Technologies expliquées simplement

Pourquoi les restrictions de mot de passe sur les sites Web ne vous protègent pas

Si vous avez créé un compte ou deux ces dernières années, vous avez probablement remarqué que beaucoup de ces sites vous réprimandent pour avoir utilisé un mot de passe “insecure” dans certaines conditions. Parfois, vous n’avez même pas besoin d’appuyer sur le bouton “S’inscrire” avant d’être confronté à un petit message à côté du champ de mot de passe disant que vous utilisez un mot de passe faible.

Bien que certains sites puissent vous empêcher de vous inscrire avec ce qu’ils considèrent comme un mot de passe faible, d’autres vous avertissent simplement et vous laissent faire ce que vous voulez de votre propre chef de toute façon. Quoi qu’il en soit, ces sites (pour la plupart) ont une chose en commun : leurs critères pour les “mots de passe sûrs” ne vous protégeront pas.

Forger de Mauvaises Habitudes

websitepassword-badpass

L’une des premières choses que vous remarquerez sur la plupart des sites Web est qu’ils semblent tous avoir des critères similaires pour ce qui serait considéré comme un “mot de passe fort”. Sur la plupart des sites, les critères sont les suivants :

  • Un minimum de 6 ou 8 caractères
  • Un minimum d’un chiffre et d’une lettre
  • Parfois au moins une lettre majuscule.

Dans ce cas, un mot de passe comme “Ironclad1” est tout à fait acceptable et répond aux exigences de ce site particulier. Étant donné que la plupart des sites n’ont que ces exigences, les gens peuvent s’habituer au fait que “Ironclad1”, “Sallyepstein4”, “Michael1985”, etc. sont de bons mots de passe. Quiconque a déjà lu les trois premières pages d’un livre sur la cybersécurité sait que c’est incroyablement peu sûr, pourtant c’est tacitement établi comme la norme par des millions de sites sur le web où la sécurité est une réflexion après coup qui vaut cinq lignes de code.

Un hacker pourrait simplement utiliser une attaque par dictionnaire pour craquer votre mot de passe et c’est tout.

Certains services Web (comme Google) exigent également qu’un symbole (comme “!” ou “$”) soit utilisé pour créer un mot de passe. Cela rend simplement des choses comme “Sallyepstein4” des mots de passe valides, et les attaques par dictionnaire sont devenues plus sophistiquées au fil des ans.

Qu’est-ce qu’une Bonne Habitude de Mot de Passe ?

websitepassword-lock

Il y a beaucoup de débats sur ce qui constitue un bon mot de passe, mais plutôt que de s’enthousiasmer et d’expliquer toutes les nuances, nous allons simplement examiner certaines des choses sur lesquelles tout le monde s’accorde généralement. Un bon mot de passe :

  • Inclut une large gamme de variations alphanumériques comme des lettres majuscules, des chiffres et des lettres minuscules
  • A des symboles à des endroits imprévisibles (“@shley” est moins sûr que “@$_hley” parce qu’il y a un underscore au milieu du mot, où une attaque par dictionnaire chercherait normalement “@” remplaçant “a” et “$” remplaçant “s”)
  • Contient des espaces (comme “I @te a S4nDw1ch”)
  • Atteint la limite supérieure des limites de caractères raisonnables (“ I l0v3 LuC#Y “ est moins sûr que “ Th1S p4ssword sH_oulD b3 h@rd to cr@ck “)
  • Contient une faute d’orthographe non conventionnelle de mots (par exemple, “schuld” au lieu de “should”, “beffe” au lieu de “beef”, “inszteda” au lieu de “instead”, “mektekezier” au lieu de “maketecheasier”, etc.)

Bien sûr, l’un des meilleurs mots de passe que vous pourriez avoir n’est pas très facile à mémoriser (par exemple : “ ifjecBucE083$&&8c ociefjC#&$6c iof0e0($# “). Notez que l’exemple fourni est juste un charabia complet utilisant toutes les règles ci-dessus, y compris l’introduction d’espaces. C’est hautement non conventionnel même pour les attaques par dictionnaire les plus sophistiquées. À condition que la base de données stockant le hachage de votre mot de passe soit sécurisée et que les clés de cryptage soient gérées correctement, cela rendrait votre compte moins intéressant pour un hacker à craquer.

Naturellement, tous les serveurs ne sont pas sécurisés, et un service que vous utilisez peut subir une violation révélant votre mot de passe. C’est pourquoi il est important d’avoir un mot de passe différent pour chaque service.

Mais vous ne pouvez pas vraiment mémoriser 15 mots de passe, sans parler de celui que j’ai fourni comme exemple de “l’un des meilleurs mots de passe que vous pourriez avoir”. Pour contrer cela, vous pourriez utiliser un service de connexion unique très sécurisé (également connu sous le nom de “gestion des identités”) qui garde un œil sur vos mots de passe pour vous afin que vous n’ayez pas à les mémoriser. Bien qu’ils existent depuis plusieurs années, le concept reste un territoire inexploré (du moins à mon avis professionnel), alors avancez prudemment. Faites vos propres recherches et googlez le nom d’un service suivi du mot “violation” pour savoir s’il a déjà été piraté.

Comment le Problème Peut Être Résolu

websitepassword-chainlock

Le problème que nous essayons de résoudre ici est d’amener le nombre massif de personnes qui créent des comptes sur le Web à comprendre quelles sont les meilleures pratiques pour la création de mots de passe. Cela semble être une tâche monumentale, n’est-ce pas ?

En fait, c’est aussi simple que de fournir l’information quelque part. Google fait un bon travail à ce sujet avec ses directives, mais cela ne va pas assez loin.

Malgré les éloges, je pense qu’il serait préférable d’inclure un lien vers ces directives à côté du champ de mot de passe, donnant à l’utilisateur un accès facile pendant la phase d’inscription au compte. Si quelqu’un ignore cela, c’est son propre choix, mais personne à ce moment-là ne pourrait dire qu’il n’a jamais eu la chance de lire du matériel éducatif sur le sujet.

La seule partie difficile à ce sujet est de convaincre les millions de sites Web qui détiennent des bases de données de comptes d’adopter cette pratique. Cependant, comme la plupart de ces sites Web utilisent des logiciels de grande envergure (comme WordPress ou Drupal), il serait probablement préférable de contacter les développeurs de ce logiciel pour fournir ce genre de chose dans leurs futures mises à jour. Dès que les sites Web mettent à jour leur logiciel, ils obtiendront automatiquement ces directives sur leurs pages d’inscription !

Que pensez-vous que nous pouvons faire d’autre pour sensibiliser aux bons mots de passe ? Discutons-en dans les commentaires !

Contenu

  1. Forger de Mauvaises Habitudes
  2. Qu'est-ce qu'une Bonne Habitude de Mot de Passe ?
  3. Comment le Problème Peut Être Résolu
Tableau de bord Ello

Ello : Exploration du Réseau Social Privé

Bitdefender n'installant pas : 3 solutions faciles que vous pouvez utiliser

Plus d'informations sur les corrections de Bitdefender

Google supprime Inbox et lui donne six mois à vivre

rapports-d-aspect-16x9

Comprendre les rapports d'aspect vidéo

Gestionnaire de fichiers avec des étiquettes pour organiser vos fichiers : Top 5

Réparer le réveil sur LAN qui ne fonctionne pas

Wake On LAN ne fonctionne pas sur Windows [Résolu]

easycap-mac-mspacman-console

Utiliser EasyCAP pour capturer des VHS et des consoles sur Mac

Google teste une nouvelle fonctionnalité Chrome pour l'éligibilité à la mise à niveau vers Windows 11