Les règles pour créer un bon mot de passe

Une grande majorité des trucs et astuces fiables que nous utilisons pour créer un mot de passe personnalisé nous rendent plus vulnérables faces aux pirates informatiques, selon l’expert qui a popularisé les conseils en 2003. Dans une interview avec le Wall Street Journal, ancien Institut national des normes et le directeur de la technologie, Bill Burr, a admis que le document qu’il a rédigé sur la création de mots de passe forts était erroné. « Beaucoup de ce que j’ai fait, je le regrette maintenant », dit Burr, qui a 72 ans et qui est maintenant à la retraite.

Le problème n’était pas que Burr conseillait aux gens de faire des mots de passe qui sont intrinsèquement faciles à déchiffrer, mais que ses conseils orientaient les utilisateurs d’ordinateurs quotidiens vers des erreurs paresseuses et des pratiques faciles à prévoir. Le document de mot de passe de huit pages de Burr, intitulé « NIST Special Publication 800-63 ». L’annexe A, conseille aux gens d’utiliser des majuscules irrégulières, des caractères spéciaux et au moins un chiffre. Cela pourrait aboutir à un mot de passe comme « P@ssW0rd123! ». Bien que cela puisse sembler sûr en surface (en négligeant, bien sûr, que « mot de passe » soit un mauvais mot de passe), le problème est que la plupart techniques exactes lors de l’élaboration de ces serrures numériques combo. Il en résulte des chaînes de caractères et de nombres que les pirates peuvent facilement prédire et des algorithmes qui ciblent spécifiquement ces faiblesses.

Pire encore, Burr a suggéré que les gens devraient changer les mots de passe régulièrement, au moins tous les 90 jours. Ce conseil, qui a ensuite été adopté par les institutions académiques, les organismes gouvernementaux et les grandes entreprises, a poussé les utilisateurs à créer des mots de passe faciles à utiliser. La plupart des gens peuvent probablement pointer vers un mot de passe qu’ils ont créé qui a été jugé fort simplement parce qu’il avait un caractère spécial comme le symbole « ! » Ou « ? » Et une chaîne numérique comme « 123 ». Et lorsqu’on lui demande de changer un mot de passe, qui ne l’a pas modifié légèrement pour éviter les ennuis de trouver un tout nouveau code ?

Une bande dessinée xkcd populaire du dessinateur Randall Munroe, publiée en août 2011, a creusé un trou dans cette logique commune en soulignant comment le mot de passe « Tr0ub4dor&3 » pourrait être craqué en trois jours avec des techniques standard, en raison de sa capitalisation prévisible et l’utilisation de caractères spéciaux. Le mot de passe « agrafe de batterie de cheval correcte », écrit en une seule phrase, prendrait 550 ans à être piraté. « Grâce à 20 ans d’efforts, nous avons correctement formé tout le monde à utiliser des mots de passe difficiles à retenir pour les humains, mais faciles à deviner pour les ordinateurs », écrit Munroe.

En d’autres termes, les mots de passe que vous devriez utiliser sont des phrases obscures, presque inexplicables, pleines de hasard humain qui les rendent faciles à mémoriser et pourtant presque impossibles à comprendre pour un système automatisé. Bien sûr, pour ceux qui utilisent des gestionnaires de mots de passe comme LastPass, vous pouvez générer des mots de passe cryptographiquement sécurisés à la volée. Mais il est toujours important d’avoir un mot de passe maître difficile à cracker.

« En fin de compte, c’était probablement trop compliqué pour beaucoup de gens de comprendre très bien, et la vérité est, il aboyait le mauvais arbre », Burr admet de son conseil. Les nouvelles normes du NIST qui ont été publiées en juin, rédigées par le conseiller technique Paul Grassi, ont supprimé une grande partie des conseils de Burr.

« Nous avons fini par partir de zéro », a déclaré Grassi au WSJ. Mais Burr pourrait exagérer les effets négatifs de son conseil sur les mots de passe, ajoute M. Grassi: « Il a rédigé un document de sécurité qui a duré de 10 à 15 ans. J’espère seulement pouvoir tenir un document aussi longtemps. »

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage