Ce qui rend un mot de passe fort
La “force” d’un mot de passe est généralement comprise par la plupart des gens comme étant déterminée par la variété des types de caractères dans un mot de passe. Mais bien que les formulaires d’inscription puissent penser que la complexité est une sécurité, les attaquants ne sont pas d’accord. La complexité ne protège plus contre un modèle de menace moderne. Qu’est-ce qui rend les mots de passe forts ? Nous devons d’abord examiner le véritable modèle de menace auquel la plupart des gens sont confrontés.
La complexité des mots de passe raté le but
La “force” d’un mot de passe est souvent juste une fonction de complexité, ou la quantité de hasard dans un mot de passe, mesurée par l’utilisation de symboles, de chiffres, et de lettres majuscules et minuscules. Mais ajouter quelques caractères différents à votre mot de passe n’augmente pas significativement sa “force”, malgré ce que cette trompeuse barre de “force” verte à côté de votre mot de passe suggère. La complexité augmente la difficulté d’une attaque par force brute, mais ce type d’attaque est peu fréquent.
Au lieu de cela, le vol de données d’identification se produit lors de vastes vols de données ou de fuites provenant de grandes organisations. La force d’un mot de passe ne vous aidera pas si les attaquants ont votre mot de passe en texte clair.
Utilisez des mots de passe uniques
La plupart des gens sont largement vulnérables à quelque chose appelé “credential stuffing” : des identifiants compromis sont essayés sur des plateformes populaires pour exploiter la tendance humaine à réutiliser les mots de passe. C’est un danger bien plus grand qu’un mot de passe “faible”. Après tout, un mot de passe “super fort”, complètement aléatoire, réutilisé sur chaque plateforme deviendrait désastreux après une fuite.
Plutôt que de penser à la force des mots de passe comme une propriété unique, nous devons penser à la force de votre système d’authentification. Les mots de passe modernes créent ce système et doivent être considérés comme tels. Utiliser des mots de passe uniques est beaucoup plus facile avec un gestionnaire de mots de passe, alors commencez-en un aujourd’hui si vous ne l’avez pas encore fait.
À lire aussi : 10 des meilleurs gestionnaires de mots de passe pour le web, le bureau et mobile
La longueur est plus importante que la complexité
Depuis des années, nous avons été formés à penser que la complexité est le facteur le plus important d’un mot de passe. Et bien que nous sachions que les attaques par force brute sont rares, la complexité n’est même pas la meilleure défense contre le craquage par force brute : la longueur est en fait bien plus importante.
La longueur du mot de passe a une relation exponentielle avec le temps de craquage, donc des augmentations modérées de la longueur peuvent entraîner des augmentations massives du temps de craquage. La complexité, en revanche, a une relation plus linéaire avec le temps de craquage.
Prenons cet exemple : une machine de craquage haute performance peut casser un mot de passe à l’apparence complexe comme *nRyU86) en aussi peu qu’une heure et demie. Augmenter la longueur par une seule lettre majuscule allonge ce temps à près de trente-six heures, tandis que changer une lettre par un symbole n’apporte aucun changement significatif dans le temps de craquage.
Profitons pleinement des pouvoirs exponentiels de la longueur. Que diriez-vous d’une phrase de passe de quatre mots, utilisant des mots courants et totalisant seize caractères de longueur ? Même en tenant compte des attaques par dictionnaire (attaques utilisant une base de données de mots connus pour deviner des mots de passe au lieu de générer des suppositions aléatoires), il faudrait encore quatre-vingt-dix milliards d’années pour craquer le mot de passe.
Oubliez la complexité. Les meilleurs mots de passe sont en réalité des phrases. Vous ne pourriez jamais vous souvenir d’un mot de passe complexe tout aussi fort. Mais les cerveaux adorent les histoires amusantes et les images surprenantes. Si vous générez une histoire absurde et mémorable pour une phrase générée aléatoirement, vous aurez du mal à l’oublier.
À lire aussi : Les phrases font-elles de meilleurs mots de passe ?
La génération de phrases de passe réellement aléatoires est critique. Choisir des mots liés à vous, comme votre mois de naissance, rendra la phrase de passe plus facile à deviner. Utilisez les dés à mots de l’EFF pour générer des phrases de passe aléatoires de manière sûre et sécurisée.
Activez tous les systèmes d’authentification à deux facteurs
Tous les systèmes fuient. La force d’un mot de passe ne vous sauvera pas. Alors comment pouvez-vous vous défendre ? Les systèmes d’authentification à deux facteurs (2FA) fournissent une couche supplémentaire de sécurité. La 2FA demande deux types d’identifiants : quelque chose que vous savez (c’est-à-dire votre mot de passe) et quelque chose que vous avez (c’est-à-dire votre téléphone). Dans la plupart des systèmes 2FA, ces codes sont générés par un serveur distant. Le serveur envoie le code actif à l’utilisateur au moment de la connexion.
Malheureusement, les attaquants peuvent intercepter les codes SMS avec une relative facilité grâce à la clonage de cartes SIM. Pour prévenir cette écoute, générez des codes sur votre appareil mobile avec une application 2FA comme Authy, Google Authenticator, ou un gestionnaire de mots de passe avec un support 2FA comme 1Password.
Conclusion
La “force” d’un seul mot de passe est un leurre. Un système d’authentification solide est plus important. Les fuites et le vol de données se produisent inévitablement. Des mots de passe uniques limitent les dommages. L’authentification à deux facteurs peut réduire les dommages liés aux identifiants volés à zéro.
