Sécurité

Microsoft interdit les longs mots de passe dans les services en ligne. Pourquoi est-ce un problème ?

Microsoft a décidé que vous ne pouvez plus utiliser de longs mots de passe dans les services en ligne de l’entreprise. Si vous êtes paranoïaque en matière de sécurité et que vous créez votre mot de passe en donnant des en-têtes sur votre clavier des dizaines de fois, la prochaine fois que vous essaierez de vous connecter à votre compte Microsoft, vous recevrez un message vous disant de ne taper que les 16 premiers caractères. Et cela peut cacher un gros problème.

La limitation à 16 caractères a commencé lorsque Microsoft a lancé Outlook.com à la fin du mois de juillet. Mais les utilisateurs plus âgés pourraient utiliser des mots de passe plus importants. Ceux qui ont un compte sur des services concurrents peuvent également former des combinaisons plus longues : jusqu’à 32 caractères sur Yahoo et jusqu’à 200 caractères sur Gmail, selon Sophos.

“Ok, quel est le problème ?”, me demanderez-vous peut-être. Après tout, un mot de passe de 16 caractères, s’il est bien formé, est suffisamment sûr pour ne pas être découvert après des années de force brute. Mais le trou est plus profond. Le message d’erreur indique clairement : “Si vous utilisez un mot de passe de plus de 16 caractères, saisissez les 16 premiers caractères.

  Comment récupérer des comptes après avoir perdu votre téléphone avec Google Authenticator

Cela pourrait signifier deux choses, selon Kaspersky. La première est que Microsoft stocke les mots de passe des utilisateurs en texte clair, ce qui peut causer d’énormes dégâts si quelqu’un accède aux serveurs de la société, affectant plus de 360 millions de comptes. La seconde est que le système de connexion de Microsoft ne calcule le hachage que des 16 premiers caractères.

Les deux cas sont graves. Le stockage des mots de passe en texte clair est une erreur primaire ; le plus correct serait d’enregistrer le hachage du mot de passe, ce qui rend la récupération pratiquement impossible si la combinaison ne se trouve pas dans un dictionnaire de hachage. La deuxième option est également mauvaise : si le système ne calcule que le hachage des 16 premiers caractères, cela signifie que tous les utilisateurs qui ont utilisé des mots de passe plus longs, pensant qu’ils étaient plus sûrs, ne l’étaient pas.

  Zoom est interdit même sur Google et appelle les experts à stopper la crise

Microsoft ne s’est pas encore officiellement prononcé sur la question. The Next Web estime que le problème n’est peut-être pas si grave : pendant tout ce temps, Microsoft stockerait votre mot de passe dans au moins deux formats (un court, de 16 caractères, et l’autre complet), ce qui permettrait de mettre en place le nouveau système de connexion. Nous l’espérons.

5:55 pm update Un sujet sur le site de Microsoft explique ce qui s’est passé. Selon l’entreprise, les mots de passe des comptes Microsoft ont toujours eu cette limite. Autrement dit, si vous avez pu vous inscrire avec un mot de passe de plus de 16 caractères, les caractères suivants ont été automatiquement ignorés et n’ont pas été enregistrés dans la base de données.

A propos de l'auteur

Ronan

Le Breton de l'équipe ! Développeur back-end dans une startup française. Internet des objets, domotiques, mes sujets de prédilection sont vastes. #teamLinux sur PerlmOl

Laisser un commentaire