S’il y a une chose que les gens associent à la technologie moderne, ce sont les mots de passe. Ils sont partout et la plupart d’entre nous les utilisent chaque jour pour des dizaines de choses. Pourtant, la plupart des gens sont incroyablement indifférents à la sécurité de leurs mots de passe. La plupart d'entre nous connaissent probablement quelqu'un qui utilise le même mot de passe pour tout, de leur ordinateur et de leur courrier électronique à leurs comptes Facebook et bancaires – et ce mot de passe peut être quelque chose d'aussi évident que leur anniversaire ou le nom de la rue où ils ont grandi. Et nous connaissons probablement aussi quelqu'un qui a une note autocollante sur le côté de son moniteur intitulée « Mots de passe » (en rouge, double souligné) avec une liste de tout, de Twitter à Netflix, à la portée de tous. lire.
Ces pratiques peuvent ressembler à celles de la génération de nos grands-parents, mais ce n’est pas tout à fait vrai: la semaine dernière, j’ai regardé un membre à part entière de la génération D essayant de passer d'un Samsung Galaxy S (euh, Fascinate) à un HTC Rezound via son ordinateur portable ordinateur. Comment faisait-il pour déplacer tous ses mots de passe? Il avait un morceau de papier dans son portefeuille avec « tous ses mots de passe » – et par
tous il voulait dire trois. Un pour le courrier électronique et les réseaux sociaux, un pour le courrier électronique de sa grand-tante (« Je vérifie pour elle ») et un autre pour tout le reste. En regardant par-dessus son épaule, ces trois mots étaient des mots de tous les jours: mohandle,marmonnant, et Liliane. Devinez laquelle appartenait à sa tante ?Vidéos recommandées
Heureusement, il existe des moyens simples de rendre les mots de passe difficiles à deviner et faciles à retenir. Malheureusement, l’industrie technologique fait parfois obstacle à leur utilisation. Voici un aperçu des faiblesses courantes des mots de passe et quelques moyens d’améliorer vos mots de passe et votre sécurité en ligne.
Obscurité contre complexité
Un truisme courant concernant les mots de passe est qu'ils devraient jamais être facile à deviner. La plupart des experts en technologie s'accordent à dire que personne ne devrait utiliser de détails le concernant comme mot de passe: cela inclut anniversaires, adresses et noms des amis et de la famille (y compris les parents, les frères et sœurs, les conjoints, les enfants et même les animaux de compagnie). De la même manière, mot de passe crée un mot de passe particulièrement médiocre – comme tous les autres mots de passe jetables couramment utilisés.
Ce conseil toujours d'actualité est souvent interprété comme signifiant que les mots de passe doivent être obscur, ou un terme que personne ne penserait jamais que vous choisiriez s'il avait un million d'années. Oui, l’obscur peut fonctionner – et c’est bien mieux que de choisir un mot de passe évident. Cependant, un mot de passe obscur ne vous protège que des personnes qui savent quelque chose sur vous. Il y a de fortes chances que la plupart des gens essaient de déchiffrer vos mots de passe ne le faites pas je te connais.
La plupart des cas de piratage de mots de passe ne se produisent pas de la même façon que dans les films, où Notre Héros (ou Le Méchant) s'assoit devant un clavier, essaie une phrase ou deux, se frotte le menton, puis aperçoit une photo d'enfance dessus. le bureau. Ah ! Tapez le mot magique et presto, sécurité contournée. Dans le monde réel, la grande majorité du craquage de mots de passe est automatisée, les ordinateurs étant littéralement jeter chaque mot du dictionnaire (et plus encore) sur un système dans l'espoir de tomber sur le terme correct. Cette approche peut fonctionner parce que les ordinateurs peuvent essayer les mots de passe beaucoup plus rapidement que les humains ne peuvent les saisir, et ils peuvent fonctionner 24 heures sur 24, sept jours sur sept, sans aller aux toilettes. Les pirates de mots de passe automatisés ne savent rien des utilisateurs qu’ils tentent de compromettre: il s’agit d’une approche par force brute.
Il s’avère donc que la clé d’un mot de passe fort n’est pas la sienne. obscurité mais c'est complexité - des choses qui le rendent moins susceptible d'être deviné par un pirate de mot de passe automatisé. Cependant, créer un bon mot de passe complexe signifie en savoir un peu plus sur la façon dont les mots de passe sont brisés.
Casser les mots de passe
En termes très généraux, les pirates de mots de passe ont généralement deux approches. La première consiste à essayer littéralement une liste pré-compilée de mots de passe possibles. Ceux-ci partent généralement de mots de passe très courants (comme mot de passe ou qwerty) et se frayer un chemin vers des termes moins courants, et éventuellement utiliser une liste de mots compilée à partir d'un dictionnaire en ligne et d'autres sources. Cette approche est plus susceptible de trouver des mots de passe contenant des mots valides ou des variantes de ceux-ci, même s’ils sont obscurs.
Une autre approche pour pirater les mots de passe consiste à essayer des séquences valides de lettres, de chiffres et de symboles, quelle que soit leur signification. Un pirate de mot de passe utilisant cette approche pourrait commencer par aaaaaaaa pour un mot de passe à huit caractères, puis essayez aaaaaaab alors aaaaaaac et ainsi de suite dans l'alphabet, en mélangeant des majuscules et des minuscules, et en ajoutant des chiffres et des symboles. Cette approche est plus susceptible de trouver des mots de passe « conviviaux pour les machines » ou générés de manière aléatoire. Un mot de passe comme 4De78Hf1 n'est pas plus difficile à trouver de cette façon que adolescent serait.
Alors, quelles sont les chances qu’un mot de passe soit deviné? De nos jours, la plupart des systèmes permettent aux utilisateurs de créer des mots de passe en utilisant des lettres (majuscules et minuscules), des chiffres et une sélection de symboles. Les symboles autorisés varient souvent d'un système à l'autre (certains autorisent presque tout, d'autres n'en autorisent qu'une poignée), mais pour nos besoins, voyons supposons que cela signifie que chaque caractère d'un mot de passe peut être l'une des 80 valeurs environ: deux alphabets de 26 lettres chacun, dix chiffres et 18 symboles. (En théorie, au moins 127 valeurs devraient être disponibles pour chaque caractère, mais en pratique, c'est un nombre plus petit.)
En utilisant une approche purement par force brute, cela signifie qu'il faudrait un maximum de 80 suppositions pour trouver au hasard un mot de passe à un caractère. Un mot de passe à quatre caractères pourrait nécessiter plus de 40 millions de suppositions (80 × 80 × 80 × 80 = 40 960 000) et un mot de passe à huit caractères pourrait nécessiter 1,6 quadrillion de suppositions (1 677 721 600 000 000).
Si un pirate de mot de passe était capable de deviner 1 000 fois par seconde, il lui faudrait environ un mois pour exécuter toutes les combinaisons d'un mot de passe à quatre caractères, et plus de 53 000 années pour exécuter toutes les combinaisons d'un mot de passe à 8 caractères. Cela semble plutôt sécurisé, non ?
Eh bien pas vraiment. En termes purement statistiques, un pirate a 50/50 de chances de trouver le mot de passe dans moitié ce temps. Plus troublant encore, les créateurs de pirates de mots de passe disposent d’autres moyens d’améliorer leurs chances. Rappelez-vous comment mot de passe était l'un des pires mots de passe à utiliser? Devinez ce qu’est aussi un très mauvais mot de passe? Mot de passe, en remplaçant la lettre O par le chiffre zéro. Tandis que les pirates de mots de passe extraient leurs mots courants d’un dictionnaire, ils essaient également des variantes courantes de ces mots. mots, en remplaçant les O par des zéros, les signes @ et les 4 par les A, les 3 par les E, les 1 et les! par les I, les 7 par les T, les 5 par les S et bientôt. De la même manière, 0qww294e est un mot de passe épouvantable — c'est juste mot de passe décalé d'une ligne vers le haut sur un clavier anglais standard. Ces techniques exploitent la préférence des utilisateurs pour des mots de passe faciles à retenir. Malheureusement, en remplaçant (ou en majuscule) un ou deux caractères dans un terme facile à retenir, les gens rendent généralement leurs mots de passe plus obscurs, mais pas beaucoup plus sécurisés. En fait, les mots de passe typiques à huit caractères sélectionnés par l'utilisateur avec une casse, des chiffres et des symboles mixtes n'ont généralement qu'environ 30 bits d'entropie, soit un peu plus d'un milliard de combinaisons possibles. Pourquoi? Parce que la liste des termes sur lesquels les gens basent leurs mots de passe est bien plus petite que le total des combinaisons possibles de lettres, de chiffres et de symboles.
À quelle vitesse les mots de passe peuvent-ils être brisés? Essayer 1 000 mots de passe par seconde peut sembler impossible. Après tout, la plupart des services ont tendance à nous empêcher d'accéder à nos propres comptes si nous tapez mal un mot de passe trois ou quatre fois, réinitialisant souvent le mot de passe et nous obligeant à répondre à des questions de sécurité pour en créer un nouveau. un. Ces techniques de « passerelle » faire améliorer la sécurité des comptes et, accessoirement, constituent également un excellent moyen incroyablement simple d'ennuyer les gens. (Je ne peux pas vous dire combien de fois j’ai été exclu de mon compte iTunes à cause d’attaques par mot de passe, mais c’est probablement plus d’une centaine.)
Cependant, les attaquants désireux de pirater des mots de passe ne frappent pas à la porte d’entrée d’un service et n’essaient pas (littéralement) des millions de fois de se connecter au même compte. Soit ils utilisent des méthodes d’authentification moins publiques qui ne sont pas sujettes à des verrouillages (comme une API privée pour les partenaires ou les applications), et ils diffusent ainsi leurs informations. attaques sur un large éventail de comptes pour éviter les périodes de verrouillage, ou (dans le meilleur des cas) application de techniques de piratage de mot de passe à un mot de passe volé données. La plupart des systèmes cryptent les données de mot de passe qu'ils stockent, mais ces fichiers cryptés sont aussi sécurisés que le système lui-même. Si des attaquants parviennent à mettre la main sur le fichier de mot de passe crypté (via une faille de sécurité, compromise machine, ou ingénierie sociale, pour commencer), ils peuvent l'attaquer très rapidement une fois qu'ils sont seuls systèmes. C'est pourquoi les histoires d'attaquants obtenant des informations de compte (comme Stratfor, Épsilon, Sony, et Zappos) sont troublants. Une fois les données cryptées libérées, les attaquants peuvent utiliser des outils beaucoup plus puissants pour les ouvrir.
Dans le monde réel, cela signifie que le chiffre de 1 000 mots de passe par seconde est extrêmement conservateur. Le matériel informatique de bureau typique de nos jours peut tester des millions de mots de passe par seconde contre les technologies de cryptage courantes. De même, il existe désormais des outils de piratage de mots de passe qui exploitent les processeurs graphiques, et les opérateurs de réseaux de zombies criminels se lancent également dans le piratage de mots de passe. Ils peuvent répartir la charge de travail sur des milliers d’ordinateurs. Combinez cette puissance brute avec des heuristiques sophistiquées (comme essayer des variantes de chiffres et de lettres sur mots courants) et il n'est pas rare de déchiffrer un mot de passe utilisateur typique à huit caractères en moins d'une demi-heure. heure.
Se tirer une balle dans le pied
Nous avons noté ci-dessus comment un mot de passe de huit caractères, avec des majuscules, des minuscules, des chiffres et des symboles, peut avoir une portée bien supérieure à celle d'un mot de passe. quadrillions de combinaisons possibles, mais la plupart des mots de passe à huit caractères utilisés aujourd'hui relèvent d'un pool d'environ un milliard seulement combinaisons. C’est parce que les humains ne sont pas des machines. Où un ordinateur se contente d'utiliser soit tortue ou Y&4nS0\2 comme mot de passe, devinez lequel est le plus facile à retenir pour un humain? Maintenant, devinez lequel est le plus sécurisé.
Certains systèmes implémentent des exigences en matière de mot de passe destinées à garantir que les utilisateurs n'utilisent pas de mots de passe faciles à déchiffrer. Une approche courante consiste à exiger que les mots de passe des utilisateurs comportent au moins une lettre majuscule, un chiffre, un symbole et comportent au moins huit caractères. (Certains systèmes n'imposent pas d'exigences, mais offrent une mesure de la « force du mot de passe » pour mesurer l'efficacité d'un mot de passe. être.) Certains systèmes exigent également que les utilisateurs changent leurs mots de passe de temps en temps (par exemple, tous les 30 ou 45 jours) et les empêchent de les réutiliser. mots de passe.
Ce genre d'exigences faire augmentent la sécurité des mots de passe, mais ils rendent également les mots de passe beaucoup plus difficiles à mémoriser. Cela signifie qu’une partie importante des utilisateurs trouvera immédiatement des moyens de contourner la sécurité du système pour leur propre convenance. Bien sûr, certaines personnes peuvent gérer des mots de passe comme 9.3nDs(# mais beaucoup d'autres personnes vont répondre avec des notes autocollantes chargées de mots de passe sur les côtés des moniteurs, des notes dans leur portefeuilles, ou un document Microsoft Word sur leur bureau intitulé « Mots de passe » afin qu'ils puissent le copier et le coller lorsqu'ils le souhaitent. nécessaire. Les exigences en matière de construction de mots de passe ont également tendance à nuire à la productivité et à augmenter les coûts de support (tant pour les employés que pour les utilisateurs). clients), car de plus en plus de personnes oublieront leurs mots de passe ou seront bloquées sur leur compte, ce qui nécessitera une intervention.
Créer des mots de passe complexes
Le Saint Graal des mots de passe semblerait alors être un mot de passe complexe suffisamment pour qu’il soit peu pratique de les pirater à l’aide de techniques automatisées, mais suffisamment facile pour se rappeler que les utilisateurs ne compromettent pas la sécurité en les stockant ou en les gérant de manière dangereuse.
Voici quelques conseils pour créer des mots de passe complexes et faciles à retenir :
- Utilisez des mots de passe longs. Si un mot de passe de huit caractères peut avoir 1,6 quadrillion de combinaisons possibles, imaginez combien un mot de passe de 16 caractères peut avoir? (Environ 2,8 nonillions, soit 2,830.) Cependant, et peut-être plus important encore, l'ensemble de valeurs pour un mot de passe de 16 caractères utilisant des termes courants et les variations sont d'un peu moins de 1,2 quintillion, alors qu'elles étaient d'un peu plus d'un milliard avec un caractère à huit caractères. mot de passe. L’utilisation de mots de passe plus longs constitue le moyen le plus simple de rendre les mots de passe plus complexes et plus sécurisés.
- Utilisez des mots combinés. Comment créer des mots de passe longs et faciles à retenir? Une technique courante consiste à utiliser une série de trois à cinq éléments simples, sans rapport termes. Ceux-ci sont généralement aussi faciles à mémoriser que les numéros PIN; sur le plan cognitif, les gens ont tendance à mémoriser des mots entiers comme des unités uniques. Cependant, ces mots de passe peuvent être très complexes, du moins du point de vue du piratage des mots de passe. Et ces mots de passe sont faciles à créer simplement en regardant autour de vous ou en feuilletant un livre sur une page aléatoire. En regardant par la fenêtre, je vois une grenouille jouet, une voiture et la fenêtre de la kitchenette de quelqu'un. Nouveau mot de passe: GrenouilleEnjoliveurPlacard — cela fait 18 caractères, mais seulement trois mots à retenir. En regardant à droite: RunnerCameraColleChaîne — quatre mots courts, 22 caractères. Je n'ai utilisé que des majuscules pour aider à séparer les mots. L’ajout de caractères ou de substitutions peut augmenter la complexité – mais ne devenez pas si complexe que vous deveniez la proie des faiblesses des mots de passe difficiles.
- Utilisez des phrases ou des paroles. Une autre façon de créer des mots de passe longs consiste à utiliser des parties de phrases ou de paroles. Pour les paroles, des chansons relativement courantes sont peut-être meilleures que celles qui sont particulièrement importantes pour vous: encore une fois, vous ne voulez pas des gens qui vous connaissent bien pour pouvoir deviner vos mots de passe simplement parce que vous êtes un grand fan de Michael Bolton (ou pas). Des exemples de mots de passe créés à partir de phases ou de paroles peuvent être Vous n'êtes pasJackKennedy (19 caractères), iShotaManinReno (15 caractères), impepinandimcreepin (20 caractères).
- Utilisez des mnémoniques. L’inconvénient des mots de passe longs est qu’ils peuvent être difficiles à saisir, notamment sur un appareil mobile. Une autre astuce que certaines personnes trouvent utile pour générer des mots de passe plus courts et complexes consiste à utiliser le premier caractère de chaque mot dans une phrase ou des paroles. « Combien de routes un homme doit-il emprunter » pourrait devenir HmrmamwD- seulement huit caractères, mais relativement complexe du point de vue d'un programme de piratage de mots de passe. De même, « Secouez-le, secouez-le comme une photo polaroïd » pourrait devenir SiSiLapp - peut-être pas génial, mais mieux que tortue. Cette astuce peut également aider à générer de bons mots de passe pour les systèmes qui ont encore une limite quant à la longueur des mots de passe.
Ces directives vous aideront généralement à trouver des mots de passe complexes et faciles à retenir. Bien sûr, lorsqu'il s'agit de systèmes de mots de passe avec des exigences de composition (c'est-à-dire qu'ils s'attendent à des casses mixtes, chiffres ou symboles), vous devrez toujours inventer des modifications géniales sur les mots de passe pour remplir ces objectifs. exigences. N'oubliez pas qu'avec des mots de passe plus longs, vous pouvez effectuer vos substitutions et modifications à des endroits évidents: généralement, ces mots de passe longs sont plus faciles à retenir, même avec des exigences, que des mots de passe courts et absurdes mots de passe.
Quelques autres conseils
Autres éléments à prendre en compte lors du choix de vos mots de passe :
- Utilisez des mots de passe distincts pour des services distincts. N'utilisez pas votre mot de passe de réseau social pour les opérations bancaires en ligne. Si un mot de passe est compromis sur un service, les autres devraient être en sécurité.
- Choisissez soigneusement les mots de passe importants. Les systèmes d’authentification unique peuvent s’avérer extrêmement pratiques, mais ils créent également un point de défaillance unique pour plusieurs services. Des exemples seraient les mots de passe des comptes des services Google, Yahoo et Microsoft, où un seul mot de passe piraté pourrait donner quelqu'un accède aux e-mails, aux documents, aux images, aux réseaux sociaux, aux blogs, aux photothèques, aux listes de contacts, aux carnets d'adresses et plus. De même, avec autant de sites (même Tendances numériques) en acceptant les connexions Facebook et Twitter, un mot de passe de réseau social compromis peut avoir des répercussions considérables.
- Changez vos mots de passe. Il est tentant de penser que si l’un de vos mots de passe est cassé, vous le saurez immédiatement: votre email disparaîtra, votre blog disparaîtra. devenez un ensemble de graphiques lulz, votre liste de cadeaux Amazon pourrait être remplie d'options embarrassantes, votre compte PayPal pourrait être effacé dehors. Cependant, ce n’est pas toujours le cas: si quelqu’un déchiffre votre mot de passe, il se peut qu’il n’y ait aucun signe manifeste, du moins pas tout de suite. En changeant régulièrement votre mot de passe, vous vous assurez que même si quelqu'un s'introduit par effraction, sa fenêtre d'opportunité pour vous exploiter est limitée. La fréquence à laquelle vous devez modifier vos mots de passe varie en fonction de la manière dont vous utilisez les services en ligne. Pour tout ce qui implique de l’argent réel, je recommande généralement aux utilisateurs de changer leur mot de passe tous les 30 à 90 jours – plus il y a d’argent, plus souvent.
Aucun mot de passe n'est sûr
La chose la plus importante à retenir à propos des mots de passe est peut-être que n'importe lequel le mot de passe peut être déchiffré: il s’agit simplement de savoir combien de temps et d’efforts quelqu’un est prêt à y consacrer. Les conseils présentés ici vous aideront à réduire les risques que vos mots de passe soient détruits par des attaquants aléatoires et même par vos amis et votre famille, mais aucun mot de passe n'est complètement sécurisé. Si l'accès sécurisé à un service est très important pour vous, envisagez d'examiner diverses formes d'authentification à plusieurs facteurs pour réduire davantage les risques d'accès non autorisé.
Crédit image: Shutterstock / conception de confiture / Tatiana Popova / Pedro Miguel Sousa
Recommandations des rédacteurs
- Ces mots de passe embarrassants ont fait pirater des célébrités
- Non, 1Password n’a pas été piraté – voici ce qui s’est réellement passé
- Comment protéger par mot de passe un dossier sous Windows et macOS
- LastPass révèle comment il a été piraté – et ce n'est pas une bonne nouvelle
- Reddit a été piraté – voici comment configurer 2FA pour protéger votre compte
