Il regrette les recommandations qu'il a donné il y a 15 ans pour créer des mots de passe complexes

De Mickaël Auteur - Posté le 10 août 2017 à 10h56 dans Informatique

Vous aimez nos articles ? Suivez nous sur facebook

Vous aimez nos articles ? Suivez nous sur twitter

En 2003, Bill Blur a publié un rapport pour le NIST (National Institute of Standards and Technology) dans lequel il explique comment créer un mot de passe complexe, mais aujourd’hui, le chercheur, âgé de 72 ans, revient sur ses recommandations en expliquant que c’était une mauvaise idée d’utiliser sa méthode à cause des logiciels hybrides permettant de les cracker.

Un rapport qui n’est plus d’actualité

Le rapport en question faisait environ 8 pages et Bill Blur donnait des conseils pour créer un mot de passe fort afin de sécuriser ses données, mais aussi pour le retenir facilement. Il expliquait qu’il fallait utiliser une chaîne de caractères aléatoires en y ajoutant des majuscules, des minuscules, des chiffres et des caractères spéciaux et de la changer tous les 90 jours. En effet, il était contre le fait d’utiliser un mot de passe facile reprenant le nom du chien de la famille ou celui de la grand-mère.

Lors de son entretien avec le Wall Street Journal, il se ravise au sujet de ce rapport déclarant que cette méthode était contre-productive pour les entreprises et que les logiciels hybrides pour cracker les mots de passe pouvaient très facilement retrouver ce type de mots de passe complexes. A l’époque, les hackers utilisaient un bruteforce qui générait aléatoirement des mots de passe ou en testant une liste de mots de passe et phrases connues. Sauf que l’expert n’avait pas pu prévoir que les hackers allaient ajouter à leur logiciel un algorithme qui reprenait les recommandations standardisées de Bill Blur.

De longues phrases valent mieux qu’un mot de passe complexe

Dans le dernier rapport du NIST concernant la création de mots de passe, les recommandations sont bien différentes de celles de 2003. Il est préconisé d’utiliser une phrase longue qui ne parlera qu’à vous, qui sera facile à retenir, ou une suite de mots au lieu d’un mot de passe composé de caractères spéciaux et de chiffres. Par exemple, le mot de passe 1$!Th0m4s!1$ serait crackable en l’espace de quelques heures d’après Bill Blur, alors qu’une phrase ou une suite de mots comme champignonvoituremario sera bien plus difficile à craquer comme on peut le voir dans le test de Kaspersky ci-dessous. On en parlait plus longuement ici.

Quant au changement de mot de passe tous les 90 jours, il est recommandé de le changer seulement si on a un soupçon, surtout que maintenant les services nous signalent par mail ou SMS (Facebook, Google, etc.), les connexions suspectes. Il faut noter que l’agence des services secrets britanniques avait démontré l’inutilité du changement fréquent de mots de passe. Néanmoins, on peut aussi utiliser la double authentification, c’est-à-dire un mot de passe avec la validation par SMS ou via une application d’authentification comme celle de Google Authenticator sur Android et iOS.

Les gestionnaires de mots de passe dans la tourmente

Il nous avait été recommandé d’utiliser des gestionnaires de mots de passe afin de pouvoir les stocker. L’avantage est qu’il est possible d’avoir un mot de passe différent pour chaque site que l’on consulte, diminuant drastiquement le piratage de l’ensemble de nos données, la contrepartie est qu’il fallait les répertorier dans ce type de logiciel ou service via un mot de passe maître, mais ils sont devenus une cible de choix pour les hackers.

Les entreprises OneLogin et LastPass en ont fait les frais puisqu’une partie de leurs clients se sont fait dérober leurs informations de connexion. Pour OneLogin, il s’agit de 2000 entreprises clientes et pour LastPass aucun chiffre sur le nombre de comptes exposés à l’attaque n'a été annoncé.

Une erreur ?

Mots-Clés : mot de passeNISTBill Blur

Source(s) : Gizmodo

Cliquez sur une phrase de l'article pour proposer une correction.

J'ai compris !

Commentaires (14)

Par BiBi, il y a 4 mois :

OK maintenant je dois changer tous mes mots de passe génial !

Répondre à ce commentaire

Par la_camionneuse, il y a 4 mois :

Ça peut paraître con mais un petit carnet dans lequel on note tous ses mots de passe (surtout si on en a un paquet de différents) c'est plutôt utile. Alors à moins de le perdre en étant pas doué, y a pas vraiment moyen de se les faire voler ^-^

Répondre à ce commentaire

Par L'anonyme, il y a 4 mois (en réponse à la_camionneuse):

Surtout que je trouve ça con d'enregistré TOUT ses mots de passe sur un support en ligne...
Un bout de papier coller sous le clavier de la maison et c'est bon. Ou un fichier Word pour faire un jolie tableau

MAIS PAS UN SITE EN LIGNE

Répondre à ce commentaire

Par la_camionneuse, il y a 4 mois (en réponse à L'anonyme):

Exactement. Protéger ses mots de passe en les mettant sur un support en ligne, c'est un peu le comble.

Répondre à ce commentaire

Par sinouu, il y a 4 mois (en réponse à L'anonyme):

Le post-it je veux bien mais le fichier word ... pls ... soit pas bète, surtout en ce moment ou les hacker arrive de plus en plus à s'introduire dans nos PC sans qu'on s'en rendent compte :/

Répondre à ce commentaire

Par Bob, il y a 4 mois :

Le soucis c'est que les sites web imposent une limitation du nombre de caractères max et imposent des caractères spéciaux/chiffres/majuscules...
Sinon 4 mots simples à la suite c'est top :)

Répondre à ce commentaire

Par Azerpy, il y a 4 mois (en réponse à Bob):

Si ils imposent les caractères spéciaux c'est a cause de lui :)

Répondre à ce commentaire

Par Naografix, il y a 4 mois :

Une phrase (15-25 caractères, avec majuscule, caractères spéciaux, chiffre) differente pour chaque site, il y a que ça de vrai...

Répondre à ce commentaire

Par Naej, il y a 4 mois :

Ouah il leur aura fallu aussi longtemps pour comprendre que "plus de caractères = plus long à brutforce" ?

Répondre à ce commentaire

Par Naoooon, il y a 4 mois :

Perso j'ai trouvé un truc pas mal, une sorte de "norme"
En gros je choisis 3 mots qui diffèrent pour chaque site, et je remplace certains caractères bien précis par d'autres (dont des spéciaux et des majuscules)
Au final, la règle est toujours la même (et une fois qu'on l'a retenue ça va tout seul) et pour retrouver les mots, j'ai mon p'tit papier

Répondre à ce commentaire

Par Zazash, il y a 4 mois :

Pour ma part j'avais dans le temps un sacré mot de passe que j'ai quand même réussis à me faire cracker :

" &=dk__éj"è--y12221-97-788@gg+** "

Il était long et bourré de caractères. J'ai jamais compris comment ils avaient eu mon mot de passe..

Répondre à ce commentaire

Par Oops, il y a 4 mois (en réponse à Zazash):

voler dans une base de données non cryptée et non sécurisée d'un site ?

Répondre à ce commentaire

Par Eric, il y a 4 mois :

Je ne compte plus le nombre de fois ou l'option "j'ai oublié mon mot de passe" m'a sauvé la vie...

Répondre à ce commentaire

Par Ejoh, il y a 4 mois :

Une base Keepass (gratuit) protégée par une phrase longue (exemple : "MaMamanS'appelleMarieElleEstNéeEn#1963) et stockée sur un support extérieur crypté (via VeraCrypt par exemple). Il faut juste penser à faire un backup ou 2 au cas où mais surtout à ne jamais stocker en ligne !
Votre clé USB et votre disque dur externe restent encore les meilleurs supports :)

Répondre à ce commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas visible. Pour avoir une image de profil, utilisez le service gravatar.

Tu es membre premium car tu as commandé une HITEKBOX. Tu peux donc ajouter des smileys et des images.