Pendant toutes ces années sur Internet, vous avez été endoctriné à créer des mots de passe remplis de majuscules, de minuscules, de chiffres et de caractères spéciaux, de préférence très longs, de ceux impossibles à mémoriser. De nombreux sites ne vous permettent même pas de compléter votre inscription si vous ne choisissez pas un “mot de passe fort ? (bien qu’il y ait quelques exceptions comme, par exemple, votre banque sur internet). Mais d’où viennent ces règles ?
Le type qui a inventé le modèle est Bill Burr, qui a travaillé au National Institute of Standards and Technology (NIST), une sorte d’équivalent américain de notre ABNT. Le document contenant les règles a été rédigé en 2003 et stipule qu’un mot de passe fort doit comporter des “majuscules irrégulières, des caractères spéciaux et au moins un chiffre”.
Mais il n’est pas possible de ne pas se souvenir d’une bande xkcd classique : si l’on considère une attaque par la force brute, une “agrafe de batterie de cheval correcte” est beaucoup plus difficile à casser qu’une “Tr0ub4dor&3”. (et plus facile à retenir). Le premier pourrait prendre 550 ans pour être deviné par un ordinateur, alors que le mot de passe “fort” ne prendrait que trois jours, compte tenu d’une attaque web typique.
Et ce n’est pas tout : le document recommande également d’échanger les mots de passe tous les 90 jours. Je n’ai même pas besoin de dire que changer un mot de passe de 0b3€%ECyrn2#@!1 à 0b3€%ECyrn2#@!2 n’est pas la chose la plus sûre au monde.
Ainsi, Burr, aujourd’hui âgé de 72 ans et retraité, a accordé une interview au Wall Street Journal s’il s’excuse d’avoir créé les règles largement adoptées par les entreprises aujourd’hui (et probablement pour vous avoir fait perdre votre temps). En outre, le document du NIST a été réécrit, supprimant la règle de changement de mot de passe tous les 90 jours et stipulant ce qui suit
La façon la plus remarquable de procéder [pour résoudre les problèmes de sécurité] est celle des règles de composition, qui imposent à l’utilisateur de choisir des mots de passe en utilisant un mélange de types de caractères, tels qu’un chiffre, une majuscule et un symbole. Cependant, les analyses des banques de mots de passe cassés révèlent que le bénéfice de ces règles n’est pas aussi important qu’on le pensait initialement, bien que l’impact sur la convivialité et la mémorisation soit sévère ?
Les mots de passe forts sont des mots de passe longs
C’est pourquoi le NIST présente désormais “une approche différente et plus simple, basée principalement sur la longueur du mot de passe”. La recommandation est que “les utilisateurs devraient être encouragés à créer leurs mots de passe aussi longtemps qu’ils le souhaitent” et que les attaques par force brute peuvent être atténuées en limitant le nombre de tentatives de connexion autorisées. Il n’y a pas d’exigences plus spécifiques pour la composition des mots de passe.
La conclusion est que ?les exigences de longueur et de complexité, en plus de celles recommandées ici, augmentent considérablement la difficulté de mémorisation des mots de passe et la frustration des utilisateurs. En conséquence, les utilisateurs contournent généralement ces restrictions de manière contre-productive ?
En bref, tout ce qu’ils vous ont appris sur la création d’un mot de passe fort était faux.