Des chercheurs proposent en open source un outil pour mesurer la sécurité des MdP
Qui fait des suggestions aux utilisateurs pour les améliorer

Le , par Stéphane le calme, Chroniqueur Actualités
Comme l’indiquent les listes annuelles des mots de passe les plus utilisés, les internautes n’ont pas encore la culture du mot de passe fort. Pour aider à surmonter le problème et, par la même occasion, augmenter la sécurité des comptes des internautes, une équipe constituée de chercheurs de l'Université Carnegie Mellon et de l'Université de Chicago a créé un mot de passe open source qui fournit des conseils sur la façon de renforcer un mot de passe.

Bien qu'il soit assez courant de rencontrer des formulaires en ligne qui vous obligent à créer des mots de passe répondant à certains critères, cela ne signifie pas nécessairement qu'ils sont sécurisés. Le Laboratoire CyLab de la protection de la vie privée et de la sécurité (CUPS), en collaboration avec l'Institut de recherche sur les logiciels, a créé un outil qui fournit des commentaires en temps réel qui permet d'expliquer pourquoi un mot de passe est instable et offre des conseils sur la façon de le renforcer.


L'outil est particulièrement efficace pour aider les gens à choisir des mots de passe moins enclins aux attaques par force brute. L'un des auteurs, Blase Ur, a déclaré que « La façon dont les attaquants devinent les mots de passe est en exploitant les modèles qu'ils observent dans de grands ensembles de données de mots de passe brisés. Par exemple, si vous changez Es en 3s dans votre mot de passe, cela ne va pas tromper un attaquant. Le compteur expliquera la fréquence de la substitution et proposera des conseils sur ce qu'il faut faire à la place ».

Le projet est écrit en TypeScript qui est transcompilé en JavaScript. Sur le dépôt GitHub, les auteurs préviennent que plusieurs utilisateurs potentiels du MDP-mètre pourraient ne pas avoir à retranscompiler de TypeScript à JavaScript : « Au lieu de cela, ces utilisateurs peuvent utiliser le code dans le répertoire /example, qui contient un environnement prêt à être exécuté pour le MDP-mètre. Le fichier HTML principal est index.html ».

Une démo est disponible en ligne.

démo du MDP-mètre

Source : dépôt GitHub

Et vous ?

Que pensez-vous de cette initiative ?

Voir aussi :

Des chercheurs annoncent « lip password », un nouveau système d'authentification qui se base sur les mouvements des lèvres en guise de mot de passe
USA : la police peut-elle contraindre un suspect à donner son mot de passe ? Oui, dans une certaine mesure, selon un tribunal de Floride
Le changement fréquent de mot de passe pourrait rendre les systèmes moins sécurisés contrairement à ce que l'on croit, révèlent des études


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Lcf.vs Lcf.vs - Membre éprouvé https://www.developpez.com
le 10/05/2017 à 21:43
Perso, j'trouve que c'est une solution d'amateurs, plutôt que de chercheurs...

Tout d'abord, ces substitutions n'ont absolument rien d'innovant, ensuite, dans la culture geek, c'est même un grand classique... et de quel monde font partie les hackers?

Pour moi, rien ne vaut l'usage d'une phrase, si possible multilingue, pour un mot de passe, on peut facilement s'en rappeler, tour en y avant de tout : majuscules, caractères spéciaux, etc.
Avatar de rambc rambc - Membre expérimenté https://www.developpez.com
le 10/05/2017 à 23:03
Impossible équation.

Donner publiquement une méthode pour créer un mot de passe, c'est aussi indiquer aux hackers une méthodologie à tester pour casser les codes.
Avatar de NSKis NSKis - Membre émérite https://www.developpez.com
le 11/05/2017 à 2:59
J'ai la très nette impression que le terme "chercheur" n'est pas le bon qualificatif pour nommer les "génies" à l'origine de cette prouesse technologique!!!

Pour info, ces "chercheurs" ne font rien de plus que d'appliquer les règles de base pour définir un mot de passe lisible dans n'importe quel bouquin intitulé "Créer son mot-de-passe pour les nuls!":
1. Un nombre de caractères de 10 et plus
2. Un mélange de caractères minuscules, majuscules, nombres et caractères spéciaux (du genre; $, @, etc.)
3. N'utiliser aucun mot présent dans un dictionnaire, quelque soit la langue
4. Aucun mot-de-passe issu d'une manip au clavier du style "654321" et autre "azerty"

Maintenant que j'y pense... Je vais ajouter à ma carte de visite le titre "chercheur"

PS: Le plus drôle de l'histoire???

une équipe constituée de chercheurs de l'Université Carnegie Mellon et de l'Université de Chicago
Ils ont dû s'y mettre à plusieurs pour pondre "cette machine à couper le beurre"!!! Cela doit être des "chercheurs" dont la principale activité est de jouer dans l'équipe de football américain de leur université
Avatar de grunk grunk - Modérateur https://www.developpez.com
le 11/05/2017 à 8:21
Forcer à utiliser des caractères spéciaux des minuscules ou des majuscule c'est du vent.

$Ad1p*!
sera toujours moins sécurisé que

un mot de passe sécurisé
Le nerf de la guerre c'est la longueur.

Dans mes développements actuels un mot de passe valide est un mot de passe d'au moins 8 caractères (en dessous c'est brute forcable trop rapidement avec un gpu) et qui n'est pas dans la liste des 1000 ou 10000 mot de passe les plus utilisés (123456789, azertyuiop, etc ...)

Plus on va mettre de contraintes à un mot de passe plus l'utilisateur va avoir un comportement prédictif et ainsi réduire la sécurité. Du genre si j'oblige des chiffres dans mon mot de passe , va y'avoir une grosse majorité des utilisateurs qui vont rajouter soit leur année de naissance soit 123 à la fin. Des caractères spéciaux ? Je remplace les lettre classique par leur équivalent s = $ e = 3 , etc ...
Avatar de lpinformatique lpinformatique - Membre à l'essai https://www.developpez.com
le 11/05/2017 à 8:42
On peut au moins leur attribuer le prix de l'effort!
Il se base sur les données, pour rendre le Mdp unique.

Mais il y a une autre population de chercheur en sécurité qui se basse sur les données aussi.
Mais pour faire l'inverse.
Avatar de arond arond - Membre actif https://www.developpez.com
le 11/05/2017 à 8:48
Ou alors idée révolutionnaire :

On laisse les utilisateurs se démerder en précisant gentiment dans la charte qu'ils ne lisent jamais que nous ne feront aucun effort pour garantir leur sécurité si ils n'utilisent pas de mot de passe fort.

A force de ce faire taper dessus ces crétins comprendront

Et je vais de ce pas ajouter "Chercheur" à mon CV.
Avatar de lpinformatique lpinformatique - Membre à l'essai https://www.developpez.com
le 11/05/2017 à 8:55
Citation Envoyé par grunk Voir le message
Le nerf de la guerre c'est la longueur.
Je comprends l'idée mais non! Ils t'ont menti!
La "Shannon entropy"(Plus c'est long plus c'est bon), C'est pas la solution. Source

Mais oui si c'est long sans répétition, ni pattern évident alors il y a une chance que cela soit secure.
Sauf si c'est quelque chose déjà présent dans les bdd leack sur le net.

Mais quand on dit Mot de passe sécurisé on parle de quoi? C'est quoi le but?
Empêcher le brute forçage à la saisie? Ou une le mdp salé et crypté?
Non car si c'est pour finir en claire en base on est un peu entraint de se faire chier pour rien.
Avatar de John Bournet John Bournet - Membre régulier https://www.developpez.com
le 11/05/2017 à 9:40
Cela me rappelle une histoire avec des carottes : ici

L'être humain est très mauvais à ce jeu, si toutes les règles sont respectées, le mot de passe finit sur un un post-it, collé sur l'écran ou sous le clavier, parce que trop compliqué à retrouver.
Avatar de lpinformatique lpinformatique - Membre à l'essai https://www.developpez.com
le 11/05/2017 à 11:35
@John, Et imagine que maintenant on archive le hash des 10 derniers dernier mot de passe pour éviter une réutilisation.
Et que l'on force le changement tout les 2 mois.

Combien en % sur 100 employer on un post-it? Combien vont au service informatique tout les matins?

@aron, Et comment aller en prison, pour fuite de donnée. La sécurité informatique on le fait pas pour l'utilisateur!
J'ai envie de te dire, c'est la gestion des risques et la loi.

Si on sécurise pas ça: Quelle sont les risques? Combien ca coute? Combien on perds de client si ça casse?
Et au final: Si la concurrence est aussi peu Secure que nous, si ça casse les clients iront pas ailleurs car c'est la même chose.
Avatar de fredoche fredoche - Membre chevronné https://www.developpez.com
le 11/05/2017 à 12:52
La longueur pour la force brute ok mais on peut fixer un seuil d'échecs et la force brute devient inutile.
Sur mon appli 3 essais et le compte est désactivé, et doit être réactivé après une demande auprès d'un admin

Par contre j'ai un serveur SFTP en parallèle qui sert aussi à l'appli, sur lequel je ne peux fixer ce seuil, ça fait maintenant plusieurs années qu'il est attaqué en force brute sur les comptes "admin" et "root" qui n'existent pas de toute façon, à raison d'un test toutes les 3-5 secondes par ip source. Ca remplit les logs, c'est tout.

Tout ça est débile, ça fait des années qu'on nous gave avec des longueurs de mots de passe, de la diversité de ces mots selon les sites, des trucs complexes et ça fini en "azerty1234" chez la plupart des gens.

Les problèmes sont partout ailleurs sauf ici, injections SQL, XSS, phishing, post-it sur le bureau ou sur l'écran, sessions non closes, mises en veille sans mot de passe, mot de passes systèmes bidon...

Quand aux mots de passe, effectivement des phrases un peu longues, propres à chacun, en bon langage maternel dont l'utilisateur saura le retenir et le réécrire à chaque fois. L'important c'est qu'il puisse s'en rappeler facilement, et le retranscrire sans trop d'efforts. Et un gestionnaire de mot de passe type LastPass pour gérer tous les sites où l'on s'inscrit et où on peut craindre des compromissions de bases de données.
Et il faut arrêter d'obsolèter les mots de passes tous les 3 mois, avec historisation sur plusieurs années, c'est juste complexifier encore le truc pour l'utilisateur lambda et ça ne protège rien. Un bon de mot passe le reste tant qu'il n'a jamais été compromis.

Le reste c'est du vent. Personne n'est réellement capable de retenir ces mots de passes protéiformes hormis les gens du métier... et encore.
Et la force brute est un leurre, une notion militaire, un épouvantail à moineaux, un arbre qui cache la forêt... il y a tellement d'autres moyens moins couteux et plus efficaces pour subtiliser des mots de passe ou des sessions.
Offres d'emploi IT
Ingénieur produit (Landing gear) H/F
Safran - Ile de France - MASSY Hussenot
Ingénieur système de commande de vol H/F
Safran - Ile de France - Massy (91300)
Ingénieur conception électrique / électronique H/F
Safran - Ile de France - Villaroche

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil