Sécurité : des chercheurs de Microsoft conseillent le recours aux mots de passe faibles
Et leur réutilisation pour « conserver la matière grise »
Le 2014-07-17 11:27:55, par Hinault Romaric, Responsable .NET
Un conseil des chercheurs de Microsoft qui pourrait être qualifié « d’absurde » par un expert en sécurité, mais qui n’est pas, cependant, dénué de tout sens, vu l’analyse apportée dans le rapport qu'ils ont publié.
Le mot de passe est un des éléments essentiels de la sécurité des systèmes d’information. Le couple mot de passe/identifiant de l’utilisateur est le moyen d’authentification le plus utilisé par les services en ligne.
Compte tenu de la sensibilité de cette information, il est conseillé de toujours créer un mot de passe fort, en respectant certaines consignes. Les internautes doivent également éviter d’utiliser le même mot de passe sur plusieurs services.
Cependant, au vu du nombre de services nécessitant une authentification qui sont utilisés sur internet, il est pratiquement impossible pour un humain de créer un mot de passe fort pour chacun, et de le retenir.
La stratégie pour faire face à ce problème serait l’utilisation d’un gestionnaire de mots de passe. Cependant, selon les experts de Microsoft, le recours à un gestionnaire de mots de passe peut poser plus de problèmes qu’il n’en résout.
Bien qu’ils permettent l’utilisation de mots de passe entièrement aléatoires et uniques, les gestionnaires de mots de passe ont un point de défaillance important, selon Microsoft : les utilisateurs peuvent perdre ou oublier le mot de passe de leur gestionnaire de mots de passe, ou le service Cloud qui héberge leurs mots de passe peut être piraté. De plus, stocker les mots de passe sur le client sacrifie aussi la portabilité.
Pour y remédier, les chercheurs de Microsoft suggèrent d’avoir recours à des mots de passe faibles et de les réutiliser pour les sites ne disposant pas d’informations précieuses concernant l'utilisateur, et de concentrer les efforts sur la mémorisation que nécessite un mot de passe fort pour des services plus critiques.
Ils conseillent aux internautes de diviser leurs mots de passe en deux catégories. La première pour les mots de passe forts pouvant être difficilement compromis, qui seront utilisés pour les services bancaires, les comptes de messagerie, etc. La seconde catégorie, constituée des mots de passe faibles, servira pour des sites, forums, où l’internaute a besoin de se connecter pour commenter, mais jamais pour des transactions bancaires.
« Pour être réaliste, une gestion efficace des mots de passe devrait envisager des attaques et minimiser la somme des pertes et de l’effort humain », conclut le rapport de Microsoft.
Source : Microsoft Research
Et vous ?
Le mot de passe est un des éléments essentiels de la sécurité des systèmes d’information. Le couple mot de passe/identifiant de l’utilisateur est le moyen d’authentification le plus utilisé par les services en ligne.
Compte tenu de la sensibilité de cette information, il est conseillé de toujours créer un mot de passe fort, en respectant certaines consignes. Les internautes doivent également éviter d’utiliser le même mot de passe sur plusieurs services.
Cependant, au vu du nombre de services nécessitant une authentification qui sont utilisés sur internet, il est pratiquement impossible pour un humain de créer un mot de passe fort pour chacun, et de le retenir.
La stratégie pour faire face à ce problème serait l’utilisation d’un gestionnaire de mots de passe. Cependant, selon les experts de Microsoft, le recours à un gestionnaire de mots de passe peut poser plus de problèmes qu’il n’en résout.
Bien qu’ils permettent l’utilisation de mots de passe entièrement aléatoires et uniques, les gestionnaires de mots de passe ont un point de défaillance important, selon Microsoft : les utilisateurs peuvent perdre ou oublier le mot de passe de leur gestionnaire de mots de passe, ou le service Cloud qui héberge leurs mots de passe peut être piraté. De plus, stocker les mots de passe sur le client sacrifie aussi la portabilité.
Pour y remédier, les chercheurs de Microsoft suggèrent d’avoir recours à des mots de passe faibles et de les réutiliser pour les sites ne disposant pas d’informations précieuses concernant l'utilisateur, et de concentrer les efforts sur la mémorisation que nécessite un mot de passe fort pour des services plus critiques.
Ils conseillent aux internautes de diviser leurs mots de passe en deux catégories. La première pour les mots de passe forts pouvant être difficilement compromis, qui seront utilisés pour les services bancaires, les comptes de messagerie, etc. La seconde catégorie, constituée des mots de passe faibles, servira pour des sites, forums, où l’internaute a besoin de se connecter pour commenter, mais jamais pour des transactions bancaires.
« Pour être réaliste, une gestion efficace des mots de passe devrait envisager des attaques et minimiser la somme des pertes et de l’effort humain », conclut le rapport de Microsoft.
Source : Microsoft Research
Et vous ?
-
eldran64Membre extrêmement actifC'est une excellente idée que je met déjà en pratique.
Et pour les mots de passes fort des sites "sensibles" (paypal & co), j'utilise des mots de passes fort et unique.le 17/07/2014 à 11:50 -
gangsoleilModérateurÀ tous ceux qui raillent devant l'évidence, n'oubliez pas que vous n'êtes pas la cible de ces recommandations.
Combien de sites lambdas, sur lesquels il n'y a aucune information sensible, demandent des mots de passe tellement complexe qu'il est impossible de s'en souvenir ?
Combien de recommandations lisez/entendez/... vous, par mois, qui recommandent de ne jamais utiliser le même mot de passe, qu'il faut que vos mots de passe contiennent absolument tous des lettres/chiffres/caracteres/ponctuation/lettres_d_un_alphabet_non_installé_sur_votre_machine/plus_si_affinité ?
Ces conseils, M et Mme Michu les entendent tous les jours, et finissent par y croire, que ce soit pour le site de leur banque (qui de toute manière n'accepte que 6 chiffres) ou pour le forum de discussion sur le chien... Car oui, pas un de ces conseils ne vous dit de réfléchir à la complexité du mot de passe en fonction des informations...
Donc oui, c'est une très bonne chose que des experts en sécurité d'une entreprise ultra-connue communique sur ce point.le 30/07/2014 à 15:41 -
pmithrandirExpert éminentCa parait logique, mais nombre de site peu important n'hésite pas à demander des mots de passe fort, alors que le besoin de sécurité est faible.
Montrer que la chose n'est pas dogmatique me parait donc intelligent.le 17/07/2014 à 12:00 -
SaverokExpert éminentLe hic avec la biométrie est qu'une fois que tu te fais voler ton empreinte numérique, tu es foutu car impossible de changer cette empreinte (je ne suis pas sûr que changer la cornée soit suffisant pour modifier l'empreinte rétinienne).
Avec un mot de passe, s'il est corrompu, tu peux le changer.
Sans compter que les critères biométriques peuvent évoluer temporairement ou de manière permanente (infection, accident, ...)le 17/07/2014 à 14:01 -
benjani13Membre extrêmement actifIls y avait vraiment besoin d'une équipe de chercheurs pour en arriver là?le 17/07/2014 à 12:59
-
phmatrayMembre à l'essaiUn article qui brasse du vent tellement cela semble logique.
Ces jours-ci, j'ai eu l'occasion de lire un article intéressant sur Comment un mot de passe à changé ma vie.
Cet article contient également quelques conseils de sécurité qui sembleront évidents mais que l'on oublie trop souvent comme le changement régulier de mot de passe.
Outre cet article, je me pose une question.
Quand viendra l'authentification rétinienne qui éviterait de générer et retenir des mots de passe qui peuvent être cracké par ingénierie sociale ?le 17/07/2014 à 13:25 -
ZirakInactifAmen.
Oui comme ça pour se faire pirater son compte en banque, il faudra d'abord se faire arracher un oeil, quelle perspective réjouissante (pas tapé) le 17/07/2014 à 13:34 -
Bestel74Membre confirméPersonnellement, j'utilise le même système avec 3 niveaux de sécurité, car je prends aussi en compte le "sérieux" du site... car mettre son mot de passe fort (26 caractères pour moi A-Z a-z 0-9 + spéciaux) sur un site ou il sera stocké en MD5...
(c'est d'ailleurs une des raison pour lesquelles mon adresse hotmail est devenu ma poubelle, impossible de mettre mon mot de passe fort...) le 17/07/2014 à 13:50 -
Jbx 2.0bMembre chevronnéC'est exactement ce que je fais.
J'ai un mot de passe très simple, pour tout ce que je qualifierais de "services poubelle", souvent parce qu'on m'oblige à créer un compte alors que je considère que je n'en ai pas besoin. Et je complexifie ce mot de passe au fur à mesure de la criticité du service, en ajoutant autour de celui-ci (que je qualifierais de "noyau"des caractères. Les services les plus critiques étant pour moi les boîtes mail, vu que c'est le point d'entrée pour récupérer l'ensemble des autres mots de passe !
Au final je jongle avec des mots de passe qui comportent 6 chiffres au minimum, à des mots de passe de 16 caractères alphanumériques et caractères spéciaux. Et comme leur complexité est fonction de la criticité du site, je me trompe rarement plus d'une foisle 17/07/2014 à 11:53 -
Uranne-jimmyMembre expérimentéPlus que pertinent ça me semble logique, voir même normal Oo
Je vois pourquoi on devrait attendre l'avis de spécialistes pour trouver cette évidence ^^
Quand comme moi on a un accès à beaucoup de sites, avec pour beaucoup d'entre eux, très peu d'incidence réelle en cas de hack, on va pas s'amuser à avoir whatmille mot de passe de grande complexité, c'est un peu comme enfiler une combinaison de cosmonaute pour sortir de chez soi, ça rime à rien.le 17/07/2014 à 11:55