Le problème des mots de passe

Dernière mise à jour le 11 Mai 2016
bfef6034dab7e57f223e48f4dcf3e90d_L

La sécurité en ligne est en train de devenir une sérieuse inquiétude. Notre vie de plus en plus connectée nous pousse à stocker nos données en ligne. Or en 2014, d’après Cnn, la moitié des adultes américains se sont fait piratés au moins une fois. Pourtant, beaucoup d’entre nous, ne faisons pas attention à nos mots de passe. Selon le rapport annuel établi par SplashData, les mots de passe utilisés sont trop simples, comme « 123456 » se classent toujours parmi les mots de passe les plus utilisés. En 2015, « 123456 » est le premier choix parmi plus de deux millions de mots de passe piratés en 2015. 

Depuis des années les recommandations nous disent de choisir des mots de passes « difficiles à pirater ». Utiliser les caractères spéciaux, les majuscules, les minuscules, les chiffres, etc… Pour générer un mot de passe correct. Cela de plus en plus contraignant et difficile à mémoriser.

Dans cet article, nous allons présenter les mauvaises pratiques de point de vue expérience utilisateur et mettre en évidence une solution potentielle. Mais d’abord, nous allons commencer par l’identification des erreurs qui mènent à la perte des mots de passe.

Les mots de passe sont difficiles à créer

Comme la vie devient de plus en plus numérique, le nombre des comptes que possède un individu augmente. Selon les données analysées par la société de gestion de mot de passe « Dashlane », le nombre moyen de comptes enregistrés avec une seule adresse de courriel est de 130. Si à chaque fois un mot de passe différent est utilisé pour chaque service, un utilisateur normal n’arrivera jamais à gérer ses 130 mots de passe différents, immaginez maintenant que chaque mot de passe doit être compliqué à pirater ?

La création du mot de passe « idéal » n’est pas facile. Selon les normes standards, la plupart des mots de passe utilisateur doivent contenir:

  • Chiffres
  • Lettres minuscules
  • Lettres majuscules
  • Symboles spéciaux
  • Au moins huit caractères

Mais ne contiennent pas :

  • Les mots du dictionnaire
  • Un mot de passe commun (comme « 12345678 »)
  • Mots trouvés dans votre nom, nom d’utilisateur, ou nom de la société

Au moment où un utilisateur arrive à créer un mot de passe qui répond à toutes ces exigences, les chances de se rappeler d’une dizaine de mots d epasse de ce genre est une mission impossible

Les mots de passe sont difficiles à retenir

Puisqu’il y a tellement de critères pour sécuriser un mot de passe et faire face aux pirates et les robots néfastes, ces mots de passe sécurisés sont assez difficile à retenir par les utilisateurs. Ce qui signifie que avoir recours à les enregistrer quelque part présente aussi un autre risque.

Pour sauvegarder les mots de passe, certains utilisateurs utilisent des anciennes méthodes comme un stylo et du papier, tandis que d’autres utilisent un fichier texte numérique, et d’autres sollicitent l’aide des gestionnaires de mots de passe en ligne pour stocker leurs informations d’une manière élaborée soigneusement. Ce qui amène à d’autres problèmes de mots de passe.

Les mots de passe sont faciles à pirater

La technologie utilisée pour obtenir les mots de passe est l’un des facteurs qui rendent les mots de passe si faciles à pirater. De nombreux pirates font recours à des programmes informatiques qui peuvent exécuter des centaines de milliers de suppositions par seconde. Cela signifie que plus les utilisateurs créent facilement leurs mots de passe, plus il est facile de les découvrir. Une attaque de piratage en « brute force » peut commencer par une liste de mots de passe couramment utilisés, ou même faire une recherche dans le dictionnaire pour inclure les mots couramment utilisés dans les mots de passe, et en quelques instants le pirate obtient une liste de mots de passe valides.

Les gestionnaires de mot de passe sont piratables aussi

Les gestionnaires de mot de passe semblent une bonne solution pour la génération des mots de passe souvenant sécurisées. Mais ils peuvent être piratés, aussi.

LastPass, un gestionnaire de mot de passe populaire a été piraté en Juin 2015. La société génère et stocke les mots de passe sécurisés grâce à l’utilisation d’un seul et unique mot de passe Principal généré par l’utilisateur. Puisque que la société ne connait pas et n’enregistre pas ce mot de passe principal, elle a assuré a ses utilisateurs que leur informations sont protégée, si leur mot de passe principal est lui-même, solide et sûr. Et pendant que cela parait comme la solution idéale, l’entreprise n’était toujours pas complètement à l’abri des pirates.

Des mots de passe prévisibles

Au lieu d’avoir plusieurs mots de passe à retenir, il est plus facile de créer un seul, ou une série qui sont faciles à retenir. Prenons, par exemple, l’un des 25 premiers mots de passe de Splashdata était « qwerty » ou « azerty » cela semble bien familier. Il suffit de jeter un coup d’œil sur le clavier pour le savoir. Les mots de passe prévisibles peuvent être faciles à retenir pour les utilisateurs, mais également ils sont très faciles à deviner par les pirates.

Réutiliser les mots de passe

Mais même si un utilisateur possède un mot de passe super fort, cela ne va pas l’aider beaucoup si ce mot de passe est violé par un site ou un service, et ce mot de passe est utilisé ailleurs. Selon un récent sondage réalisé par la société de gestion de mot de passe « PassWord Boss », 59% des consommateurs réutilisent leurs mots de passe à travers différents comptes parce qu’ils sont supposés être « difficiles à retenir ».

Les Pass-Phrases sont ils la solution ?

Après toutes les mauvaises pratiques citées ci-haut, il est temps de chercher les solutions possibles. Dès que les gens abandonnent des solutions qui ne fonctionnent pas bien, d’autres alternatives commencent à apparaitre. CAPTCHA existe toujours, mais dans un format différent, tout comme les gens qui peuvent circuler dans la ville pendant les heures de pointe, mais avec un service comme Uber ou Lyft au lieu d’un taxi. La même chose se passe avec les mots de passe.

L’utilisation de Pass-Phrases est une solution qui de plus en plus utilisée sur l’internet. Les Pass-Phrases sont semblables aux mots de passe, mais avec quelques différences. Tout d’ abord, Pass-Phrases exige seulement les caractères. Ils peuvent être des chiffres, des caractères spéciaux ou autres. La clé, est la longueur d’un mot de passe.

Selon les recherches menées par l’Université Carnegie Mellon, les mots de passe ou les phrases avec au moins 16 caractères offrent la meilleure protection. Pour chaque caractère supplémentaire dans un code, son piratage va prendre plus de temps pour calculer les possibilités supplémentaires. Plus le code se développe en longueur, plus l’ordinateur doit travailler de plus en plus longtemps, ainsi, il est moins susceptible de découvrir un mot de passe valide par le biais d’une attaque de piratage en « Brute force ».

Bien que les mots de passe ont plusieurs exigences, les Pass-Phrases ont généralement des exigence splus simples:

  • 16 caractères ou plus
  • Inclure une lettre majuscule ou un numéro

Cela est beaucoup plus simple que les exigences de mot de passe décrites au début, ainsi ils seront beaucoup plus faciles de s’en souvenir. C’est une alternative fiable non seulement parce qu’ils sont faciles à retenir, mais aussi ils sont plus difficiles à pirater.

Voici un exemple d’un mot de passe imaginaire et un Pass-Phrase. Le premier est un mot de passe réalisé avec des nombres aléatoires et des lettres. Selon la plupart des normes de sécurité de mots de passe, ce serait un mot de passe, pas assez sûr et difficile de s’en rappeler.

Mais selon l’outil « Online password checker », un robot de taille moyenne prend 1 minute pour le comprendre.

ccc.jpg

Maintenant, voici un exemple d’un Pass-Phrase :

ccc2.jpg

C’est une simple phrase facile à s’en souvenir, elle inclut même les mots du dictionnaire!

Pourtant, une attaque de piratage par force brute prendrait beaucoup de temps pour comprendre ce mot de passe.

Le défi Pass-Phrase

Bien sûr, pour les pass-phrase il y a des défis, aussi. Les utilisateurs sont toujours enclins à les oublier, de les réutiliser, ou utiliser des combinaisons faciles à deviner.

Par exemple, si un pirate obtient votre adresse e-mail, il pourra exécuter une attaque en force brute en utilisant des suppositions de combinaisons, ainsi que toute autre information qui vous concerne. Si vous utilisez votre date d’anniversaire, un robot pourrait encore comprendre que si vos renseignements personnels sont utilisées.

Un autre défi est tout simplement l’adoption. Peu de sites adoptent les pass-phrase actuellement, ce qui signifie que les utilisateurs sont maintenant obligés de se rappeler de leurs mots de passe et du pass-phrase.

Conclusion

La sécurité d’un mot de passe est un problème grave, à la fois pour les consommateurs mais aussi pour les entreprises. Ce qui rend un mot de passe sécurisé est la convivialité de ses exigences. Même une empreinte digitale, le scan de la rétine ou un échantillon de sang peuvent êtres piratés. Google et Apple, les deux ont appris cette leçon après avoir intégré la sécurité biométrique sur leurs smartphones.

Alors que les pirates n’ont pas encore prouvé leurs capacité de violer les Pass-Phrases, leurs utilisation est un grand pas vers plus de convivialité et plus de sécurité qui améliore non seulement la sécurité des informations et de la vie privée des utilisateurs, ils offrent une meilleure expérience utilisateur, aussi.

Donc voilà si vous pensez à développer un service en ligne, pensez à proposer les Pass-Phrases à vos utilisateurs !

    Téléchargement du module

    Laissez-nous votre prénom et votre adresse de courriel pour vous envoyer le module par courriel:


      Pssssst Attendez...

      Laissez nous votre meilleure adresse email et vous recevrez le premier nos prochaines publications...


        Recevoir chaque semaine notre publication en avant première.

        Rejoignez nos 153 845 fidèles lecteurs et restez informés concernant le domaine du développement web, en étant le premier à recevoir notre publication chaque semaine.