Dans quelle mesure votre mot de passe est-il piratable ?

Les meilleures pratiques en matière de sécurité que chacun doit connaître.

Au cours des dernières décennies, les règles relatives aux mots de passe sont devenues plus compliquées et plus contraignantes pour les utilisateurs. Ceux-ci se sont accommodés de règles arbitraires et complexes en créant les mots de passe les plus faciles à retenir qui respectent les règles, en les modifiant au besoin de façon mineure et prévisible, et en réutilisant les mots de passe conformes sur plusieurs comptes en ligne. Il en résulte beaucoup de frustration et MOINS de sécurité. Voici comment bien faire les choses...

Tout ce que vous savez sur les mots de passe est erroné

Un site Web classique exige désormais que vous créiez un mot de passe d'au moins 8 caractères comprenant au moins trois ou quatre types de caractères : majuscules, minuscules, chiffres et caractères spéciaux tels que !, @, #, etc. Dans la plupart des cas, le mot de passe obtenu fait *exactement* 8 caractères, commence par une majuscule et se termine par un point d'exclamation ou le chiffre "1". Il s'agit souvent d'un nom reconnaissable associé à l'utilisateur, comme le nom d'un enfant ou d'un animal de compagnie. Si un mot de passe doit être modifié, c'est souvent uniquement le dernier caractère qui est changé, et de manière prévisible, c'est-à-dire que "1" devient "2", " !" devient "@", etc.

Les pirates connaissent ces règles officielles, ainsi que les règles de facto que les utilisateurs ont créées pour s'y conformer au moindre effort. Grâce à un défilé régulier de violations de données, ils disposent de milliards de mots de passe volés à partir desquels ils peuvent déterminer les règles, et ils incorporent ces règles dans les logiciels de cassage de mots de passe pour les rendre plus efficaces. Ils disposent également d'une puissance de calcul massive qui leur permet d'essayer des milliards de mots de passe possibles par heure. Le résultat est que la plupart des mots de passe actuellement utilisés peuvent être craqués en quelques heures.

Vous vous demandez peut-être comment ces outils de craquage de mots de passe peuvent fonctionner aussi rapidement. Ils ne fonctionnent pas en essayant à plusieurs reprises de se connecter à votre site Web préféré. Cela les bloquerait rapidement. Au lieu de cela, ils concentrent leur attention sur les bases de données de mots de passe volées sur des serveurs Web compromis. Voici un article révélateur sur le fonctionnement des craqueurs de mots de passe.

Fait intéressant, je viens de trouver un article décrivant comment les mots de passe vieux de 40 ans de certains pionniers de l'Internet ont été craqués. Ce n'est pas seulement que leurs mots de passe datant de 1980 étaient faibles, mais plutôt que les méthodes utilisées pour les protéger se sont avérées inefficaces, compte tenu de l'évolution du temps et de la technologie. Les mots de passe hachés (faiblement cryptés) de certains des créateurs du système d'exploitation Unix étaient inclus dans le code source accessible au public. À l'époque, la puissance de calcul n'était pas suffisante pour décrypter ces hachages au cours de leur vie. Mais en 2019, un appareil de cassage de mots de passe équipé de 10 GPU peut le faire en quelques heures.

Une solution à la prévisibilité humaine est un logiciel de génération de mots de passe qui produit des mots de passe plus longs et plus aléatoires, et un logiciel de gestion des mots de passe qui se souvient à quel site un mot de passe va. Ces fonctions peuvent être combinées dans un seul logiciel, tel que Roboform, Dashlane ou LastPass.

Une autre solution pour se souvenir des mots de passe forts est la mnémotechnique - une phrase dont on se souvient facilement parce qu'elle a un sens grammatical, et qui contient les caractères d'un mot de passe que l'on peut extraire en appliquant une règle simple. Par exemple, un mot de passe pourrait être les premières lettres de la phrase suivante : "Mon cochon sait prendre en mains ses bouclettes". En fait, cette phrase entière ferait un mot de passe pratiquement impénétrable, si les règles officielles autorisaient les espaces.

En suivant les règles officielles, on obtient un mot de passe facile à craquer en 3 jours, alors que la phrase "chien qui sait se servir d'une pince" prend 550 ans, soit beaucoup plus que ce qu'un pirate a envie de dépenser.

Qu'en est-il de ces compteurs de mots de passe ?

Des recherches ont montré que les utilisateurs créent des mots de passe plus forts s'ils reçoivent un retour d'information sur la force du mot de passe au moment où ils le créent. Mais, selon des chercheurs de l'université Carnegie-Mellon, les "compteurs de force" ne mesurent souvent que le respect des règles et non la force statistique. Ces derniers ont créé un compteur de force qui utilise un puissant réseau neuronal pour calculer sur-le-champ la force réelle d'un mot de passe hypothétique, et qui explique même ce qui ne va pas dans votre stratégie de création de mot de passe. Les règles qu'ils recommandent sont les suivantes

Au moins 12 caractères par mot de passe
Les majuscules et les caractères spéciaux au milieu du mot de passe, pas aux extrémités
Pas de noms associés à des animaux domestiques ou à des équipes sportives
Pas de paroles de chansons
Évitez le mot "amour", quelle que soit la langue
Évitez les motifs tels que "123", y compris les motifs clavier ("qwertyasdfg")

Je conseille d'utiliser un générateur/gestionnaire de mots de passe dans la mesure du possible. Ils sont de plus en plus performants pour contourner les barrières de sécurité que certains propriétaires de sites Web considèrent comme importantes. Et parce qu'ils génèrent des mots de passe longs et forts dont il n'est pas nécessaire de se souvenir, vous êtes mieux protégé au cas où l'un de vos sites Web préférés serait piraté et où la base de données de mots de passe cryptés serait soumise à la torture par l'un de ces appareils high-tech de cassage de mots de passe. Ils s'attaqueront aux fruits mûrs bien avant que votre mot de passe aléatoire de 42 caractères ne soit extrait.

Si vous préférez ne pas utiliser de logiciel de mot de passe, une phrase mémorable est la meilleure solution.

Et vous quelle est votre stratégie en matière de mots de passe ?