Les phrases font-elles de meilleurs mots de passe ?

Il semble que chaque jour, quelqu’un vienne sur un forum écrire comment ses comptes ont été piratés d’une manière ou d’une autre et qu’il ne comprend pas pourquoi. L’une des raisons pour lesquelles les gens voient leurs comptes piratés aussi souvent est qu’ils ne comprennent pas exactement comment cela se produit. Une fois que le processus permettant de récupérer le mot de passe de quelqu’un est clair (c’est simple, d’ailleurs), nous pouvons comprendre comment nous pouvons modifier nos mots de passe pour empêcher efficacement les hackers d’accéder à nos comptes. Une proposition que les experts en sécurité ont récemment faite est d’utiliser des phrases courtes comme mots de passe, plutôt que d’utiliser une chaîne continue de caractères (comme “blablabla”). Jetons un coup d’œil à cela et à la raison pour laquelle cela peut ou non être plus sécuritaire.

À lire aussi : 8 paramètres essentiels pour sécuriser votre compte Google

Comprendre le vol de mots de passe

Ici à MTE, j’ai déjà couvert les façons dont les hackers peuvent obtenir vos mots de passe. Cependant, cette liste est principalement composée de méthodes utilisées pour détecter et obtenir facilement vos identifiants. En ce moment, je veux aborder les méthodes que les hackers utilisent pour ouvrir votre compte de l’extérieur plutôt que d’infiltrer votre trafic de paquets. Ces méthodes sont un peu plus simples mais plus chronophages. Jetons un coup d’œil :

• Attaques par force brute : La méthode de cette folie consiste simplement à passer par un grand nombre de permutations de chaînes à plusieurs caractères. Ainsi, un hacker avec un outil de force brute essaiera simplement des milliers de permutations, espérant trouver la bonne après un certain temps. L’outil devinera aléatoirement des combinaisons de caractères (comme “jif2$F”). Étant donné que les mots de passe font généralement plus de six lettres, cette méthode prendra un certain temps ! Cependant, un hacker déterminé se concentrera durant une journée entière de devinettes de mot de passe juste pour accéder à votre compte.
• Attaques par mots courants : Le hacker utilisera des mots quotidiens courants (comme “fraise” ou “whiskey”) d’une liste, les chargera dans un outil spécial et essaiera chacun d’eux. Il ne faut que quelques minutes (dans de nombreux cas, même quelques secondes) pour pirater un compte en utilisant un mot courant comme mot de passe.
• Attaques par dictionnaire : Comme son nom l’indique, le hacker sort une copie du Oxford Dictionary et essaie chaque mot. En utilisant un outil automatisé, cela prend un peu plus de temps qu’une attaque par mot courant, mais cela permettra de cracker un grand nombre de comptes.

Les experts en sécurité ont longtemps conclu que le mot de passe le plus sûr est celui comportant une combinaison de caractères alphanumériques (y compris des lettres majuscules) et de caractères spéciaux (comme “$@(%#”). Ce n’est pas loin de la vérité aujourd’hui. Un mot de passe comme “ff9jF#D” est beaucoup plus sûr que “caramel”. Le revers de la médaille est qu’il est vraiment difficile de se souvenir de caractères aléatoires. Nos cerveaux ne sont tout simplement pas câblés de cette manière.

Et, tant que nous en sommes là, laissez-moi vous révéler un secret : Si un expert vous dit qu’un mot de passe sous forme de chaîne de caractères prendra plusieurs années à être craqué, il parle probablement de force brute avec un CPU. Les hackers ne font plus ça. Au lieu de cela, ils utilisent des choses comme la technologie CUDA d’ nVidia, qui leur permet de tirer parti du GPU beaucoup plus rapide d’une carte graphique, leur permettant de réaliser ce qu’un ordinateur fait en une semaine en quelques heures en reliant plusieurs matériels ensemble (via un pont SLI).

Les phrases sont-elles meilleures ?

L’espace (“ “) est un caractère légal dans la plupart des formulaires de mots de passe. Cela signifie que vous pouvez séparer les mots les uns des autres. Avoir simplement une phrase comme mot de passe peut créer un véritable cauchemar pour les hackers, selon un certain nombre d’experts en sécurité, dont Thomas Baekdal. L’avantage d’utiliser une phrase est qu’elle est beaucoup plus facile à mémoriser que 8fa@!FaicC* et qu’elle est également plus sécurisée si elle est utilisée de la manière appropriée.

En 2007, Baekdal a écrit que “c’est amusant” est 10 fois plus sûr que “J4fS<2.” Je ne suis pas sûr de son avis actuel à ce sujet, mais je ne pense pas que l’utilisation de quelque chose d’aussi simple que “c’est amusant“ soit si sécurisée qu’il a écrit qu’il faudrait 2 537 ans à un ordinateur pour le craquer.

Pour commencer, disons qu’un hacker utilise une liste des mille mots les plus courants en anglais pour cracker “c’est amusant.” Étant donné que le mot de passe utilise trois mots distincts, nous devrions nous confronter à 1 0001 0001 000 permutations possibles. Cela nous donne un milliard de permutations à parcourir. Cela semble beaucoup, mais pour un ordinateur, c’est très simple.

Je ne dis pas que Thomas Baekdal a tort. Je dis simplement que vous devez suivre certaines directives lors de votre choix. Laissez-moi vous montrer quelques idées que j’ai concoctées en réfléchissant à ce problème pendant plusieurs jours :

• Utilisez des séparateurs non espacés, comme le trait d’union (“-“). Si vous êtes un peu plus audacieux, essayez quelque chose de vraiment difficile à deviner, comme le symbole de marque déposée (“™”, Alt+0153).
• Utilisez des mots peu courants non conversationnels, comme “la théorie quantique est un développement capital.“ Vous pouvez également créer une phrase dans une autre langue, comme le latin (“repetitio est mater studiorum”). Cela est particulièrement utile lorsque l’anglais n’est pas votre langue maternelle. La plupart des hackers rechercheront des mots de passe avec des mots anglais, mais très peu d’entre eux penseraient, disons, au roumain ou au tchèque.
• Créez des phrases de mots aléatoires. Un exemple serait “matériel photon céphalopode.”

Suivre ces règles peut donner un mot de passe qui est, au départ, difficile à mémoriser. Mais vous devriez considérer le proverbe latin que j’ai utilisé comme exemple de mot de passe non anglophone. Sa traduction : La répétition est la mère de l’étude. Si vous continuez à utiliser votre mot de passe, vous le mémoriserez en un rien de temps. Se souvenir de “faji2o#($FCCineF)9f(#“ est, je pense, beaucoup plus difficile que de se souvenir de “matériel photon céphalopode“ ou de ce que ces mots peuvent être dans votre langue maternelle.

Rappelez-vous, plus vous allongez la phrase, plus elle devient sécurisée ! Utiliser une phrase plus courte peut encore vous offrir un haut niveau de sécurité tant que vous n’utilisez pas quelque chose qui peut être attrapé dans une liste de mots courants. Les attaques par dictionnaire sur votre mot de passe sont toujours possibles, mais peu susceptibles de donner des résultats en raison de l’énorme quantité de temps qu’il faudrait à l’outil du hacker pour craquer votre mot de passe.

Limitation

La seule limitation à la méthode ci-dessus est que certains sites n’autorisent pas les mots de passe de plus de 20 caractères. Quelques-uns n’autorisent pas non plus les espaces ou d’autres caractères spéciaux dans les mots de passe, bien que cela soit de plus en plus rare. J’ai même rencontré une plateforme bancaire en ligne qui n’autorisait que jusqu’à 14 caractères alphanumériques. Sur ces sites, les mots de passe de phrases ne fonctionneront pas du tout.

Il est temps de vous exprimer !

J’ai discuté beaucoup en ce moment. Une partie de cela est un peu en conflit avec les connaissances conventionnelles sur les mots de passe, donc il est normal d’avoir des opinions, des questions et des réflexions à ce sujet. Il est temps que vous vous exprimiez. Rejoignez-moi et d’autres lecteurs dans une conversation qui pourrait aider à clarifier tout en laissant un commentaire ci-dessous !