Le mot de passe est Fayleyure

En cours d'examen : sélection de mot de passe pour Yahoo ! Courrier etc...





PokeKey1…ou812$…twasbri11ig!. Tous étaient mes mots de passe préférés il y a longtemps. Le premier est le nom du chiot que j'ai eu brièvement quand j'étais enfant. Le second a été sans vergogne retiré d'une pochette d'album de Van Halen. Le troisième, vous vous en souviendrez, s'ouvre Jabberwock y. J'ai dû taper chacun des centaines de fois.

Suivez l

Cette histoire faisait partie de notre numéro de mars 2005

  • Voir le reste du numéro
  • S'abonner

Avec le recul, je me sens idiot de croire que mes mots de passe indevinables avec esprit ont amélioré ma sécurité de manière significative. La protection par mot de passe est omniprésente, ennuyeuse, peu pratique et ne fait pas grand-chose pour dissuader quiconque a l'intention de nuire. Mais vous ne pouvez pas obtenir un accès légitime à de nombreux services sans cela.



L'inscription à Yahoo Mail, par exemple, est loin d'être une invitation ouverte aux spammeurs et aux usurpateurs. Qui dirait que ses rappels automatisés d'identifiant/mot de passe ne sont pas une aubaine pour les paresseux et les aphasiques d'entre nous ? Mais la confiance incessante de Yahoo dans la protection par mot de passe est un correctif de sécurité qui ressemble plus à un défi pour les malfaiteurs qu'à un sérieux moyen de dissuasion. Et Yahoo Mail est parmi les meilleurs dans un très mauvais lot.

Les schémas d'authentification par mot de passe d'aujourd'hui ne sont guère plus que des placebos de sécurité. Ils inspirent de manière perverse les abus, les abus et les méfaits criminels en faisant délibérément des utilisateurs le maillon le plus faible de la chaîne de sécurité. Une plus grande puissance de télétraitement a rendu le vol ou le craquage de séquences de mots de passe toujours plus rapides, meilleurs et moins chers. Le gourou de la sécurité Mark Seiden observe que de nombreuses attaques de piratage n'ont rien à voir avec la force d'un mot de passe cible, car ces attaques reposent sur la découverte par force brute de séquences alphanumériques. Les méchants attaquent vraiment votre clavier, dit-il. Que les administrateurs du système de sécurité fassent sauter les utilisateurs à plusieurs reprises à travers des cercles numériques pour défendre l'intégrité de nos séquences de quatre à 12 caractères se situe quelque part entre l'insulte et la blague.

Si une entreprise voulait concevoir un système de sécurité qui se moquait de tout ce que nous savons sur le comportement humain, la psychologie cognitive et l'analyse cryptographique, elle proposerait notre babel de mots de passe contemporain basé sur des bits. Comme l'a observé l'expert en authentification Richard E. Smith, la conclusion logique de la plupart des politiques de mots de passe solides est de ne pas utiliser les noms des membres de la famille ou des animaux de compagnie ; n'utilisez pas d'anniversaires ou de dates de calendrier ; utiliser des séquences aléatoires de caractères spéciaux ; n'utilisez pas votre mot de passe pour plus d'un ou deux sites ; changez vos mots de passe plusieurs fois par an ; ne mettez pas votre (vos) mot(s) de passe dans votre PDA ou votre téléphone portable - c'est que les mots de passe devraient être impossibles à retenir et ne devraient jamais être écrits.



D'une manière ou d'une autre, les systèmes bancaires ATM du monde ont réussi à se débrouiller avec un strict minimum de fraude pendant plus de 20 ans en ne s'appuyant que sur des codes à quatre chiffres. Alors, que comprennent les geeks bancaires à propos de la gestion des mots de passe ?

La réponse évidente : plus le schéma de mot de passe est fort et complexe, plus l'administrateur du système de sécurité est paresseux et techniquement incompétent. Comme Smith le démontre dans une série d'analyses approfondies, la montée en puissance de la technologie de renifleur de texte brut combinée à une puissance de traitement améliorée par les calculs rend la protection par mot de passe traditionnelle de plus en plus faible et plus fragile.

Alors pourquoi exigeons-nous que des millions de personnes consacrent de plus en plus de temps et de mémoire à une procédure de sécurité offrant de moins en moins de protection ? Le monde n'a pas besoin de mots de passe meilleurs ou plus sécurisés ; il doit se sevrer des mots de passe et des codes PIN comme moyen d'authentification. Nous serions beaucoup plus en sécurité avec des approches d'authentification plus stratifiées - des moteurs de suspicion à la recherche de comportements déviants - et des moyens plus subtils mais persistants de suivre et de contester les identités en ligne.



La bêtise globale de la mentalité de mot de passe a été magnifiquement mise en évidence dans une enquête menée l'année dernière qui a révélé que 70% des personnes interrogées ont déclaré qu'elles révéleraient leurs mots de passe informatiques pour une barre de chocolat. Doux. Un tiers des personnes interrogées ont volontairement fourni leurs mots de passe aux enquêteurs sans recevoir de pot-de-vin. Une autre enquête a révélé que 79 % des personnes interrogées dans les rues de Londres révélaient des données sensibles à la sécurité telles que le nom de jeune fille et la date de naissance de la mère. Nous sommes étonnés du niveau d'ignorance des consommateurs sur la nécessité de protéger leur identité en ligne, a reniflé un porte-parole de RSA, la société de cryptage pionnière qui a parrainé la recherche.

En fait, je suis étonné par la paresse des entreprises mondiales qui rendent leurs utilisateurs principalement responsables de la sécurité et de l'intégrité des systèmes complexes. Si les mots de passe sont presque aussi importants pour l'authentification, l'identité et la sécurité en ligne qu'aujourd'hui, ce sera le signal le plus clair possible que le monde virtuel est devenu un endroit encore plus dangereux et volatile pour les transactions et les interactions.

Michael Schrage est chercheur et consultant en économie de l'innovation et auteur de Jeu sérieux (2000).



cacher