Program Manager for Identity Security and Protection chez Microsoft dans un billet de blog de cet été, "n'est qu'une distraction".

Chez Pypo, nous ne sommes pas tout à fait d’accord avec lui. La complexité des mots de passe ralentira les attaquants dans de nombreux cas. Mais il a raison de dire que même le mot de passe le plus fort ne peut pas se défendre contre une bonne attaque de phishing, qu’un mot de passe utilisé plus d’une fois pourrait aussi bien être considéré comme perdu, et que 2FA, que Microsoft appelle authentification multifactorielle, ou MFA est une nécessité absolue.

"Votre compte a plus de 99,9 % de chances de ne pas être compromis si vous utilisez l'AMF ", écrit Weinert.

Comme illustration à son propos, il énumère plusieurs attaques différentes sur les mots de passe, leur fréquence d’essai, leur succès et si la complexité des mots de passe permet de les arrêter.

Bourrage d’identifiants

L’une des attaques les plus courantes est, selon M. Weinert, le test d’énormes listes d’informations d’identification compromises (mots de passe et leurs noms d’utilisateur ou adresses électroniques associés) à partir d’anciennes brèches dans les données sur d’autres sites Web (chaque jour 20 millions de comptes associés à Microsoft) .

Donc si vous avez utilisé “jean.dupond@gmail.com” et “L25nRb78vA” sur Google, alors un attaquant va essayer ces identifiants pour se connecter à des comptes sur Facebook, LinkedIn, Dropbox, Spotify, Microsoft et plusieurs dizaines d’autres sites, dont des banques et détaillants en ligne. Il y a fort à parier que ces identifiants ont été réutilisés au moins une fois.

Les mots de passe étant difficiles à trouver, dit M. Weinert dans son blog, “62 % des utilisateurs admettent leur réutilisation”.

La force du mot de passe n’a pas d’importance avec le bourrage d’identifiants, écrit-il, parce que l’attaquant l’a déjà. Les seules défenses efficaces sont de ne jamais réutiliser les mots de passe et d’utiliser 2FA chaque fois que c’est possible pour empêcher l’attaquant de se connecter même s’il a le mot de passe.

Phishing

Les attaques de phishing sont également très courantes, qui incitent l’utilisateur à taper un mot de passe dans une fausse page de connexion. Selon M. Weinert, un courriel sur 500 est un leurre d’hameçonnage, et les utilisateurs se font avoir parce que “les gens sont curieux ou inquiets et ignorent les signes avant-coureurs”.

Encore une fois, la force du mot de passe n’a ici aucune importance. Vous venez de donner le mot de passe à l’agresseur. L’authentification à deux facteurs aidera à bloquer l’attaque dans la plupart des cas, mais comme l’a fait remarquer un commentateur sur le message de Weinert, les bons hameçonneurs peuvent intercepter des codes 2FA envoyés par SMS ou inciter les utilisateurs à saisir des codes 2FA sur des sites de phishing.

La meilleure défense contre le phishing est la forme la plus chère de 2FA, c’est à dire une clé de sécurité physique qui communique avec votre ordinateur ou smartphone via USB, Bluetooth ou NFC. Vous ne pouvez pas dupliquer ces clés, ni transférer leurs communications d’une page de phishing vers une page de connexion réelle.

Les clés de sécurité commencent à environ 15 ou 20 € en ligne (sur Amazon taper “clé de sécurité 2FA”), mais elles peuvent en valoir la peine, et chaque clé crée un ensemble différent d’identifiants chiffrés pour chaque compte en ligne. Google exige maintenant des clés de sécurité physique pour ses employés et n’aurait pas eu un seul compte compromis depuis l’instauration de cette règle.

Pulvérisation de mots de passe

C’est ici que la force du mot de passe compte, en quelque sorte. L’attaquant a une longue liste d’adresses e-mail connues (faciles à obtenir !) et essaie d’utiliser chacune d’elles avec les 20 ou 50 mots de passe les plus couramment utilisés pour se connecter à de nombreux sites Web différents.

Cette attaque ne fonctionnera pas dans la majorité des tentatives. Mais elle fonctionnera assez souvent, car des millions de personnes utilisent encore “123456” ou “azerty456” ou “00000000” ou même “motdepasse” comme mot de passe. Weinert devine que des centaines de milliers de comptes sont piratés chaque jour par la pulvérisation de mots de passe.

Mais, dit-il, seuls les mots de passe vraiment faibles sont vulnérables à la pulvérisation de mots de passe. Sinon, les mots de passe médiocres comme “ghjklm” (pas assez de caractères, tous en minuscules) sont aussi sûrs que les mots de passe forts comme “Y4[kdfiz/@q8gK+rd,- :” (20 caractères de cas et types différents) car ils ne sont pas parmi les mots de passe les plus mauvais.

Attaque par force brute

C’est là que la force des mots de passe fait vraiment la différence. Weinert dit qu’un bon ordinateur qui casse les mots de passe aujourd’hui pourrait casser “ghjklm” en quelques secondes, mais qu’un mot de passe de 10 caractères utilisant des lettres majuscules, minuscules, chiffres et signes de ponctuation prendrait environ 20 ans pour le casser. Nous avons fait le calcul et nous nous sommes dit que “Y4[kdfiz/@q8gK+rd,- :” prendrait environ 10 septillions d’années (10 puissance 42).

C’est encourageant, et d’une grande aide dans les cas où une base de données est piratée et où les mots de passe sont fortement “hachés”, c’est-à-dire protégés par un cryptage unidirectionnel pour qu’ils ne puissent pas être inversés. (Lorsque vous vous connectez à un site Web, le mot de passe que vous entrez est rapidement haché, et le résultat est comparé au hachage que le site a stocké lorsque vous configurez le compte.)

Weinert dit en outre, qu’en cas d’atteinte à la protection des données, “lorsqu’un attaquant est confronté à des mots de passe fortement hachés, la force de votre mot de passe n’a toujours pas d’importance, à moins qu’il ait plus de 12 caractères et n’ait jamais été utilisé auparavant, ce qui signifie qu’il a été généré par un gestionnaire de mots de passe“.

Nous sommes d’accord qu’un bon mot de passe doit comporter plus de 12 caractères, quinze étant selon moi le bon nombre.

Mais une bonne phrase de chiffrement (des mots aléatoires enchaînés ensemble, avec quelques substitutions de caractères) devrait fonctionner correctement. Quelque chose comme “M4/s8nV5it?r#Entr94r” (basé sur “MaisonVoitureEntretenir”) devrait être bien, ne sera pas craqué pendant des années, et pourrait être “assez facile” à retenir pour vous tout en restant très difficile à deviner.

Remarque : n’utilisez pas nos exemples de mots de passe, leur seule présence ici suffit à les qualifier de compromis.

Vérification des nouveaux mots de passe

Weinert mentionne aussi quelques autres types d’attaques par mot de passe comme l’enregistrement de la frappe au clavier, recherche des mots de passe de quelqu’un par écrit et extorsion totale, et souligne que la force du mot de passe n’a pas beaucoup d’importance pour eux non plus. Mais leur incidence est si faible qu’il ne faut pas trop s’en faire pour eux.

Pour vous assurer que vos mots de passe sont aussi forts que possible, utilisez un gestionnaire de mots de passe pour vous assurer que vos mots de passe sont forts, longs et uniques.

Lorsque vous créez un mot de passe ou qu’un gestionnaire de mots de passe en génère un pour vous, vérifiez qu’il ne fait pas partie des centaines de millions de mots de passe compromis connus sur le site de HaveIBeenPwned avant de l’utiliser.

Et, une fois de plus, configurez l’authentification à deux facteurs sur chaque compte qui le permet. Si c’est tout ce qu’on a, on peut se contenter d’un code texte. Si possible, utilisez plutôt des applications d’authentification comme Authy ou Google Authenticator. Et si vous pouvez vous permettre 20 € pour une clé de sécurité USB, utilisez-la sur tous les comptes qui la prennent en charge.

Cet article vous a t-il été utile ?