S'il y a une chose que les gens associent à la technologie moderne, ce sont les mots de passe. Ils sont partout, et la plupart d'entre nous les utilisons pour des dizaines de choses chaque jour. Pourtant, la plupart des gens sont scandaleusement indifférents à la sécurité de leur mot de passe. La plupart d'entre nous connaissent probablement quelqu'un qui utilise le même mot de passe pour tout, de leur ordinateur et e-mail à leurs comptes Facebook et bancaires - et ce mot de passe peut être quelque chose d'aussi évident que leur anniversaire ou le nom de la rue où ils ont grandi. Et nous connaissons probablement aussi quelqu'un qui a une note autocollante sur le côté de son écran intitulée "Mot de passe" (en rouge, double souligné) avec une liste de tout, de Twitter à Netflix, juste assis à l'air libre pour que quiconque puisse lire.
Ces pratiques peuvent ressembler à quelque chose de la génération de nos grands-parents, mais ce n'est pas tout à fait vrai: la semaine dernière, j'ai regardé un membre à part entière de la génération D essayant de passer d'un Samsung Galaxy S (euh, Fascinate) à un HTC Rezound via son ordinateur portable ordinateur. Comment transférait-il tous ses mots de passe? Il avait un morceau de papier dans son portefeuille avec "tous ses mots de passe" - et par
tous il voulait dire trois. Un pour le courrier électronique et les réseaux sociaux, un pour le courrier électronique de sa grand-tante ("Je le vérifie pour elle") et un autre pour tout le reste. Regardant par-dessus son épaule, tous les trois étaient des mots de tous les jours: mophandle,marmonneur, et lillian. Devinez lequel était celui de sa tante ?Vidéos recommandées
Heureusement, il existe des moyens simples de rendre les mots de passe difficiles à deviner et faciles à retenir. Malheureusement, l'industrie technologique entrave parfois leur utilisation. Voici un aperçu des faiblesses courantes des mots de passe et des moyens d'améliorer vos mots de passe et votre sécurité en ligne.
Obscurité contre complexité
Un truisme courant à propos des mots de passe est qu'ils doivent jamais être facile à deviner. La plupart des personnes férues de technologie s'accordent à dire que personne ne devrait utiliser des détails les concernant comme mot de passe: cela inclut anniversaires, adresses et noms des amis et de la famille (y compris les parents, les frères et sœurs, les conjoints, les enfants et même les animaux de compagnie). De la même manière, mot de passe fait un mot de passe singulièrement pauvre - comme tous les autres mots de passe jetables couramment utilisés.
Ce conseil permanent est souvent interprété comme signifiant que les mots de passe doivent être obscur, ou un terme que personne ne penserait que vous choisiriez s'il avait un million d'années. Oui, obscur peut fonctionner - et c'est bien mieux que de choisir un mot de passe évident. Cependant, un mot de passe obscur ne vous protège que des personnes qui savent quelque chose sur vous. Il y a de fortes chances que la plupart des gens essaient de déchiffrer vos mots de passe ne le faites pas te connais.
La plupart des cassages de mots de passe ne se produisent pas comme ils sont décrits dans les films, où Our Hero (ou The Villain) est assis devant un clavier, essaie une phrase ou deux, se frotte le menton, puis épie une photo d'enfance le bureau. Ah ! Tapez le mot magique et presto, sécurité contournée. Dans le monde réel, la grande majorité du piratage des mots de passe est automatisé, les ordinateurs littéralement jetant chaque mot du dictionnaire (et plus encore) sur un système dans l'espoir de tomber sur le terme correct. Cette approche peut fonctionner car les ordinateurs peuvent essayer les mots de passe beaucoup plus rapidement que les humains ne peuvent les taper, et ils peuvent fonctionner 24 heures sur 24, sept jours sur sept, sans pauses toilettes. Les craqueurs de mots de passe automatisés ne savent rien des utilisateurs qu'ils essaient de compromettre: c'est une approche par force brute.
Ainsi, il s'avère qu'une clé d'un mot de passe fort n'est pas son obscurité mais c'est complexité - des choses qui le rendent moins susceptible d'être deviné par un craqueur de mot de passe automatisé. Cependant, créer un bon mot de passe complexe signifie en savoir un peu plus sur la façon dont les mots de passe sont brisés.
Briser les mots de passe
En termes très généraux, les craqueurs de mots de passe ont généralement deux approches. La première consiste à essayer littéralement une liste pré-compilée de mots de passe possibles. Ceux-ci commencent généralement par des mots de passe très courants (comme mot de passe ou qwerty) et descendez vers des termes moins courants, et utilisez éventuellement une liste de mots compilée à partir d'un dictionnaire en ligne et d'autres sources. Cette approche est plus susceptible de trouver des mots de passe qui sont des mots ou des variantes valides, même s'ils sont obscurs.
Une autre approche de craquage de mot de passe consiste à essayer des séquences valides de lettres, de chiffres et de symboles, quelle que soit leur signification. Un cracker de mot de passe utilisant cette approche pourrait commencer par aaaaaaaa pour un mot de passe à huit caractères, puis essayez aaaaaab alors aaaaaaac et ainsi de suite dans l'alphabet, en mélangeant majuscules et minuscules, et en ajoutant des chiffres et des symboles. Cette approche est plus susceptible de trouver des mots de passe « adaptés aux machines » ou générés de manière aléatoire. Un mot de passe comme 4De78Hf1 n'est pas plus difficile à trouver de cette façon que adolescent serait.
Alors, quelles sont les chances qu'un mot de passe soit deviné? De nos jours, la plupart des systèmes permettent aux utilisateurs de créer des mots de passe en utilisant des lettres (majuscules et minuscules), des chiffres et une sélection de symboles. Les symboles autorisés varient souvent d'un système à l'autre (certains autorisent presque tout, d'autres n'en autorisent qu'une poignée), mais pour nos besoins, supposons que cela signifie que chaque caractère d'un mot de passe peut être l'une des 80 valeurs environ - deux alphabets à 26 lettres chacun, dix chiffres et 18 symboles. (En théorie, au moins 127 valeurs devraient être disponibles pour chaque caractère, mais en pratique, c'est un nombre plus petit.)
En utilisant une approche purement par force brute, cela signifie qu'il faudrait un maximum de 80 suppositions pour trouver au hasard un mot de passe à un caractère. Un mot de passe à quatre caractères pourrait prendre plus de 40 millions de suppositions (80 × 80 × 80 × 80 = 40 960 000) et un mot de passe à huit caractères pourrait prendre plus de 1,6 quadrillion de suppositions (1 677 721 600 000 000).
Si un pirate de mot de passe était capable de faire 1 000 suppositions par seconde, il lui faudrait environ un mois pour exécuter toutes les combinaisons d'un mot de passe à quatre caractères, et plus de 53 000 années pour exécuter toutes les combinaisons d'un mot de passe à 8 caractères. Cela semble assez sûr, non ?
Eh bien pas vraiment. En termes purement statistiques, un cracker a 50/50 de chance de trouver le mot de passe dans moitié ce temps. Plus troublant, les gens qui fabriquent des craqueurs de mots de passe ont d'autres moyens d'améliorer leurs chances. Rappelez-vous comment mot de passe était l'un des pires mots de passe à utiliser? Devinez ce qui est aussi un très mauvais mot de passe? Mot de passe, en remplaçant un chiffre zéro par une lettre O. Alors que les pirates de mots de passe exécutent leurs mots courants à partir d'un dictionnaire, ils essaient également des variantes courantes sur ceux-ci. mots, en remplaçant les O par des zéros, des A par des signes @ et des A par des 4, des E par des 3, des I par des 1 et des!, des T par des 7, des S par des 5, et bientôt. De la même manière, 0qww294e est un mot de passe terrible - c'est juste mot de passe décalé d'une ligne sur un clavier anglais standard. Ces techniques exploitent la préférence des utilisateurs pour des mots de passe faciles à retenir. Malheureusement, en remplaçant (ou en majuscule) un caractère ou deux dans un terme facile à retenir, les gens rendent généralement leurs mots de passe plus obscurs, mais pas beaucoup plus sûrs. En fait, les mots de passe typiques à huit caractères sélectionnés par l'utilisateur avec une combinaison de casse, de chiffres et de symboles n'ont généralement qu'environ 30 bits d'entropie, soit un peu plus d'un milliard de combinaisons possibles. Pourquoi? Parce que la liste des termes sur lesquels les gens basent leurs mots de passe est beaucoup plus petite que le total des combinaisons possibles de lettres, de chiffres et de symboles.
À quelle vitesse les mots de passe peuvent-ils être cassés? Essayer 1 000 mots de passe par seconde peut sembler impossible - après tout, la plupart des services ont tendance à nous bloquer l'accès à nos propres comptes si nous taper un mot de passe trois ou quatre fois, réinitialisant souvent le mot de passe et nous obligeant à répondre à des questions de sécurité pour en créer un nouveau un. Ces techniques « passerelles » faire améliorer la sécurité des comptes, et accessoirement, sont également un excellent moyen aveuglément facile d'ennuyer les gens. (Je ne peux pas vous dire combien de fois j'ai été bloqué sur mon compte iTunes par des attaques par mot de passe, mais c'est probablement plus d'une centaine.)
Cependant, les attaquants qui ont l'intention de casser les mots de passe ne frappent pas à la porte d'entrée d'un service et essaient (littéralement) des millions de fois de se connecter au même compte. Soit ils utilisent des méthodes d'authentification moins publiques qui ne sont pas soumises à des verrouillages (comme une API privée pour les partenaires ou les applications), soit ils diffusent leur des attaques sur un large éventail de comptes pour éviter les périodes de verrouillage, ou (dans le meilleur des cas) l'application de techniques de craquage de mot de passe à un mot de passe volé données. La plupart des systèmes cryptent les données de mot de passe qu'ils stockent, mais ces fichiers cryptés ne sont aussi sécurisés que le système lui-même. Si des attaquants peuvent mettre la main sur le fichier de mot de passe crypté (via une faille de sécurité, compromis machine, ou ingénierie sociale, pour commencer) ils peuvent l'attaquer très rapidement une fois qu'il est tout seul systèmes. C'est pourquoi les histoires d'attaquants obtenant des informations de compte (comme Stratfor, Epsilon, Sony, et Zappos) sont troublants. Une fois les données cryptées libérées, les attaquants peuvent appliquer des outils beaucoup plus puissants pour les ouvrir.
Dans le monde réel, cela signifie que le chiffre de 1 000 mots de passe par seconde est extrêmement conservateur. Le matériel informatique de bureau typique de nos jours peut tester des millions de mots de passe par seconde contre les technologies de cryptage courantes. De même, il existe désormais des outils de craquage de mots de passe qui exploitent les processeurs graphiques, et les opérateurs criminels de botnets sont également dans le domaine du craquage de mots de passe. Ils peuvent répartir la charge de travail sur des milliers d'ordinateurs. Combinez cette puissance brute avec des heuristiques sophistiquées (comme essayer des variantes de chiffres et de lettres sur mots courants) et il n'est pas rare de déchiffrer un mot de passe utilisateur typique à huit caractères en moins d'une demi-heure. heure.
Se tirer une balle dans le pied
Nous avons noté ci-dessus comment un mot de passe à huit caractères peut, avec des majuscules, des minuscules, des chiffres et des symboles, avoir bien plus d'un quadrillions de combinaisons possibles, mais la plupart des mots de passe à huit caractères utilisés aujourd'hui appartiennent à un pool d'environ un milliard seulement combinaisons. C'est parce que les humains ne sont pas des machines. Lorsqu'un ordinateur se contente d'utiliser soit tortue ou Y&4nS0\2 comme mot de passe, devinez lequel est le plus facile à retenir pour un humain? Maintenant, devinez lequel est le plus sûr.
Certains systèmes implémentent des exigences de mot de passe destinées à garantir que les utilisateurs n'utilisent pas de mots de passe facilement déchiffrables. Une approche courante consiste à exiger que les mots de passe des utilisateurs comportent au moins une lettre majuscule, un chiffre, un symbole et comportent au moins huit caractères. (Certains systèmes n'imposent pas d'exigences, mais offrent une jauge de "force du mot de passe" comme mesure de l'efficacité d'un mot de passe. être.) Certains systèmes exigent également que les utilisateurs changent leurs mots de passe de temps en temps (par exemple, tous les 30 ou 45 jours) et les empêchent de réutiliser mots de passe.
Ce genre d'exigences faire augmentent la sécurité des mots de passe, mais ils rendent également les mots de passe beaucoup plus difficiles à retenir pour les gens. Cela signifie qu'une partie importante des utilisateurs trouveront immédiatement des moyens de subvertir la sécurité du système pour leur propre commodité. Bien sûr, certaines personnes peuvent gérer des mots de passe comme 9.3nDs(# mais beaucoup d'autres personnes vont répondre avec des notes autocollantes chargées de mots de passe sur les côtés des moniteurs, des notes dans leur portefeuilles, ou un document Microsoft Word sur leur bureau étiqueté utilement "Mots de passe" afin qu'ils puissent copier-coller quand nécessaire. Les exigences de construction de mots de passe ont également tendance à nuire à la productivité et à augmenter les coûts de support (à la fois pour les employés et clients), puisque plus de personnes oublieront leurs mots de passe ou seront verrouillées hors de leurs comptes, nécessitant un manuel intervention.
Créer des mots de passe complexes
Le Saint Graal des mots de passe semblerait alors être un mot de passe complexe suffisamment pour qu'il soit impossible de craquer à l'aide de techniques automatisées, mais assez facile pour se rappeler que les utilisateurs ne compromettent pas la sécurité en les stockant ou en les gérant de manière non sécurisée.
Voici quelques conseils pour créer des mots de passe complexes et faciles à retenir :
- Utilisez des mots de passe longs. Si un mot de passe à huit caractères peut avoir 1,6 quadrillion de combinaisons possibles, imaginez combien un mot de passe à 16 caractères peut en avoir? (Environ 2,8 nonillion, ou 2,830.) Cependant, peut-être plus important encore, l'ensemble de valeurs pour un mot de passe à 16 caractères utilisant des termes communs et variations est d'un peu moins de 1,2 quintillion, alors qu'il était d'un peu plus d'un milliard avec un chiffre à huit caractères mot de passe. L'utilisation de mots de passe plus longs est le moyen le plus simple de rendre les mots de passe plus complexes et plus sûrs.
- Utilisez des mots combinés. Comment créer des mots de passe longs faciles à retenir? Une technique courante consiste à utiliser une série de trois à cinq sans rapport termes. Ceux-ci sont généralement aussi faciles à retenir que les codes PIN; sur le plan cognitif, les gens ont tendance à se souvenir de mots entiers comme d'unités uniques. Cependant, ces mots de passe peuvent être très complexes, du moins du point de vue du craquage des mots de passe. Et ces mots de passe sont faciles à créer simplement en regardant autour de vous ou en feuilletant un livre vers une page au hasard. Jetant un coup d'œil par la fenêtre, je vois une grenouille jouet, une voiture et la fenêtre de la kitchenette de quelqu'un. Nouveau mot de passe: GrenouilleEnjoliveur - c'est 18 caractères, mais seulement trois mots à retenir. Regarder à droite: CoureurCaméraColleChaîne — quatre mots courts, 22 caractères. Je n'ai utilisé que des majuscules pour aider à séparer les mots. Ajouter plus de caractères ou de substitutions peut augmenter la complexité - ne devenez pas si complexe que vous deviendrez la proie des faiblesses des mots de passe difficiles.
- Utilisez des phrases ou des paroles. Une autre façon de créer des mots de passe longs consiste à utiliser des parties de phrases ou de paroles. Pour les paroles, des chansons relativement courantes sont peut-être meilleures que celles qui sont particulièrement importantes pour vous: encore une fois, vous ne voulez pas des gens qui vous connaissent bien pour pouvoir deviner vos mots de passe simplement parce que vous êtes un grand fan de Michael Bolton (ou pas). Des exemples de mots de passe créés à partir de phases ou de paroles peuvent être Vous n'êtes pas Jack Kennedy (19 caractères), iShotaManinReno (15 caractères), impeepinandimcreepin (20 caractères).
- Utilisez des mnémoniques. L'inconvénient des mots de passe longs est qu'ils peuvent être difficiles à saisir, en particulier sur un appareil mobile. Une autre astuce que certaines personnes trouvent utile pour générer des mots de passe complexes plus courts consiste à utiliser le premier caractère de chaque mot d'une phrase ou d'une parole. "Combien de routes un homme doit-il emprunter" pourrait devenir HmrmamwD—seulement huit caractères, mais relativement complexe du point de vue d'un programme de piratage de mot de passe. De même, « Secouez-le, secouez-le comme une photo polaroid » pourrait devenir SiSiLapp — peut-être pas génial, mais mieux que tortue. Cette astuce peut également aider à générer de bons mots de passe pour les systèmes qui ont encore une limite sur la durée des mots de passe.
Ces directives vous aideront généralement à trouver des mots de passe complexes et faciles à retenir. Bien sûr, lorsqu'il s'agit de systèmes de mots de passe avec des exigences de composition (c'est-à-dire qu'ils s'attendent à une casse mixte, nombres ou symboles), vous devrez toujours trouver des rebondissements funky sur les mots de passe pour répondre à ces exigences. N'oubliez pas qu'avec des mots de passe plus longs, vous pouvez effectuer vos substitutions et modifications à des endroits évidents - généralement, ces mots de passe longs sont plus faciles à retenir, même avec des exigences, que des mots de passe courts et absurdes mots de passe.
Quelques autres conseils
Autres éléments à prendre en compte lors du choix de vos mots de passe :
- Utilisez des mots de passe distincts pour des services distincts. N'utilisez pas votre mot de passe de réseau social pour les opérations bancaires en ligne. Si un mot de passe est compromis sur un service, les autres doivent être en sécurité.
- Choisissez soigneusement les mots de passe importants. Les systèmes de connexion unique peuvent être extrêmement pratiques, mais créent également un point de défaillance unique pour plusieurs services. Des exemples seraient les mots de passe des comptes des services Google, Yahoo et Microsoft, où un seul mot de passe piraté pourrait donner accès d'une personne à des e-mails, des documents, des images, des réseaux sociaux, des blogs, des photothèques, des listes de contacts, des carnets d'adresses et plus. De même, avec autant de sites (même Tendances numériques) acceptant les connexions Facebook et Twitter, un mot de passe de réseau social compromis peut avoir des répercussions considérables.
- Changez vos mots de passe. Il est tentant de penser que si l'un de vos mots de passe est cassé, vous le saurez tout de suite: votre e-mail disparaîtra, votre blog disparaîtra. devenir un ensemble de graphiques lulz, votre liste de cadeaux Amazon pourrait être remplie d'options embarrassantes, votre compte PayPal pourrait être effacé dehors. Cependant, ce n'est pas toujours le cas: si quelqu'un déchiffre votre mot de passe, il se peut qu'il n'y ait aucun signe manifeste, du moins pas tout de suite. En changeant régulièrement votre mot de passe, vous vous assurez que même si quelqu'un s'introduit par effraction, sa fenêtre d'opportunité pour vous exploiter est limitée. La fréquence à laquelle vous devez changer les mots de passe varie selon la façon dont vous utilisez les services en ligne. Pour tout ce qui implique de l'argent réel, je recommande généralement aux utilisateurs de changer leurs mots de passe tous les 30 à 90 jours - plus il y a d'argent, plus souvent.
Aucun mot de passe n'est sûr
La chose la plus importante à retenir à propos des mots de passe est peut-être que n'importe lequel le mot de passe peut être déchiffré: c'est juste une question de temps et d'efforts que quelqu'un est prêt à y consacrer. Les conseils ici vous aideront à réduire les chances que vos mots de passe soient déracinés par des attaquants aléatoires et même des amis et de la famille, mais aucun mot de passe n'est complètement sécurisé. Si l'accès sécurisé à un service est très important pour vous, envisagez d'examiner diverses formes d'authentification à plusieurs facteurs pour réduire davantage les risques d'accès non autorisé.
Crédit image: Shutterstock / conception de la confiture / Tatiana Popova / Pedro Miguel Sousa
Recommandations des éditeurs
- Ces mots de passe embarrassants ont piraté des célébrités
- Non, 1Password n'a pas été piraté - voici ce qui s'est réellement passé
- Comment protéger un dossier par mot de passe sous Windows et macOS
- LastPass révèle comment il a été piraté - et ce n'est pas une bonne nouvelle
- Reddit a été piraté - voici comment configurer 2FA pour protéger votre compte
