211service.com
Des mots de passe simples et sûrs
Des chercheurs de Microsoft ont trouvé un moyen de créer des mots de passe faciles à mémoriser sans rendre le système plus vulnérable aux pirates.
Au lieu d'appliquer des mots de passe complexes, comme le font de nombreuses organisations, le nouveau système garantit que pas plus de quelques utilisateurs peuvent avoir le même mot de passe, ce qui a un effet global similaire sur la sécurité. Des recherches plus poussées de Microsoft révèlent également pourquoi seules certaines organisations insistent sur des mots de passe très complexes.
Des exigences de mot de passe de plus en plus complexes - des règles telles que les mots de passe doivent comporter 14 caractères et contenir au moins deux lettres majuscules, deux lettres minuscules et trois symboles - rendent difficile pour les attaquants de deviner les mots de passe à l'aide d'une attaque par dictionnaire, ce qui implique d'essayer de nombreuses mots de passe successivement.
Sans de telles restrictions, les gens ont tendance à choisir des mots de passe faciles à retenir, à saisir et à deviner. Par exemple, lorsque 32 millions de mots de passe du site de médias sociaux RockYou ont été publiés par inadvertance en décembre dernier, près de la moitié se sont avérés être des mots de passe triviaux tels que des chiffres consécutifs, des mots du dictionnaire ou des noms communs, selon une analyse réalisée en janvier dernier par la société de sécurité Web. Imperva .
Exiger que les mots de passe incluent des chiffres, des symboles et des cas mixtes augmente considérablement le nombre de mots de passe possibles. Avec de telles règles, une attaque par dictionnaire devient infaisable, mais les mots de passe deviennent également plus difficiles à mémoriser.
Les concepteurs de systèmes tentent notamment de contrer les attaques par dictionnaire en désactivant temporairement un compte lorsqu'un mot de passe erroné est soumis plusieurs fois. C'est ce qu'on appelle le verrouillage de compte, et sans surprise, les attaquants ont découvert un moyen simple de déjouer l'approche. Au lieu de deviner des milliers ou des millions de mots de passe pour un seul compte, les attaquants devinent simplement les mots de passe les plus couramment utilisés pour des milliers, voire des millions, de comptes différents.
Le nouveau schéma de Microsoft Research supprime entièrement les exigences de complexité tout en protégeant à la fois des attaques par dictionnaire et des devinettes statistiques. Le service compte simplement combien de fois un utilisateur du service choisit un mot de passe donné. Lorsque plus d'un petit nombre d'utilisateurs choisissent un mot de passe, le mot de passe est interdit et personne d'autre n'est autorisé à le choisir. Le système ne peut être utilisé que par des organisations comptant des millions d'utilisateurs - des sites Web comme Hotmail de Microsoft, par exemple.
L'approche est décrite dans un document écrit par des chercheurs de Microsoft Stuart Schechter et Cormac Herley , qui doit être publié lors de la conférence Hot Topics in Security à Washington, DC, en août. Michael Mitzenmacher à l'Université de Harvard est également co-auteur de l'article.
Le remplacement des règles de création de mot de passe par des limitations de popularité a le potentiel d'augmenter à la fois la sécurité et la convivialité, écrivent les auteurs. Étant donné qu'aucun mot de passe n'est autorisé à devenir trop courant, les attaquants sont privés des mots de passe populaires dont ils ont besoin pour compromettre une faction importante de comptes à l'aide de devinettes en ligne.
Cependant, dit Herley, il n'est pas encore prévu d'implémenter le nouveau schéma dans les produits Microsoft. Nous ne pouvons pas spéculer sur les plans de produits Microsoft, dit-il. Pour le moment, nous ne faisons que le diffuser pour obtenir les commentaires de la communauté des chercheurs en sécurité.
Au cours des dernières années, les chercheurs dans le domaine émergent de la sécurité utilisable ont examiné de près de nombreuses pratiques de sécurité de l'information et ont constaté que bon nombre d'entre elles faisaient défaut. Par exemple, de nombreux systèmes informatiques verrouillent les comptes si un utilisateur saisit mal son mot de passe trois fois de suite. Mais il y a sept ans, Sascha Brostoff et Angela Sasse, deux chercheuses de l'University College London au Royaume-Uni, a montré que l'augmentation de ce nombre de trois à 10 réduit considérablement le nombre d'utilisateurs légitimes qui sont verrouillés tout en n'ayant qu'un impact négligeable sur la sécurité globale d'un système.
La semaine dernière, plus de 200 chercheurs en sécurité informatique du monde entier se sont réunis à Redmond, WA, lors de la conférence annuelle Symposium sur la confidentialité et la sécurité utilisables discuter des approches pour rendre les ordinateurs à la fois plus sûrs et plus utilisables.
Une autre étude de chercheurs de Microsoft, présentée lors du symposium, explique pourquoi seules certaines organisations ont des mots de passe trop compliqués. L'étude a examiné les politiques de mot de passe sur 75 sites Web différents, y compris les 20 sites les mieux classés sur Internet et les sites Web appartenant à des banques, de grandes universités et des agences gouvernementales américaines. Les chercheurs de Microsoft, Dinei Florencio et Cormac Herley, n'ont trouvé aucune corrélation entre la valeur du compte d'un consommateur, le nombre d'attaques subies par le site Web et la complexité des mots de passe imposés par les opérateurs de sites Web à leurs utilisateurs.
Selon l'étude , les sites Web où les utilisateurs ont le choix entre plusieurs fournisseurs (sites de banques et d'entreprises d'investissement, par exemple) ont généralement des exigences de mot de passe relativement simples. Ces sites protègent les actifs de leurs utilisateurs grâce à des techniques anti-fraude, et les entreprises ne veulent pas rendre la connexion trop difficile à leurs clients.
Florencio et Herley ont découvert que les sites qui avaient les exigences de mot de passe les plus strictes étaient ceux où les utilisateurs n'avaient généralement pas la possibilité de magasiner – des sites comme l'Administration de la sécurité sociale des États-Unis, le National Weather Service et les systèmes de messagerie Web de plusieurs grandes universités. Pour ces systèmes, les organisations n'ont aucune incitation financière à équilibrer la convivialité et la sécurité, ou à trouver un autre moyen de protéger les comptes des utilisateurs.
La plupart des organisations ont des professionnels de la sécurité qui exigent des politiques plus strictes, mais seules certaines ont des impératifs d'utilisabilité suffisamment forts pour les repousser, ajoutent les auteurs. Lorsque les voix qui plaident en faveur de la convivialité sont absentes ou faibles, les mesures de sécurité deviennent inutilement restrictives.
Simson Garfinkel a siégé au comité de programme du Symposium 2010 sur la sécurité utilisable et la confidentialité.