Chaque jour, nous utilisons des mots de passe pour une grande variété de services. Certains services en ligne exigent même des spécifications techniques lors de la création d’un mot de passe, en fonction des caractères qui doivent apparaître. Longueur, caractères spéciaux ou changement régulier – TECHBOOK a demandé aux experts ce qui compte vraiment.
Les mots de passe protègent nos comptes sur les portails les plus divers. Mais qu’est-ce qui fait un bon mot de passe ? La durée? Autant de caractères spéciaux que possible ? Un changement de mot de passe toutes les quelques semaines ? TECHBOOK a travaillé avec Arno Wacker, professeur de protection des données et de conformité à l’Université des forces armées fédérales de Munich, et avec Tim Griese de l’Office fédéral de la sécurité de l’information (BSI) parlé. Tout d’abord : la plupart des idées reçues concernant un mot de passe sécurisé sont obsolètes et inutiles pour l’utilisateur.
Changer votre mot de passe régulièrement est si sûr
Cela semble en fait assez logique : si vous voulez avoir un mot de passe sécurisé, vous devez changer vos mots de passe à intervalles réguliers. Jusqu’à présent, la théorie commune. Cependant, selon l’expert en sécurité informatique Arno Wacker, cela ne s’applique plus sous cette forme. La règle trouve son origine dans les anciennes directives de la Institut national des normes et de la technologie (NIST), cependant, le traitement des mots de passe a été modifié par l’agence fédérale américaine en 2017 et l’exigence de changements réguliers de mot de passe a finalement été abandonnée. « La raison en est qu’entre-temps quelques études scientifiques sont là-bas qui disent que le changer régulièrement fait plus de mal que de bien à la sécurité. Une raison facile à comprendre est la psychologie de l’utilisateur : si les utilisateurs n’ont pas à changer leur mot de passe tous les quelques mois, ils sont beaucoup moins susceptibles de choisir des mots de passe simples ou mauvais, c’est-à-dire qu’ils sont plus susceptibles de s’en tenir à la génération d’un bon et un mot de passe fort. » dit Wacker à TECHBOOK.
Néanmoins, la rumeur persiste selon laquelle les utilisateurs devraient toujours changer leurs mots de passe. Interrogé par TECHBOOK, cependant, le BSI a refusé une recommandation sans réserve de changer constamment le mot de passe. « Selon l’expérience du BSI, les cyberattaques réussies ne sont découvertes qu’après plus de 200 jours en moyenne. Changer régulièrement de mot de passe peut donc avoir du sens afin de rendre les mots de passe volés inutilisables pour les cybercriminels, même si le vol de mot de passe est passé inaperçu jusque-là », explique Tim Griese du BSI. Dans tous les cas, les utilisateurs doivent changer leur mot de passe s’il y a des indications que le mot de passe a pu être compromis. Le nombre d’échecs de connexion et la date de la dernière connexion peuvent fournir des informations à ce sujet. Lors de la modification d’un mot de passe, l’utilisateur doit s’assurer qu’il choisit à nouveau un mot de passe fort.
Un mot de passe sécurisé est-il composé de plusieurs mots ?
Un mot de passe composé de différents mots peut avoir un sens. « Une phrase secrète peut également offrir un haut niveau de protection, mais elle ne doit pas être trop courte », conseille Griese du BSI. La longueur détermine la qualité d’un mot de passe. Cependant, les mots de passe de deux mots ne sont pas recommandés, principalement parce qu’un mot de passe de 20 lettres ou plus est considéré comme sûr et que deux mots seuls ne peuvent probablement pas atteindre cette longueur. « Mais l’approche est correcte : si vous utilisez une phrase entière, c’est-à-dire une phrase dite de passe, avec une longueur totale de plus de 20 caractères, elle peut désormais être considérée comme sécurisée », explique Arno Wacker.
Lorsque vous utilisez deux mots avec un total de 10 lettres, la force du mot de passe correspond à environ 47 bits. En d’autres termes : un ordinateur a besoin d’environ 140 737 488 355 328 tentatives pour déchiffrer le mot de passe à l’aide d’une attaque par force brute. L’attaquant essaie de parcourir toutes les combinaisons possibles de lettres, mais cela prend du temps. Bien que ce soit déjà un défi pour un seul ordinateur, ce n’est pas le cas pour les grands réseaux informatiques. Avec trois mots de 16 lettres, c’est déjà nettement mieux avec environ 71 bits, mais toujours pas dans la zone de sécurité. Avec quatre mots avec un total de 20 lettres, les utilisateurs atteignent une force de 95 bits. Ceci est considéré comme relativement sûr. Un mot de passe de six mots a déjà une force cryptographique. Pour le dire franchement, avec une phrase de passe de 20 lettres, un ordinateur ou un réseau informatique a besoin de mots de passe entiers 39.614.081.257.132.168.796.771.975.168 Essayez de trouver le mot de passe – même s’il est en minuscules ! Un nombre de tentatives incroyablement élevé.
Un mot de passe fort est-il suffisant pour tous les services ?
Quelle que soit la force d’un mot de passe, les utilisateurs doivent toujours choisir des mots de passe différents – et ne jamais en utiliser un seul pour tous les comptes. Dans les fuites de données, les bases de données de mots de passe sont volées aux fournisseurs de services. Le mot de passe de l’utilisateur n’a alors plus besoin d’être déchiffré. « Si ce mot de passe, aussi fort soit-il, est utilisé pour d’autres comptes, ces comptes sont également ouverts à un attaquant. C’est pourquoi il est important d’utiliser différents mots de passe pour différents comptes », explique Tim Griese du BSI à TECHBOOK. L’utilisateur ne sait jamais non plus dans quelle mesure le service utilisé gère le mot de passe. « Dans le pire des cas, le service enregistre le mot de passe en clair (comme cela s’est produit avec Facebook) », explique Wacker. La force du mot de passe n’aurait aucune importance dans une telle attaque.
Voici ce que font les caractères spéciaux
Et les utilisateurs entendent ce conseil encore et encore en ce qui concerne les mots de passe : les caractères spéciaux rendent un mot de passe plus sûr. Mais est-ce vrai ? Souvent, les utilisateurs n’ont même pas le choix. Les services en ligne nécessitent de plus en plus un mot de passe avec des caractères spéciaux ou plusieurs types de caractères. « Les caractères spéciaux élargissent la gamme de caractères utilisés, ce qui rend plus difficile pour les attaquants de déchiffrer le mot de passe. Cependant, un mot de passe très long sans caractères spéciaux (passphrase) rend également l’accès plus difficile pour un attaquant. Selon la longueur de la phrase secrète, même beaucoup plus qu’avec un simple mot de passe. Par conséquent, la longueur du mot de passe sélectionné est plus importante que l’utilisation de caractères spéciaux », explique Tim Griese du BSI.
Lisez aussi : Ces escrocs de mots de passe peuvent craquer en une seconde !
Tant de caractères et de types de caractères nécessitent un mot de passe sécurisé
Un mot de passe n’est jamais assez long. « Ici, vous pouvez dire en général : plus c’est long, mieux c’est – la longueur joue le rôle le plus important dans la sécurité du mot de passe », explique l’expert Arno Wacker. Selon le service, il existe des règles spécifiques pour la durée. Un mot de passe en ligne doit avoir plus de dix caractères, un mot de passe WiFi doit avoir plus de 20 caractères. D’un point de vue mathématique, selon Wacker, un mot de passe d’une longueur de douze caractères ou plus est considéré comme bon et offre une sécurité adéquate. Cependant, selon les directives du NIST, les mots de passe de 20 caractères ou plus ne sont vraiment sécurisés.
Le choix d’un mot de passe sécurisé dépend toujours de deux caractéristiques : la longueur et la complexité du mot de passe. Si vous utilisez plusieurs types de caractères tels que des lettres minuscules, des caractères spéciaux et des lettres majuscules, la complexité du mot de passe augmente. Mais c’est plus difficile à retenir. Par conséquent, l’aperçu suivant vous aidera à choisir le bon mot de passe.
- Si vous souhaitez vous fier uniquement à un mot de passe composé de lettres majuscules et minuscules, vous devez choisir une longueur de mot de passe comprise entre 20 et 25 caractères. Cela couvrirait deux types de caractères. Pour mémoriser tous les mots, vous pouvez utiliser une séquence de mots ou une phrase secrète.
- Si vous utilisez quatre types de caractères, vous pouvez raccourcir le mot de passe à 8-12 caractères. Cependant, il est très complexe et difficile à retenir lorsqu’il est composé de lettres majuscules et minuscules, de caractères spéciaux et de chiffres.
- De plus, un mot de passe à 8 caractères est considéré comme sûr si au moins trois types de caractères et une authentification multi-facteurs sont utilisés. Cela peut être fait, par exemple, avec un mot de passe à usage unique, qui est également généré dans une application.
Le mot de passe parfait
Mais quoi d’autre est important à part la longueur? « Un » bon « mot de passe est un mot de passe qui ne suit aucun modèle, c’est-à-dire qu’il est complètement aléatoire et qu’un caractère est choisi parmi un ensemble de 100 caractères pour chaque caractère », explique Wacker. Se souvenir d’un bon et surtout long mot de passe pour une grande variété de services ressemble à un véritable défi. Mais ne vous inquiétez pas, vous n’avez pas besoin d’une mémoire d’éléphant, un gestionnaire de mots de passe promet de vous aider. « Il s’agit d’un logiciel qui crypte en toute sécurité les mots de passe de l’utilisateur et les stocke dans un fichier. L’accès à celui-ci est sécurisé par un mot de passe principal fort et potentiellement un deuxième facteur », explique Wacker. Étant donné que tous les mots de passe sont dans ce logiciel, une attention particulière doit être portée aux aspects de sécurité lors de la sélection. Par conséquent, le logiciel doit être open-source, dont un bon exemple est KeePassXC, conseille Wacker.
La question de sécurité est utilisée lorsque l’utilisateur a oublié le mot de passe et souhaite toujours accéder au compte correspondant. Mais : « La question de sécurité est une très mauvaise idée et a donc également été retirée des directives actuelles du NIST ou a même explicitement exigé qu’elle n’existe plus. C’est tout à fait correct – les attaquants (pirates) peuvent également répondre à la question de sécurité, dans la mesure où elle est basée sur des informations qui sont d’une manière ou d’une autre disponibles ou peuvent être devinées, et ainsi contourner le mot de passe le plus fort », déclare Arno Wacker. Si le service en ligne nécessite une question de sécurité, les utilisateurs doivent considérer les mêmes critères que pour un mot de passe sécurisé.
La source:
- BSIconsulté le 21/11/22.