211service.com
Vous avez été trompé sur ce qui fait un bon mot de passe
Le mot de passe doit inclure des lettres majuscules et minuscules et au moins un caractère numérique. Une réprimande courante diffusée par les sites Web ou les logiciels lorsque vous ouvrez un compte ou modifiez un mot de passe, et qui, selon de nouvelles recherches, est trompeuse.
Une étude qui a testé des techniques de pointe pour deviner les mots de passe a révélé que le fait d'exiger des chiffres et des caractères majuscules dans les mots de passe ne fait pas grand-chose pour les renforcer. Rendre un mot de passe plus long ou inclure des symboles était beaucoup plus efficace.
Les attaques sont plus sophistiquées maintenant, et ces contre-mesures des meilleures pratiques sont un peu désynchronisées, explique Matteo Dell'Amico, chercheur chez Symantec Research. Il a travaillé avec Maurizio Filippone à l'institut de recherche français Eurecom . Le couple présenté un document sur leur travail lors de la conférence ACM Computer and Communications Security la semaine dernière.
Les recommandations selon lesquelles nous incluons un mélange de cas, de symboles et de chiffres dans les mots de passe proviennent de l'idée que cela réduit les chances d'une estimation correcte par un logiciel qui essaie systématiquement chaque combinaison de caractères, explique Dell'Amico. Les compteurs de mots de passe qui donnent des informations sur la force d'un mot de passe fonctionnent sur la même base.
Mais le dernier logiciel de devinette de mot de passe est plus intelligent que de simplement deviner au hasard. Au lieu de cela, il est formé à l'aide de listes divulguées de millions de mots de passe pour faire des suppositions qui essaient les mots de passe - ou les modèles trouvés dans les mots de passe - les plus couramment utilisés en premier. Un logiciel de devinette de mot de passe peut être utilisé pour tenter de révéler des fuites en ligne de mots de passe mal cryptés, comme les 130 millions volés à Adobe en 2013, ou pour accéder directement à des logiciels ou à des appareils sécurisés par mot de passe qui ne limitent pas les tentatives de devinette.
Dell'Amico et Filippone ont trouvé une nouvelle façon de mesurer la force d'un mot de passe qui en tient compte. Ils ont formé un logiciel d'attaque, l'ont utilisé pour générer des listes de mots de passe et ont inventé un moyen de les utiliser pour attribuer une sorte de score de devinette à un mot de passe donné. Ils ont utilisé 10 millions de mots de passe divulgués pour former plusieurs types de logiciels d'attaque et testé leur méthode de devinette sur 32 millions de mots de passe supplémentaires.
Les résultats montrent que l'allongement d'un mot de passe ou l'ajout de symboles est un meilleur moyen de le renforcer qu'en ajoutant des majuscules ou des chiffres. En effet, les gens ont tendance à ajouter des majuscules au début des mots de passe et des chiffres à la fin, et les méthodes d'attaque par mot de passe peuvent en tirer parti, explique Dell'Amico. Fondamentalement, vous devez rendre vos mots de passe moins prévisibles, dit-il. La nouvelle méthode pourrait être utilisée pour créer des moyens plus précis de donner aux gens une idée de la force d'un mot de passe, explique Dell'Amico.
Une bonne façon de le faire est importante mais s'est longtemps révélée insaisissable, explique Mark Burnett, un chercheur en sécurité qui a publié l'une des bases de données de recherche de mots de passe utilisées dans l'étude. Je n'ai rien vu de parfait, mais c'est probablement la meilleure tentative que j'ai vue, dit-il. Ce type de recherche nous aide à mieux comprendre ce qui renforce les mots de passe, les conseils que nous donnons et à voir où nous devons aller maintenant.
Le conseil de Burnett pour la prochaine fois que vous choisissez ou modifiez un mot de passe est qu'une fois que vous en avez trouvé un, vous devriez trouver un moyen de le rendre plus long, peut-être en ajoutant un mot ou deux. Son conseil pour l'industrie informatique est de proposer des alternatives à l'utilisation des mots de passe aussi largement que nous le faisons aujourd'hui. Les mots de passe deviennent de plus en plus longs et nous arrivons au point où ils vont perdre leur utilité, dit-il.