Voilà pourquoi tant de personnes utilisent encore des mots de passe tels que “123456”, “azerty”, “abc123” ou encore “password”. Ce sont de toute évidence des mots de passe à proscrire, mais ils restent, aussi incroyable que cela puisse paraitre, les mots de passe les plus utilisés.
Le problème est que la plupart des utilisateurs pensent qu’un mot de passe unique, composé de quelques caractères pris au hasard suffit à protéger l’ensemble de leurs comptes.
Une chose que vous pouvez mettre en place afin de réduire les chances qu’un utilisateur choisisse de tels mots de passe est de définir des pré-requis et règles pour qu’un mot de passe soit considéré comme sécurisé.
C’est justement l’un des challengesqui a été relevé par le National Institute of Standards and Technology (NIST) afin de fournir des lignes directrices pour des mots de passe plus sécurisés pour l’ensemble du gouvernement des États-Unis.
Lors de la “Passwords Conference” à Las Vegas début août, le chercheur en sécurité et en vie privée en ligne, Jim Fenton, a réalisé une intervention (présentation disponible ici) durant laquelle il a décrit les améliorations en matière de sécurité des mots de passe dans le cadre des guidelines en cours d’élaboration par le NIST. Nous espérons que ses propositions seront adoptées plus généralement par les entreprises et développeurs, au-delà du gouvernement américain.
Que pouvons-nous retenir de ces propositions ?
Utiliser un nombre minimal de caractères. LeNIST préconise des mots de passe d’une longueur de 8 caractères minimum. Cependant il est conseillé, pour les comptes les plus sensibles, d’utiliser des mots de passe bien plus longs. Il faut garder en tête qu’une attaque prendra d’autant plus de temps qu’un mot de passe possède de caractères.
Ne pas se limiter dans le nombre de caractères. S’il doit y avoir une longueur idéale pour un mot de passe, celle-ci ne devrait pas être moins de 64 caractères. Cela permettrait tout d’abord de calmer les personnes conscientes des risques de sécurité et qui fustigent les sites Web ne leur permettant pas de définir un mot de passe plus long que 16 caractères. Et surtout, adopter un mot de passe de plus de 64 caractères encouragerait les utilisateurs à choisir des « phrases de passe » dont ils pourraient se souvenir finalement simplement, plutôt qu’un simple mot de passe. Le nombre de 64 caractères a été préconisé pour sa capacité à s’adapter à de nombreux types de résolutions d’écran.
Ne proscrire aucun caractère. Le NIST précise que tous les caractères d’impression (et même les espaces) devraient être acceptés lors de la création d’un mot de passe. Vous devriez même pouvoir utiliser les caractères de type UNICODE si vous le souhaitez, ce qui, sans aucun doute, devrait plaire aux accros des emojis. Étant donné que les sites Web et applications utilisent des techniques de hachage et de salage de mots de passe, mais aussi de « key stretching », vous n’avez pas à vous préoccuper d’attaques par injection de code SQL. Autoriser les espaces permet de rendre plus naturelle la saisie de phrases en tant que mot de passe, bien que – à cause de la crainte des utilisateurs à saisir par inadvertance plusieurs espaces – ils pourraient être enclins à ne pas les utiliser.
Ne pas accepter les mots de passe les plus utilisés. Les applications et sites Web devraient pouvoir vérifier les mots de passe proposés par les utilisateurs dans un dictionnaire des « mauvais » mots de passe à proscrire. Cela empêcherait l’utilisation de mots de passe tels que “password123”, “il0veyou” ou “football”. Des listes de dizaines de millions de mots de passe compromis sont disponibles, mais il n’est pas pertinent de les utiliser au sein de dictionnaires, cela serait plus contre-productif qu’autre chose et pourrait conduire les utilisateurs à simplement modifier "football" en "football1". Dans sa présentation, Jim Fenton propose un dictionnaire d'environ 100 000 mauvais mots de passe, parmi les plus communs. Plus d’études pourraient être réalisées à ce sujet afin de déterminer si la taille du dictionnaire et les mots de passe qui sont présents sont les plus adaptés .
Ne pas fournir d’indices. Le problème avec les indices permettant de se souvenir d’un mot de passe, c’est qu’ils affaiblissent la sécurité de l’authentification. Par exemple “Equipe de foot préférée” – si vous n’autorisez pas les utilisateurs à afficher un tel indice pour leurs mot de passe, il y a peu de chance qu’un tiers puisse accéder à leurs comptes.
Ne pas forcer certains pré-requis. Les utilisateurs ne devraient pas être forcés à inclure des caractères numériques, symboles ou encore majuscules dans leurs mots de passes. De telles règles peuvent parfois aussi mener à un mauvais choix de mot de passe (P@55w0rd par exemple – finalement pire que quand ils ont toute liberté pour le choisir).
Ne pas forcer le changement de mot passe régulier, à moins qu’il ait été compromis. Beaucoup pensent qu’une bonne pratique à mettre en place est le changement régulier de mot de passe. Cependant il semble que cela conduise finalement à l’utilisation plus régulière de mauvais mots de passe. Bien entendu, si vous avez une bonne raison de le modifier, alors changez-le ! Mais le simple fait qu’un mot de passe n’ait pas été modifié depuis plusieurs semaines ou plusieurs mois ne doit pas être en soi un critère de remplacement.
Ne pas utiliser l’authentification via SMS. Les propositions duNIST préconisent de ne pas utiliser l’authentification à deux facteurs via SMS à cause de nombreuses vulnérabilités connues au sein d’applications telles que Google Authenticator ou de clés USB dédiées.
Pour plus d’informations concernant les propositions du NIST sur comment les hash de mots de passe devraient être stockés en toute sécurité, vous pouvez vous référer à la présentation de Jim Fenton.
tags
Juillet 01, 2024
Juin 10, 2024
Juin 03, 2024
Mai 16, 2024