Dakarmidi – 15 ans après avoir conseillé les mots de passe complexes au monde entier, Bill Burr, l’expert à l’origine de ce conseil de sécurité se ravise et affirme que c’est en fait une assez mauvaise idée, car ils sont plus faciles à pirater…
Si vous suivez l’actualité informatique de près, à chaque piratage médiatique l’ensemble des sites reformulent le même conseil de sécurité, à savoir : pour créer un mot de passe vraiment sûr, il faut s’assurer qu’il contient des majuscules, des minuscules, des chiffres et des signes de ponctuation. Il est aussi recommandé d’en changer régulièrement (environ tous les 90 jours).
Sécurité : il va falloir revoir tous nos mots de passe
Ce que l’on définit comme un mot de passe complexe, en comparaison aux bons vieux : password, 123456, nopassword, 987654321, etc. qui malgré leur extrême faiblesse continuent d’être dans le Top 10 des pires mots de passe utilisés par des millions d’internautes, c’est qu’il s’agit d’une suite de caractères. L’idée de créer un mot de passe complexe date de 2003 et a été proposée par l’expert Bill Burr.
Jusqu’à aujourd’hui, ce conseil tenait la route, sauf que l’auteur du rapport vient de se raviser et estime qu’en réalité, ce type de mot de passe est beaucoup plus facile à casser par des hackers. L’explication est très simple, ces mots de passe étant difficiles à retenir, les internautes ne choisissent pas aléatoirement les caractères du mot de passe, mais choisissent au contraire un mot et le complètent avec majuscules, minuscules, chiffres et signes de ponctuation.
Un fan du jeu World of Warcraft par exemple, pourrait choisir : “$1W@rCr@ft1$!”. D’apparence, on penserait immédiatement tenir là un mot de passe complexe, sauf qu’avec un logiciel permettant de réaliser une attaque hybride combinant dictionnaire et force brute, ce mot de passe tomberait en moins d’une semaine et probablement en seulement trois jours ! Inquiétant se diront les millions de personnes respectant ce conseil vieux de 15 ans.La solution pour créer un mot de passe sûr aujourd’hui, est fournie par le NIST(National Institute of Standards and Technology). Il recommande d’utiliser une Suite de mots sans lien, mais facile à retenir. Par exemple Voyagetomatejeremybatterie. Aussi surprenant que cela puisse paraître à beaucoup, un mot de passe de ce genre prendra environ 500 ans à des pirates pour être craqué.
La Rédaction
