Le changement fréquent de mot de passe pourrait rendre les systèmes moins sécurisés
Contrairement à ce que l'on croit, révèlent des études
Le 2016-08-04 06:52:20, par Michael Guilloux, Chroniqueur Actualités
Il est très fréquent d’entendre parmi les professionnels de l’informatique et au sein des entreprises qu’il faut changer fréquemment ses mots de passe, par mesure de sécurité. Cela est considéré depuis longtemps comme une bonne pratique et pour cette raison, on voit certains services en ligne imposer à leurs utilisateurs de changer leur mot de passe au bout d’une certaine période. Cela est également observé dans certaines entreprises, mais est-ce vraiment une pratique à recommander du point de vue de la sécurité ?
À cette question, d’aucuns répondraient bien sûr sans se poser de question, mais pour la FTC et d’autres organisations américaines, cela est vivement déconseillé pour la sécurité de vos comptes. Cela n’offrirait en réalité pas autant de protection que l’on pourrait le penser, mais au contraire pourrait rendre le mot de passe de l’utilisateur plus facile à deviner par les pirates. En d’autres termes, cela rendrait les systèmes moins sécurisés.
Lorrie Cranor est professeur à l’université Carnegie-Mellon (USA) et depuis le mois de janvier de cette année est devenue chief technologist à la Federal Trade Commission (FTC) des États-Unis. Tout juste après avoir débuté à son nouveau poste, elle a remis en cause un tweet officiel de la FTC dans lequel l’agence a recommandé aux internautes d’encourager leurs proches à changer fréquemment leurs mots de passe. Elle a donc approché le directeur des systèmes d’information et le chef de la sécurité de la FTC pour réfuter ce que ces derniers y compris de nombreux professionnels de l’IT ont toujours cru être une bonne pratique en matière de sécurité. Un peu sceptique, le DSI de la FTC lui a demandé d’en fournir la preuve avec des études scientifiques, ce qu’elle a d’ailleurs fait avec plaisir.
Les études présentées par le professeur Lorrie Cranor montrent que les changements fréquents de mot de passe ne contribuent point à améliorer la sécurité, mais la rendent au contraire encore pire étant donné que cela encourage l'utilisation de mots de passe qui sont plus faciles à mémoriser, donc également plus faciles à deviner pour les pirates.
Dans l’une de ces études datant de 2010, des chercheurs ont analysé des données de plus de 10 000 comptes réels d’anciens employés, professeurs et étudiants d’une université américaine. Les propriétaires de ces comptes devaient modifier leur mot de passe tous les trois mois. Les chercheurs ont donc reçu les différents mots de passe utilisés par ceux-ci, non seulement leurs derniers mots de passe, mais également ceux qui ont été utilisés au fil du temps, alors qu’ils étaient encore dans cette université.
L’étude de ces données a permis aux chercheurs d’identifier des techniques communes utilisées par les titulaires des comptes alors qu’ils étaient tenus de changer fréquemment leurs mots de passe. Ces derniers utilisent des mots de passe de base relativement faciles à retenir, puis appliquent certaines transformations simples pour aboutir à un nouveau mot de passe. Par exemple, le mot de passe developpez#1 peut évoluer pour devenir dEveloppez#1 lors du premier changement puis deVeloppez#1 lors du second changement, ainsi de suite ; ou developpez#11 lors du premier changement puis developpez#111 lors du second changement, ainsi de suite ; ou encore developpez#2 puis developpez#3, etc.
Lorsqu’ils doivent changer fréquemment leurs mots de passe, les utilisateurs choisissent donc pour un mot de passe facile à retenir, plutôt qu’un mot de passe complexe. Ils conservent donc leur ancien mot de passe au fil du temps en appliquant simplement une petite règle de transformation pour aboutir à un nouveau mot de passe, quand le moment de les changer arrive. Ils font alors fi des règles de sophistication qui recommandent par exemple d'utiliser dans le mot de passe des lettres majuscules, des lettres minuscules, des chiffres de la base 10 (0 à 9), des caractères non alphanumériques (tels que le point d'exclamation (!), le symbole dollar ($), le signe dièse (#) ou le pour cent (%)), un nombre minimal de caractères, etc. Ce qui fait que le résultat escompté en leur demandant de changer régulièrement leurs mots de passe n’est pas atteint, mais c’est plutôt le résultat contraire qui est observé.
À partir de leurs résultats, les chercheurs ont développé des algorithmes qui ont permis de prédire avec une bonne précision l’évolution des mots de passe. Pour 17 % des comptes qu’ils ont étudiés, en connaissant le mot de passe précédent, l’algorithme a permis de deviner le nouveau mot de passe au bout de 5 essais. En ayant en plus accès au fichier de mot de passe hashé, pour 41 % de ces comptes, il a été possible de deviner le nouveau mot de passe en 3 secondes par compte, à partir d’un ordinateur dédié avec des caractéristiques typiques de l’année 2009, a expliqué le professeur Lorrie Cranor dans un billet de blog en mars dernier.
Ce n’est pas la seule étude qu’elle a présentée qui a permis de tirer cette conclusion au sujet du changement fréquent des mots de passe. Les preuves scientifiques sont nombreuses. Cela a permis aujourd’hui à la FTC de s’inscrire dans la liste des organisations aux États-Unis qui ont mis fin au changement fréquent des mots de passe. Si pour une raison ou une autre, l’IT n’a pas d’autres choix que d’exiger le changement fréquent de mots de passe, Lorrie Cranor recommande dans ce cas d’encourager l’utilisation d’un gestionnaire de mots de passe. Si les gestionnaires de mots de passe ne sont pas parfaits, ils peuvent être une « stratégie très raisonnable » étant donné qu’ils ne poussent pas les utilisateurs à arbitrer entre un mot de passe fort et un mot de passe facile à retenir.
Lorrie Cranor précise toutefois que cela ne veut pas non plus dire qu’il ne faut jamais changer de mot de passe. Cela veut simplement dire que le changement fréquent de mot de passe n’est pas nécessaire à partir du moment où l’utilisateur a un mot de passe fort. Si elle avait déjà publié un billet sur ce sujet en mars dernier, le professeur Cranor est revenue sur ce point à la PasswordsCon 2016, une partie de la conférence sur la sécurité BSides, qui s’est déroulée à Las Vegas Nevada du 2 au 3 août 2016.
Source : Blog FTC
Et vous ?
Voir aussi :
À cette question, d’aucuns répondraient bien sûr sans se poser de question, mais pour la FTC et d’autres organisations américaines, cela est vivement déconseillé pour la sécurité de vos comptes. Cela n’offrirait en réalité pas autant de protection que l’on pourrait le penser, mais au contraire pourrait rendre le mot de passe de l’utilisateur plus facile à deviner par les pirates. En d’autres termes, cela rendrait les systèmes moins sécurisés.
Lorrie Cranor est professeur à l’université Carnegie-Mellon (USA) et depuis le mois de janvier de cette année est devenue chief technologist à la Federal Trade Commission (FTC) des États-Unis. Tout juste après avoir débuté à son nouveau poste, elle a remis en cause un tweet officiel de la FTC dans lequel l’agence a recommandé aux internautes d’encourager leurs proches à changer fréquemment leurs mots de passe. Elle a donc approché le directeur des systèmes d’information et le chef de la sécurité de la FTC pour réfuter ce que ces derniers y compris de nombreux professionnels de l’IT ont toujours cru être une bonne pratique en matière de sécurité. Un peu sceptique, le DSI de la FTC lui a demandé d’en fournir la preuve avec des études scientifiques, ce qu’elle a d’ailleurs fait avec plaisir.
Les études présentées par le professeur Lorrie Cranor montrent que les changements fréquents de mot de passe ne contribuent point à améliorer la sécurité, mais la rendent au contraire encore pire étant donné que cela encourage l'utilisation de mots de passe qui sont plus faciles à mémoriser, donc également plus faciles à deviner pour les pirates.
Dans l’une de ces études datant de 2010, des chercheurs ont analysé des données de plus de 10 000 comptes réels d’anciens employés, professeurs et étudiants d’une université américaine. Les propriétaires de ces comptes devaient modifier leur mot de passe tous les trois mois. Les chercheurs ont donc reçu les différents mots de passe utilisés par ceux-ci, non seulement leurs derniers mots de passe, mais également ceux qui ont été utilisés au fil du temps, alors qu’ils étaient encore dans cette université.
L’étude de ces données a permis aux chercheurs d’identifier des techniques communes utilisées par les titulaires des comptes alors qu’ils étaient tenus de changer fréquemment leurs mots de passe. Ces derniers utilisent des mots de passe de base relativement faciles à retenir, puis appliquent certaines transformations simples pour aboutir à un nouveau mot de passe. Par exemple, le mot de passe developpez#1 peut évoluer pour devenir dEveloppez#1 lors du premier changement puis deVeloppez#1 lors du second changement, ainsi de suite ; ou developpez#11 lors du premier changement puis developpez#111 lors du second changement, ainsi de suite ; ou encore developpez#2 puis developpez#3, etc.
Lorsqu’ils doivent changer fréquemment leurs mots de passe, les utilisateurs choisissent donc pour un mot de passe facile à retenir, plutôt qu’un mot de passe complexe. Ils conservent donc leur ancien mot de passe au fil du temps en appliquant simplement une petite règle de transformation pour aboutir à un nouveau mot de passe, quand le moment de les changer arrive. Ils font alors fi des règles de sophistication qui recommandent par exemple d'utiliser dans le mot de passe des lettres majuscules, des lettres minuscules, des chiffres de la base 10 (0 à 9), des caractères non alphanumériques (tels que le point d'exclamation (!), le symbole dollar ($), le signe dièse (#) ou le pour cent (%)), un nombre minimal de caractères, etc. Ce qui fait que le résultat escompté en leur demandant de changer régulièrement leurs mots de passe n’est pas atteint, mais c’est plutôt le résultat contraire qui est observé.
À partir de leurs résultats, les chercheurs ont développé des algorithmes qui ont permis de prédire avec une bonne précision l’évolution des mots de passe. Pour 17 % des comptes qu’ils ont étudiés, en connaissant le mot de passe précédent, l’algorithme a permis de deviner le nouveau mot de passe au bout de 5 essais. En ayant en plus accès au fichier de mot de passe hashé, pour 41 % de ces comptes, il a été possible de deviner le nouveau mot de passe en 3 secondes par compte, à partir d’un ordinateur dédié avec des caractéristiques typiques de l’année 2009, a expliqué le professeur Lorrie Cranor dans un billet de blog en mars dernier.
Ce n’est pas la seule étude qu’elle a présentée qui a permis de tirer cette conclusion au sujet du changement fréquent des mots de passe. Les preuves scientifiques sont nombreuses. Cela a permis aujourd’hui à la FTC de s’inscrire dans la liste des organisations aux États-Unis qui ont mis fin au changement fréquent des mots de passe. Si pour une raison ou une autre, l’IT n’a pas d’autres choix que d’exiger le changement fréquent de mots de passe, Lorrie Cranor recommande dans ce cas d’encourager l’utilisation d’un gestionnaire de mots de passe. Si les gestionnaires de mots de passe ne sont pas parfaits, ils peuvent être une « stratégie très raisonnable » étant donné qu’ils ne poussent pas les utilisateurs à arbitrer entre un mot de passe fort et un mot de passe facile à retenir.
Lorrie Cranor précise toutefois que cela ne veut pas non plus dire qu’il ne faut jamais changer de mot de passe. Cela veut simplement dire que le changement fréquent de mot de passe n’est pas nécessaire à partir du moment où l’utilisateur a un mot de passe fort. Si elle avait déjà publié un billet sur ce sujet en mars dernier, le professeur Cranor est revenue sur ce point à la PasswordsCon 2016, une partie de la conférence sur la sécurité BSides, qui s’est déroulée à Las Vegas Nevada du 2 au 3 août 2016.
Source : Blog FTC
Et vous ?
Voir aussi :
-
AlvatenMembre éprouvéPour moi ce n'est pas une surprise ça fait un moment que l'on connait ce genre de problèmes. Il faut mieux former les utilisateurs pour qu'ils choisissent un bon mot de passe plutôt que de leur imposer des règles farfelues qui vont uniquement l'encourager à choisir un mot de passe faible ou à le noter sur un post-it.
Pour l'utilisateur "lambda" je trouve ça logique qu'il ai simplement envie d'incrémenter un chiffre quand on le force à changer son mot de passe tout trois mois ... surtout que si c'est la session de son poste de travail pas moyen d'utiliser de gestionnaire de mot de passe.le 04/08/2016 à 9:44 -
Matthieu VergneExpert éminentL'article ne fait qu'illustrer les propos avec des exemples triviaux. Cela dit il n'en reste pas moins que certains utilisent bel et bien ces stratégies. Je l'ai moi-même fait en tant qu'étudiant justement parce qu'on me forçait de le changer tous les x mois. Alors certes, mon mot de passe de base était complexe, mais les menues variations n'apportaient rien de plus, donc l'idée même de changer de mot de passe n'était pas respectée.
On obtient rarement ce qu'on veut en forçant les gens. Il faut leur donner les outils pour agir, pas leur forcer la main.le 04/08/2016 à 13:49 -
nchalMembre expérimentéJe pense qu'on ne le répète pas assez mais un mot de passes pour être robuste n'a pas besoin d'être "complexe" mais juste long (voir très long).
Entre ce mot de passe : Y^ù65pm\`( et celui là : "Je suis un lecteur assidu de developpez.net", le second est largement plus robuste
Trois petits liens :
https://xkcd.com/936/
https://howsecureismypassword.net/
https://www.leakedsource.com/main/le 04/08/2016 à 16:24 -
CarhibouxExpert éminent séniorQue c'est bien trop compliqué pour le commun des mortels!
Tellement compliqué que même toi tu t'y perds et qu'aucun de tes mots de passe ne fait 20 caractères comme tu l'a posé en préambule au départ.
Cela varie de 17 à 19 caractères.
Tu n'es pas consistant dans ton padding de X. ex : JsUvQadéce16mbreSe décembre, 8 lettre, il devait y avoir un X, ce qui devrait du coup décaler la position de l'année qui vient couper le mois dans un joyeux bazard!
Ta "base" ne fait que 8 caractères et non 9.
Bref, avec un mot de passe comme ça, je parierais un p'tit billet qu'au moins 50% des gens auraient besoin de l'écrire sur un papier pour ne pas se vautrer en le rentrant!le 04/08/2016 à 17:41 -
seblutfrMembre confirméAucune surprise là-dedans, il ne faut pas sortir de Saint-Cyr pour deviner qu'un système trop contraignant va pousser les utilisateurs à trouver des contournements.
J'ai bossé dans une boîte où le mot de passe devait être changé chaque mois. Il n'est pas trop dur de deviner que bon nombre de comptes avaient alors le n° du mois en fin de mot de passe...le 04/08/2016 à 15:10 -
Marco46Expert éminent séniorPourquoi employer le conditionnel ? C'est un anti-pattern bien connu en sécurité informatique. Contraindre l'utilisateur à changer son mot de passe régulièrement l'incite à ajouter une séquence dans son mot de passe le rendant prédictible et donc faible.
Et c'est malheureusement une pratique très répandue en entreprise ...le 09/08/2016 à 17:14 -
JipétéExpert éminent séniorPas de panique, il y a un daltonien (ou plusieurs) sur le forum, j'en ai un qui me suit également,
J'avais, en son temps, demandé à ce que les pouces rouges soient, au minimum, argumentés, plein de membres étaient d'accord mais les hautes instances en ont décidé autrement...
Ben vi, mais kess tu veux, t'arrives le matin à la bourre tu sais que t'as des trucs urgents à meuler, t'as qu'une envie c'est un caoua, et vlà qu'en plus cette ch13r13 de système d'authentification vient te prendre la tête et te faire perdre du temps avec cette engeance récurrente du changement de mdp, alors t'essayes de faire au plus simple au plus court au plus rapide.
That's life...le 09/08/2016 à 18:15 -
Marco46Expert éminent séniorJe critiquais pas les utilisateurs qui mettent des séquences dans leurs mdp, je fais pareil pour pas devenir foldingo. Je parlais des admins sys sécurité qui se croient intelligent en imposant une telle pratique. C'est comme pour la réécriture des certificats racines des chaines de certification, c'est un truc hallucinant mais ils le font partout il parait.le 10/08/2016 à 10:48
-
HaggarDuNordMembre à l'essaiEt comment faire quand on se retrouve devant une bécane professionnelle où il faut retenir 9 mots de passe différents, avec des longueurs différentes et complexités différentes ? Et bien sûr pas question de reprendre un ancien mot de passe déjà utilisé. MP pour la session, un MP pour l'accès avec la carte de service et 7 pour les logiciels professionnels ( J'étais OPJ donc les divers logiciels étaient plus ou moins sensibles. )
Sans compter qu'il faut en plus retenir le mot de passe de son compte ( ou ses comptes si plusieurs ) bancaire, de sa carte bleue et les quelques mots de passe pour aller sur des sites ou des forums.
Bon d'accord mais sur l'ordi professionnel, impossible de mettre quoi que ce soit si ce n'était pas validé par un service informatique national, donc pas de logiciel style Dashlane etc ... ( autant demander une autoroute gratuite entre son domicile et son lieu de travail, c'était plus simple comme souhait).
Donc la solution un carnet avec tous les mots de passe pro, et donc le proverbe " le mieux est l'ennemi du bien " prend tout son sens dans ce cas décrit.
Maintenant que je suis en retraite, sur mon PC à la maison, hop Dashlane ( il y en a d'autres ) pour tous les sites où je suis inscrit et n'ai plus à retenir qu'un seul mot de passe pour l'accès à mon compte bancaire.le 12/08/2016 à 8:31 -
XanatosAOMembre régulierJe ne suis pas trop surpris par cette étude pour les systèmes imposant le changement de mot de passe régulièrement ;
Mot de passe facile à deviner ou mieux encore : un post-it sur le bureau ou l'écran avec le mot de passe inscrit dessus
J'utilise régulièrement 5 mots de passe "complexes" : chiffres, lettres, caractères spéciaux, majuscules, minuscules, +8 caractères, aucune logique dans l'enchaînement des caractères.
Etant développeur, je pense être un utilisateur averti, même si je ne suis pas à l'abri d'une erreur bien sur.
Jusqu'à présent, je n'ai jamais eu aucun soucis de mot de passe mais je suis toujours près à le modifier à la moindre suspicion.le 04/08/2016 à 10:04