Developpez.com

Plus de 2 000 forums
et jusqu'à 5 000 nouveaux messages par jour

Sécurité : des chercheurs de Microsoft conseillent le recours aux mots de passe faibles
Et leur réutilisation pour « conserver la matière grise »

Le , par Hinault Romaric, Responsable .NET
Un conseil des chercheurs de Microsoft qui pourrait être qualifié « d’absurde » par un expert en sécurité, mais qui n’est pas, cependant, dénué de tout sens, vu l’analyse apportée dans le rapport qu'ils ont publié.

Le mot de passe est un des éléments essentiels de la sécurité des systèmes d’information. Le couple mot de passe/identifiant de l’utilisateur est le moyen d’authentification le plus utilisé par les services en ligne.

Compte tenu de la sensibilité de cette information, il est conseillé de toujours créer un mot de passe fort, en respectant certaines consignes. Les internautes doivent également éviter d’utiliser le même mot de passe sur plusieurs services.

Cependant, au vu du nombre de services nécessitant une authentification qui sont utilisés sur internet, il est pratiquement impossible pour un humain de créer un mot de passe fort pour chacun, et de le retenir.

La stratégie pour faire face à ce problème serait l’utilisation d’un gestionnaire de mots de passe. Cependant, selon les experts de Microsoft, le recours à un gestionnaire de mots de passe peut poser plus de problèmes qu’il n’en résout.

Bien qu’ils permettent l’utilisation de mots de passe entièrement aléatoires et uniques, les gestionnaires de mots de passe ont un point de défaillance important, selon Microsoft : les utilisateurs peuvent perdre ou oublier le mot de passe de leur gestionnaire de mots de passe, ou le service Cloud qui héberge leurs mots de passe peut être piraté. De plus, stocker les mots de passe sur le client sacrifie aussi la portabilité.

Pour y remédier, les chercheurs de Microsoft suggèrent d’avoir recours à des mots de passe faibles et de les réutiliser pour les sites ne disposant pas d’informations précieuses concernant l'utilisateur, et de concentrer les efforts sur la mémorisation que nécessite un mot de passe fort pour des services plus critiques.

Ils conseillent aux internautes de diviser leurs mots de passe en deux catégories. La première pour les mots de passe forts pouvant être difficilement compromis, qui seront utilisés pour les services bancaires, les comptes de messagerie, etc. La seconde catégorie, constituée des mots de passe faibles, servira pour des sites, forums, où l’internaute a besoin de se connecter pour commenter, mais jamais pour des transactions bancaires.

« Pour être réaliste, une gestion efficace des mots de passe devrait envisager des attaques et minimiser la somme des pertes et de l’effort humain », conclut le rapport de Microsoft.

Source : Microsoft Research

Et vous ?

Qu’en pensez-vous ? Pour ou contre ? Pourquoi ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de eldran64 eldran64 - Membre actif https://www.developpez.com
le 17/07/2014 à 11:50
C'est une excellente idée que je met déjà en pratique.
Et pour les mots de passes fort des sites "sensibles" (paypal & co), j'utilise des mots de passes fort et unique.
Avatar de Jbx 2.0b Jbx 2.0b - Membre expérimenté https://www.developpez.com
le 17/07/2014 à 11:53
C'est exactement ce que je fais.
J'ai un mot de passe très simple, pour tout ce que je qualifierais de "services poubelle", souvent parce qu'on m'oblige à créer un compte alors que je considère que je n'en ai pas besoin. Et je complexifie ce mot de passe au fur à mesure de la criticité du service, en ajoutant autour de celui-ci (que je qualifierais de "noyau") des caractères. Les services les plus critiques étant pour moi les boîtes mail, vu que c'est le point d'entrée pour récupérer l'ensemble des autres mots de passe !
Au final je jongle avec des mots de passe qui comportent 6 chiffres au minimum, à des mots de passe de 16 caractères alphanumériques et caractères spéciaux. Et comme leur complexité est fonction de la criticité du site, je me trompe rarement plus d'une fois
Avatar de Uranne-jimmy Uranne-jimmy - Membre expérimenté https://www.developpez.com
le 17/07/2014 à 11:55
Plus que pertinent ça me semble logique, voir même normal Oo
Je vois pourquoi on devrait attendre l'avis de spécialistes pour trouver cette évidence ^^
Quand comme moi on a un accès à beaucoup de sites, avec pour beaucoup d'entre eux, très peu d'incidence réelle en cas de hack, on va pas s'amuser à avoir whatmille mot de passe de grande complexité, c'est un peu comme enfiler une combinaison de cosmonaute pour sortir de chez soi, ça rime à rien.
Avatar de pmithrandir pmithrandir - Membre expert https://www.developpez.com
le 17/07/2014 à 12:00
Ca parait logique, mais nombre de site peu important n'hésite pas à demander des mots de passe fort, alors que le besoin de sécurité est faible.

Montrer que la chose n'est pas dogmatique me parait donc intelligent.
Avatar de benjani13 benjani13 - Membre expérimenté https://www.developpez.com
le 17/07/2014 à 12:59
Citation Envoyé par Hinault Romaric  Voir le message
Pour pallier à cela, les chercheurs de Microsoft suggèrent d’avoir recours à des mots de passe faibles et de les réutiliser pour les sites ne disposant pas d’informations précieuses concernant l'utilisateur, et de concentrer les efforts sur la mémorisation que nécessite un mot de passe fort pour des services plus critiques.

Ils y avait vraiment besoin d'une équipe de chercheurs pour en arriver là?
Avatar de LSMetag LSMetag - Membre expert https://www.developpez.com
le 17/07/2014 à 13:15
Ca paraît logique en effet.
Seulement utiliser des mots de passe faibles et uniques sur plusieurs services permet de donner des pistes pour décoder d'autres éléments.
Et ce n'est jamais sympa lorsque quelqu'un s'empare de ton compte pour te discréditer sur des forums.

Je reste au gestionnaire de mots de passe qui crypte les mots de passe avant de les enregistrer et qui a 2 sauvegardes : leurs serveurs et en local.

Quand au mot de passe d'activation, il est fort mais inoubliable pour moi.
Avatar de phmatray phmatray - Membre à l'essai https://www.developpez.com
le 17/07/2014 à 13:25
Un article qui brasse du vent tellement cela semble logique.

Ces jours-ci, j'ai eu l'occasion de lire un article intéressant sur Comment un mot de passe à changé ma vie.
Cet article contient également quelques conseils de sécurité qui sembleront évidents mais que l'on oublie trop souvent comme le changement régulier de mot de passe.

Outre cet article, je me pose une question.
Quand viendra l'authentification rétinienne qui éviterait de générer et retenir des mots de passe qui peuvent être cracké par ingénierie sociale ?
Avatar de Zirak Zirak - Expert éminent https://www.developpez.com
le 17/07/2014 à 13:34
Citation Envoyé par phmatray  Voir le message
Un article qui brasse du vent tellement cela semble logique.

Amen.

Citation Envoyé par phmatray  Voir le message
Outre cet article, je me pose une question.
Quand viendra l'authentification rétinienne qui éviterait de générer et retenir des mots de passe qui peuvent être cracké par ingénierie sociale ?

Oui comme ça pour se faire pirater son compte en banque, il faudra d'abord se faire arracher un oeil, quelle perspective réjouissante (pas tapé )
Avatar de Bestel74 Bestel74 - Membre confirmé https://www.developpez.com
le 17/07/2014 à 13:50
Personnellement, j'utilise le même système avec 3 niveaux de sécurité, car je prends aussi en compte le "sérieux" du site... car mettre son mot de passe fort (26 caractères pour moi A-Z a-z 0-9 + spéciaux) sur un site ou il sera stocké en MD5...

(c'est d'ailleurs une des raison pour lesquelles mon adresse hotmail est devenu ma poubelle, impossible de mettre mon mot de passe fort... )
Avatar de Saverok Saverok - Expert éminent https://www.developpez.com
le 17/07/2014 à 14:01
Citation Envoyé par phmatray  Voir le message
Quand viendra l'authentification rétinienne qui éviterait de générer et retenir des mots de passe qui peuvent être cracké par ingénierie sociale ?

Le hic avec la biométrie est qu'une fois que tu te fais voler ton empreinte numérique, tu es foutu car impossible de changer cette empreinte (je ne suis pas sûr que changer la cornée soit suffisant pour modifier l'empreinte rétinienne).
Avec un mot de passe, s'il est corrompu, tu peux le changer.

Sans compter que les critères biométriques peuvent évoluer temporairement ou de manière permanente (infection, accident, ...)
Offres d'emploi IT
Full stack web developer h/f
Multiposting - Ile de France - Paris (75000)
Développeur JAVA J2EE
HUMANLOG - Provence Alpes Côte d'Azur - Sophia Antipolis
Technicien(ne) helpdesk / micro-informatique
Talentéo - Ile de France - Paris

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil