Pourquoi la correction automatique des mots de passe est une excellente idée

La plupart d'entre nous ont, à un moment ou à un autre, dû ressaisir un mot de passe parce que nous l'avons mal saisi. Peut-être avez-vous même été bloqué sur un compte après trop de fautes de frappe.





De nouvelles recherches montrent que ces frustrations pourraient être évitées en utilisant la même approche que celle utilisée pour corriger les fautes de frappe dans les messages texte et les documents : la correction automatique.

Les chercheurs ont analysé les connexions au service de stockage de données Dropbox pour prouver que laisser les gens entrer même lorsqu'ils se trompent sur quelques caractères peut réduire les maux de tête sans nuire de manière significative à la sécurité.

C'est, à notre avis, un gros problème, dit Ari Juels , professeur au Jacobs Technion-Cornell Institute de Cornell Tech, à New York. Les sites Web devraient modifier leurs politiques de mot de passe pour faciliter la vie des utilisateurs. La dégradation de la sécurité est assez faible.



À première vue, laisser des mots de passe avec des fautes de frappe déverrouiller un compte semble être une mauvaise idée. Après tout, un attaquant essayant de deviner votre mot de passe n'aurait pas besoin de le comprendre exactement. Facebook a été critiqué pour avoir permis aux gens de se connecter même lorsqu'ils se trompent dans la casse du premier caractère de leur mot de passe ou qu'ils ont accidentellement verrouillé les majuscules.

Mais Jules et ses collaborateurs de Cornell Tech, MIT et Dropbox disent que l'idée n'est pas dangereuse si elle est mise en œuvre d'une manière qui tient compte de la façon dont les gens choisissent les mots de passe et des fautes de frappe qu'ils font. Leur papier a été présenté au Symposium IEEE sur la sécurité et la confidentialité la semaine dernière.

Ils ont recueilli des données sur les fautes de frappe en analysant 24 heures de connexions à Dropbox, qui compte des centaines de millions d'utilisateurs. Près de 10 % des tentatives de connexion qui ont échoué l'ont été en raison d'une poignée de fautes de frappe facilement corrigibles, telles que le verrouillage des majuscules. Environ 3 % des utilisateurs qui n'ont pas accédé à leurs comptes auraient pu le faire si la correction automatique avait couvert les trois fautes de frappe les plus courantes : laisser le verrouillage des majuscules, utiliser la mauvaise casse pour le premier caractère ou supprimer le dernier caractère.



La comparaison de ces données avec des modèles de mots de passe révélés par des violations de données, telles que les 32 millions de fuites de la société de jeux sociaux RockYou, suggère que la correction de ces erreurs courantes ne donne pas beaucoup d'avantage à un attaquant essayant de deviner les mots de passe. Dans la plupart des cas, les suppositions gratuites créées en acceptant les fautes de frappe ne valent pas grand-chose. Les attaquants utilisent des listes de mots de passe pour essayer d'abord les mots de passe communs, et l'application de corrections de fautes de frappe à ces mots de passe crée généralement des fichiers indésirables, et non un autre mot de passe commun.

Cependant, accepter des fautes de frappe courantes pourrait donner à un attaquant une longueur d'avance pour certains mots de passe. Par exemple, si votre mot de passe est 12345 et qu'un attaquant devine 123456, il pourrait entrer. sur la base d'informations provenant de listes de mots de passe ayant fait l'objet d'une fuite.

Ces vérificateurs ont été testés dans des scénarios simulant ce qui se passerait si un attaquant recevait 1 000 tentatives pour deviner le mot de passe d'un compte (peu probable dans la pratique puisque les entreprises limitent les connexions incorrectes). L'attaquant n'a jamais obtenu un avantage de plus de 0,2 %. Les chercheurs disent que cela suggère que les avantages pour les personnes essayant d'accéder à leurs comptes devraient l'emporter sur les inconvénients possibles d'accepter des fautes de frappe.



Dans certains cas, nous ne constatons pratiquement aucune dégradation de la sécurité en appliquant une poignée de corrections, explique Juels. Nous espérons que ce document changera la pratique de l'industrie.

cacher