articles utiles

L'utilisation de phrases courantes rend votre mot de passe complexe inutile: voici comment choisir une phrase plus précise

Nous avons expliqué comment l'utilisation de mots de passe comme mots de passe peut renforcer votre sécurité, mais si vous avez choisi une phrase utilisée dans les discours quotidiens, vous ne vous rendez pas service, ni vos données, de faveurs. Selon une nouvelle étude de Cambridge, une phrase courante, comme par exemple "hors-piste", n'est que légèrement plus sûre qu'un mot du dictionnaire, et quiconque cherche à déchiffrer votre mot de passe sait déjà essayer des phrases courantes avec des mots courants. Si vous préférez les phrases secrètes, voici comment les rendre plus sûres.

Pourquoi les mots de passe communs ne sont-ils pas aussi sûrs que vous le pensez

La raison pour laquelle de nombreux systèmes de mots de passe ne vous permet pas de choisir des mots du dictionnaire comme mots de passe - ou du moins vous oblige à ajouter des chiffres, des majuscules ou des caractères spéciaux à ces mots - est la première chose qu'un pirate informatique fera pour essayer de deviner un mot de passe consiste à essayer chaque mot du dictionnaire pour voir s'ils peuvent y entrer. Même échanger "i" pour "1" ou "e" pour "3" n'est souvent pas suffisant - le fait que ces astuces existent tant qu'ils ont, cela signifie que ces substitutions communes sont facilement ajoutées à votre liste de dictionnaires et incluses dans l'attaque par force brute. Au lieu de cela, l’objectif d’encourager les mots de passe passifs est de créer des informations d’identité qui n’ont aucun sens pour un utilitaire de cracking de mots de passe, mais qui sont mémorables pour l’être humain qui doit accéder à un système donné tous les jours.

Le problème, cependant, est que beaucoup de gens, lorsqu'ils adoptent des phrases secrètes, utilisent des expressions courantes tirées de livres, de films populaires, de citations mémorables, d’équipes sportives ou d’autres noms propres facilement devinés. Un groupe de chercheurs de l'Université de Cambridge a récemment publié une étude (lien PDF) dans laquelle ils ont découvert que l'utilisation d'un dictionnaire de ces expressions courantes leur permettait de déchiffrer environ 8 000 phrases secrètes dans l'ancien système PayPhrase d'Amazon. Ils concluent que les mots de passe en tant que système de mot de passe fournissent en fin de compte moins de 30 bits de sécurité, qu'ils estiment trop faible pour résister à la plupart des attaques en ligne. Ars Technica explique clairement ce que cela signifie:

Les "30 bits de sécurité" signifient que la probabilité de déchiffrer une phrase secrète contenant quatre mots serait de un sur deux. De plus, les phrases de deux mots déchirées dans l’étude ne fournissaient que 2 ^ 20, 8 (ou 20 656 / 0, 0113) bits de sécurité. Une autre façon d'exprimer la même conclusion est qu'un dictionnaire d'un peu moins de 21 000 phrases suffit à deviner les identifiants de connexion qu'un peu plus de 1% des internautes utiliseront.

Certes, 1% de phrases est un très petit nombre, mais cela reste une source d'inquiétude: tout système de sécurité, même s'il est bien construit et suffisamment complexe, peut facilement devenir la proie de modèles introduits par l'utilisateur. En fin de compte, l'utilisateur - et son mot de passe - est presque toujours le lien le plus faible.

Comment améliorer vos phrases de passe

Cela ne signifie pas que tout espoir est perdu pour les mots de passe, ou que vous devriez les abandonner et revenir aux mots de passe forts standard. Honnêtement, si vous pouvez combiner les deux, vous devriez: la force d'un mot de passe fort composé de lettres, de chiffres, de casse variée et de caractères spéciaux est améliorée de manière significative lorsque les mots sont enchaînés. L'essentiel est de choisir une phrase facile à retenir pour vous, mais pas, par exemple, votre équipe de sport préférée, le nom de votre ville et de votre État, ni la marque et le modèle de votre voiture. Oui, cela diminue la facilité de mémorisation, mais cela améliore considérablement votre sécurité.

L'étude souligne explicitement que "les phrases de plusieurs mots, si elles sont choisies naïvement selon les tendances du langage naturel, ne sont pas aussi efficaces pour atténuer les attaques de conjectures que les choix alternatifs, telles que le choix de 2 mots aléatoires ou le choix d'un nom personnel au hasard". Ainsi, afin de renforcer la sécurité de votre phrase secrète, vous devez choisir des mots qui vous intéressent, mais qui importent à personne. Par exemple, "NissanAltima" n'est peut-être pas un mot du dictionnaire, mais c'est un nom propre qui est facilement deviné. Au lieu de cela, vous pouvez essayer "My03AltimaIsBlue".

Lorsque nous avons discuté du générateur de mots de passe XKCD, nous avons indiqué une autre méthode plus sécurisée qu'il valait mieux répéter. Si vous souhaitez utiliser vos paroles préférées d'une chanson, saisissez les deux premiers caractères des mots de votre ligne préférée, au lieu de les lier ensemble. Nous avons proposé à un amoureux de Jackson 5 d'extraire un mot de passe des paroles "Oh bébé, donne-moi une chance de plus pour te montrer que je t'aime" et présentez "obgmomctsytily", qui est bien plus sûr.

Le générateur de mots de passe XKCD lui-même est un outil puissant pour générer des mots de passe, principalement parce que les mots qu'il associe sont aléatoires: ils n'ont aucune signification derrière eux, et il serait difficile de passer outre à une attaque par dictionnaire, et encore plus difficile si vous mélangez des cas personnages. Vous pouvez également prendre un cran et utiliser la méthode de décalage vers la droite pour vos mots de passe, ce qui les rend vraiment inintelligibles.

Enfin, une fois que vous avez fait tout cela et créé une excellente phrase de passe difficile à déchiffrer et à déchiffrer, faites-vous une faveur et connectez-la à un système de gestion de mots de passe tel que LastPass, KeePass ou 1Password, pour pouvoir utiliser différentes méthodes. des mots de passe forts pour chaque service que vous utilisez et un mot de passe mémorable à insérer dans votre coffre-fort de mots de passe.

Utilisez-vous des phrases secrètes ou vous en tenez-vous à des mots de passe forts? Peut-être que vous les mélangez? Partagez vos conseils et astuces concernant les mots de passe dans les commentaires ci-dessous.