L'ingénieur du NIST qui a recommandé l'adoption des MdP difficiles à retenir regrette ce conseil
Le NIST préconise les MdP longs et faciles à retenir

Le , par Olivier Famien, Chroniqueur Actualités
En 2003, Bill Burr, un ingénieur de niveau intermédiaire au National Institute of Standards and Technology (NIST), s’est vu confier la lourde charge d’élaborer un guide de bonnes pratiques pour l’adoption des mots de passe difficiles à pirater afin que l’agence du département de Commerce des États-Unis chargée de faire la promotion de l’économie en développant les technologies, la météorologie et des standards puisse s’en servir pour sensibiliser les acteurs du monde technologique.

Après avoir effectué ses études, Bill Burr a sorti un document de huit pages baptisé « NIST Special Publication 800-63. Appendix A ». Dans ce guide, l’auteur conseille aux utilisateurs d’utiliser une série combinée de chiffres, lettres majuscules et minuscules et de caractères spéciaux pour élaborer des mots de passe forts. À cette recommandation, il préconise de changer de mots de passe régulièrement.

Ces conseils qui ont été dans un premier temps adoptés par les agences fédérales américaines ont fini par devenir une norme mondiale au niveau des entreprises, des universités, sur le web, sur les appareils mobiles afin de définir des mots de passe difficiles à deviner. Mais après quatorze ans, Bill Burr est revenu il y a quelques jours sur ses recommandations faites en 2003 et a admis humblement qu’il regrettait avoir émis toutes ces recommandations pour plusieurs raisons.

D’abord, l’ingénieur de 72 ans à la retraite maintenant souligne que composer des mots de passe forts avec des lettres majuscules et minuscules, des caractères spéciaux et des chiffres s’avèrent assez fastidieux à saisir régulièrement et exige beaucoup de contorsions des doigts. En second point, il ajoute que lorsque l’on demande aux utilisateurs de changer de mots de passe régulièrement, ils préfèrent faire de simples changements mineurs de leur ancien mot de passe. Par exemple, lorsqu’un utilisateur avec pour mot de passe « Px!@Elz42 » doit le changer, au lieu d’adopter radicalement un nouveau mot de passe sans lien apparent avec l’ancien, dans de nombreux cas, on pourra voir un simple réajustement de l’ancien qui donnera par exemple le mot de passe « Px!@Elz52 » afin de pouvoir se souvenir assez facilement de ce nouveau mot de passe. En procédant ainsi, Bill Burr explique que cela laisse la porte ouverte aux pirates de facilement deviner le nouveau mot de passe, même s’il est conçu de manière complexe.


Lorsque Bill Burr élaborait son document en 2003, il ne disposait pas de données empiriques sur la sécurité des mots de passe. Burr s’est donc tourné vers les administrateurs réseau du NIST pour étudier les mots de passe des utilisateurs afin de sortir des recommandations en phase avec la réalité, mais ces derniers ont opposé un refus en mettant en avant la vie privée des utilisateurs. Mais avec les différentes fuites données et les mots de passe qui sont vendus sur le web, les chercheurs en sécurité ont pu se convaincre, à la lumière des données disponibles, que les utilisateurs ne changent pas radicalement de mots de passe lorsqu’ils doivent le faire, mais plutôt gravitent autour d’un même mot de passe lorsque le changement s’impose. À ce sujet, plusieurs références en matière de mots de passe les plus utilisés sont éditées chaque année et préconisent d’éviter un certain nombre de mots de passe même s’ils sont conçus de manière complexe.

Cette tendance à réutiliser des mots de passe relèverait du fait que de nombreux utilisateurs trouvent difficile de mémoriser de nouveaux mots de passe dans un intervalle assez court et pour plusieurs comptes différents. Burr lui-même conclut qu’en « fin de compte, il était probablement trop compliqué pour beaucoup de gens de bien comprendre » et appliquer ces recommandations.

Voyant que ces recommandations ne sont plus adaptées aux réalités actuelles, le NIST a entrepris des travaux de refonte en profondeur de ce document pendant deux ans et préconise désormais de mettre de côté l’exigence de caractères spéciaux. Au lieu de composer des mots de passe complexes, le NIST recommande maintenant de composer des mots de passe avec des phrases longues et faciles à retenir au lieu de mots de passe courts et difficiles à retenir. Des chercheurs s’étaient déjà même penchés sur la question et étaient parvenus à la conclusion qu’en utilisant le mot de passe avec quatre mots aléatoires comme « correct horse battery staple », cela prendrait 550 ans à des pirates pour deviner ce mot de passe et trois jours à ces derniers pour deviner « Tr0ub4dor&3 ».

À cette première recommandation, le NIST ajoute qu’il est conseillé de changer les mots de passe uniquement lorsque des fuites ou des soupçons de fuites de données sont déclarés et non régulièrement comme cela fut préconisé par Burr.

Source : The independent

Et vous ?

Quelle est votre opinion sur les nouvelles recommandations du NIST ?

Allez-vous adopter les nouvelles recommandations du NIST ?

Voir aussi

Un expert en sécurité propose une liste de 320 millions de mots de passe à éviter pour renforcer la sécurité sur le Web
Classement des mots de passe les plus utilisés : 123456 en tête suivi de 123456789 et qwerty, quels sont selon vous les pires mots de passe à bannir ?
Classement des pires mots de passe de 2015 : « 123456 » et « password » conservent la première et seconde position


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de seikida seikida - Membre habitué https://www.developpez.com
le 10/08/2017 à 2:01
Corrigez moi si je me trompe mais des que les ordinateurs quantique seront en libre circulation (= Mr tout le monde pourra facilement en acheter), ce genre de pratique (= Utiliser des mots de passe complexe) sera totalement inutile non ?
Moi ce que je conseille, c'est tout simplement d'utiliser un captcha efficasse tout simplement.

Sinon il y a la methode qu'emploi le site de la societe generale qui est sympa je trouve : ils generent un clavier ou les numeros sont places aleatoirement, et il faut que l'utilisateur clique sur les numeros.
Avatar de Chauve souris Chauve souris - Membre émérite https://www.developpez.com
le 10/08/2017 à 3:15
Citation Envoyé par seikida  Voir le message
Corrigez moi si je me trompe mais des que les ordinateurs quantique seront en libre circulation (= Mr tout le monde pourra facilement en acheter), ce genre de pratique (= Utiliser des mots de passe complexe) sera totalement inutile non ?
Moi ce que je conseille, c'est tout simplement d'utiliser un captcha efficasse tout simplement.

Sinon il y a la methode qu'emploi le site de la societe generale qui est sympa je trouve : ils generent un clavier ou les numeros sont places aleatoirement, et il faut que l'utilisateur clique sur les numeros.

Je crois que toutes les banques font ça et en plus ma banque paraguayenne me demande un captcha.

Sinon, pour les passwords persos si on n'a pas des chaînes absconses que l'on doit noter sur un petit carnet, j'utilise une citation d'un des nombreux poèmes que j'aime. Mais pour faire plaisir au contrôleur de password il faut introduire quelques chiffres et pas, de préférence, à la fin ou au début, mais en plein milieu. Par exemple : "A moi, comte, 2 mots", "N'ai-je donc tant vécu (75 ans) que pour cette infamie". Ça sera blindé au niveau sécurité et vous arriverez à les retenir dans votre caboche. Certes le petit carnet, si on ne travaille pas au SDECE, est une solution aussi, mais ne le laissez pas traîner n'importe où.

Il est fâché avec les accents ton clavier ou c'est toi qui l'est ?
Avatar de seikida seikida - Membre habitué https://www.developpez.com
le 10/08/2017 à 3:22
Il est fâché avec les accents ton clavier ou c'est toi qui l'est ?

Je vis au Japon et j'utilise donc le clavier querty japonais. Donc faire des acces est assez complique.
Autant ecrire en Kanji, Hiragana, Katakana, caracteres 2 bit, caractere 1 bit, etc... c'est facile autant les accents je n'ai pas encore trouve comment faire ca.
Avatar de ijk-ref ijk-ref - Membre averti https://www.developpez.com
le 10/08/2017 à 3:49
Citation Envoyé par seikida  Voir le message
Moi ce que je conseille, c'est tout simplement d'utiliser un captcha efficasse tout simplement.

Sinon il y a la methode qu'emploi le site de la societe generale qui est sympa je trouve : ils generent un clavier ou les numeros sont places aleatoirement, et il faut que l'utilisateur clique sur les numeros.

Houla, t'as clairement aucune idée comment sont crackés les mots de passe. Les hackeurs s'amusent rarement à le faire via l'interface graphique car même sans captcha ou touches dans le désordre il reste le temps entre les requêtes beaucoup trop long pour tester les nombreuses possibilités sans compter qu'aucun serveur (digne de ce nom) ne laissera pas passer un nombre indéfini de mauvaises requêtes pour accéder à un compte particulier.

Non les hackeurs ont réussi a obtenir les clés "cryptées" des mots de passes et testent leur combinaison dessus. Là il n'a pas de captchas.
Avatar de BlueScreenJunky BlueScreenJunky - Membre régulier https://www.developpez.com
le 10/08/2017 à 7:23
Des chercheurs s’étaient déjà même penchés sur la question et étaient parvenus à la conclusion qu’en utilisant le mot de passe avec quatre mots aléatoires comme « correct horse battery staple », cela prendrait 550 ans à des pirates pour deviner ce mot de passe et trois jours à ces derniers pour deviner « Tr0ub4dor&3 ».

Sauf erreur de ma part, le chercheur en question est Randall Munroe, l'auteur de xkcd : https://xkcd.com/936/
Avatar de 23JFK 23JFK - Membre éprouvé https://www.developpez.com
le 10/08/2017 à 9:14
Les ordinateurs quantiques ne pourront faire l'économie (pour une attaque par force brute) d'interroger les serveurs avec le couple login/pwd ce qui leur prendra autant de temps qu'un vieil Atari ST. Un ordinateur quantique pourrait par contre trouver beaucoup plus rapidement un pwd à partir d'un hashcode à la condition toutefois que la relation soit bijective ou injective, car un ordinateur quantique n'a pas la capacité de retourner plusieurs solutions, il ne peut que tester simultanément plusieurs possibilités pour une solution unique attendue et dans le cas des hashcode, le phénomène de collision ferait à priori obstacle à une solution quantique.
Avatar de RyzenOC RyzenOC - Membre expert https://www.developpez.com
le 10/08/2017 à 9:50
Citation Envoyé par seikida  Voir le message
Corrigez moi si je me trompe mais des que les ordinateurs quantique seront en libre circulation (= Mr tout le monde pourra facilement en acheter), ce genre de pratique (= Utiliser des mots de passe complexe) sera totalement inutile non ?

1) il existe déjà des algorithmes de chiffrement qui peuvent résister assez longtemps (des 100aines d'années) au cassage de la clé avec un hypotétique ordinateur quantique, pas de panique à ce niveau la. cf la cryptographie quantique.

2) Jusqu’à preuve du contraire, Mr tous le monde n'aura jamais d'ordinateur quantique car un ordinateur quantique n'est pas un pc. Leurs architectures font qu'ils ne peuvent que lancer un certains type de calcule (principalement les calcules de type combinatoire). Ils ne pourrons pas lancer un os et des applications.
L'idée que Mr Touslemonde aura un ordinateur quantique et qui'il pourra lancer un total war avec 6 milliars d'unité en temps réel n'est qu'une idée populaire et vaste blague/fumisterie.

l'avenir de l'informatique traditionnel consistera en la création de logiciels tirant plus partie des cpu multicoeurs et pour la 3d en des nouveaux algorithmes de rendu permettant d'augmenter le nombre de polygones sans augmenter de manière exponentiel la puissance de calcule comme le projet OctaneRender.
Avatar de Jarodd Jarodd - Membre expérimenté https://www.developpez.com
le 10/08/2017 à 10:22
C'est pas un chercheur qui a défini les 4 mots, c'est xkcd !
Avatar de orygynz orygynz - Membre averti https://www.developpez.com
le 10/08/2017 à 10:33
Citation Envoyé par RyzenOC  Voir le message
1) il existe déjà des algorithmes de chiffrement qui peuvent résister assez longtemps (des 100aines d'années) au cassage de la clé avec un hypotétique ordinateur quantique, pas de panique à ce niveau la. cf la cryptographie quantique.

2) Jusqu’à preuve du contraire, Mr tous le monde n'aura jamais d'ordinateur quantique car un ordinateur quantique n'est pas un pc. Leurs architectures font qu'ils ne peuvent que lancer un certains type de calcule (principalement les calcules de type combinatoire). Ils ne pourrons pas lancer un os et des applications.
L'idée que Mr Touslemonde aura un ordinateur quantique et qui'il pourra lancer un total war avec 6 milliars d'unité en temps réel n'est qu'une idée populaire et vaste blague/fumisterie.

l'avenir de l'informatique traditionnel consistera en la création de logiciels tirant plus partie des cpu multicoeurs et pour la 3d en des nouveaux algorithmes de rendu permettant d'augmenter le nombre de polygones sans augmenter de manière exponentiel la puissance de calcule comme le projet OctaneRender.

Tu vois tout ça dans ta boule de cristal ?
J'aime les discours figés sur l'informatique... Au niveau quantique, on a pas fini d'en parler...
Avatar de RyzenOC RyzenOC - Membre expert https://www.developpez.com
le 10/08/2017 à 10:46
Citation Envoyé par orygynz  Voir le message
Tu vois tout ça dans ta boule de cristal ?
J'aime les discours figés sur l'informatique... Au niveau quantique, on a pas fini d'en parler...

Non, je me suis juste pas mal documenté sur le sujet.
Offres d'emploi IT
Développeur e-commerce expérimenté
Smile - Aquitaine - Bordeaux (33000)
Ingénieur Etudes et Développement Java/JEE
INEAT - Ile de France - Boulogne-Billancourt (92100)
Ingénieur Support Applicatif
Bspp Sourcing - France - Paris

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil