Skip links

Privilégiez les mots de passes simples mais longs !

Tout le monde connait la règle d’or des mots de passe : au moins 8 caractères, avec au moins un chiffre, une majuscule, une minuscule et un caractère spécial. Mais est-ce vraiment la meilleure solution ? Les technologies de piratage évoluent, et je pense qu’il faut maintenant privilégier les mots de passe simples, mais longs.

L’être humain est la première faille de sécurité

On ne le répète jamais assez : il faut conserver son mot de passe secret ! C’est lui qui protège toutes nos données sensibles des pirates. Pourtant, cela n’empêche pas l’utilisateur moyen de compromettre son mot de passe plusieurs fois par jour. Par exemple, il semblerait qu’un salarié sur deux ait écrit son mot de passe sur un post-it qu’il garde au bureau. Du coup, il n’y a plus d’intérêt à avoir un mot de passe.

On remarque aussi que les mots de passe stéréotypés sont encore les plus populaires.

Partant de ce constat, on peut le dire et le redire : le meilleur mot de passe au monde ne sert à rien si l’utilisateur est la faille. C’est d’ailleurs tout un domaine du piratage, le social engineering, en français l’ingénierie sociale : accéder à des systèmes ou informations protégés simplement en communiquant avec l’être humain.

Le système du mot de passe long, mais simple, permet donc de palier à ces deux failles courantes.

Pour un robot, tous les caractères sont les mêmes

Une attaque de force brute consiste à essayer toute une pile de mots de passe pour un nom d’utilisateur donné.

Un robot qui teste des mots de passe aléatoires ne fait pas la différence entre le signe $, le chiffre 5 ou le caractère A. Pour lui, ce sont tous des caractères codés sur 2 octets. Bref, il prendra autant de temps à trouver le mot de passe « ChIen$ » qu’il mettra à trouver « chiens », puisque les deux mots de passe contiennent 6 caractères donc 12 octets. Pourquoi compliquer l’orthographe si on n’est pas plus protégé ?

En 2004, on recommandait encore les caractères spéciaux car les attaques brute force n’avaient pas intégré les signes comme $, €, % ou ç. Mais c’était il y a 15 ans, et les pirates ont toujours une longueur d’avance. Ils ont très vite intégré ces caractères à leurs programmes.

En fait, le principe à cette époque consistait à faire lire un fichier contenant des milliers de mots de passe à un robot. Il teste le premier, puis le deuxième, puis le troisième jusqu’à ce qu’il en trouve un ou qu’il arrive au bout du fichier. Du coup, on évitait aussi les mots du dictionnaire, mais si « bouquin » était bien dans ce fichier, « bouquinZebreMaison » n’y était pas forcément.

Aujourd’hui, avec la bande passante toujours plus élevée et les techniques toujours plus poussées, ce n’est plus la seule manière. Il est possible de créer un mot de passe aléatoire à X caractères et de le tester en temps réel !

Ma solution : une phrase toute bête

Rien de plus compliqué ! Inventez une phrase toute bête, facile à retenir, longue de plus de 30 caractères. C’est très long, sachant que le mot de passe moyen contient 8 caractères.

Et pour se souvenir d’un mot de passe aussi long, on peut créer un scénario dans sa tête et le transformer en mot de passe. Par exemple, j’imagine un inspecteur équestre dans un champ de marguerites. Ca ne veut rien dire, mais regardez la suite : mon mot de passe serait alors « inspecteurEquestreDansUnChampDeMarguerites ».  Il y a 42 caractères, soit 5x plus qu’un mot de passe moyen.

Calcul du mot de passe long et simple

Un peu de maths : il y a 42 caractères, qui utilisent uniquement les 26 lettres de l’alphabet + les 26 lettres majuscules (car en informatique, ce ne sont pas les mêmes caractères). On a donc 42^{56} = 7.9792167 \times 10^{90} possibilités de mot de passe à tester. Cela représente un nombre de 90 chiffres. Sachant que le milliard en contient 10, un pirate n’est pas prêt de trouver votre mot de passe !

On peut le calculer d’ailleurs ! Et pour faire ça bien, utilisons un super-ordinateur. Le plus rapide aujourd’hui, le Sunway TaihuLight, peut entrer 100 000 000 000 000 000 mots de passe chaque seconde. Je ne sais même pas comment prononcer ce chiffre, je sais juste qu’il a 15 zéros derrière. La Playstation 4, selon cette infographie, peut en entrer 1 800 000 000 à la seconde. C’est malheureusement la seule comparaison parlante que j’ai trouvé mais c’est à peu près la puissance qu’un pirate se permettra d’avoir. Si on estime un réseau de botnet, on tourne autour des 18 000 000 000 opérations à la seconde (j’estime qu’un réseau habituel attaque depuis 10 ordinateurs).

selon ce calculateur de force brute, le mot de passe précédent prendrait 3.8148626720017E+47 années à trouver, ce qui représente un 3 suivi de 47 zéros ! Pourtant, nous n’avons que des majuscules et minuscules. Il faut aussi que le pirate teste tous les mots de passe plus petits que le votre avant, car il ne sait pas quelle longueur le votre fait. Bref, on estime que le soleil a encore 5 milliards d’années devant lui, soit 5E + 9 années.

Pour essayer le calculateur vous-même, cliquez sur l’onglet « calculate custom password » et entrez les informations suivantes (en retirant les espaces dans le nombre) :

calculateur - Privilégiez les mots de passes simples mais longs !

Si toutefois le pirate trouvait la longueur de votre mot de passe du premier coup pour une raison une autre (mais qu’il devait encore trouver le mot de passe), il mettrait toujours 3.7414999283093E+47 années. Toujours 47 zéros, mais à ce niveau la différence absolue entre 3.81 et 3.74 est énorme ! Le soleil par contre n’a toujours que 5 milliards d’années à vivre, donc ça n’aide pas beaucoup.

Si vous préférez retirer les majuscules pour simplifier la mémorisation et l’écriture du mot de passe ? Le même superordinateur prendrait 8.847473339851E+34 années à trouver votre mot de passe, même s’il connait déjà sa longueur exacte.

Calcul du mot de passe court et difficile

Comparons maintenant ces résultats à un mot de passe court. Le minimum requis est de 6 caractères, mais cette fois on accepte les chiffres et les caractères spéciaux. on aurait par exemple « zL4!Bq ».

Eh bien… le superordinateur est tellement rapide que le calculateur estime que cela ne prendrait même pas une seule seconde !

Essayons avec l’estimation de 10 ordinateurs équivalent à une Playstation 4 ! J’obtiens 41 secondes, pas une de plus. Si le pirate n’avait que son ordinateur sous la main, il ne lui faudrait que 6 minutes et 52 secondes.

Juste pour être sûr, compliquons la donne au maximum : il a son ordinateur, ne connait pas la longueur de votre mot de passe, et celui-ci fait 8 caractères (la plupart des sites demandent maintenant un minimum de 8 caractères) : 43 jours, 2 heures, 41 minutes et 18 secondes. Certes, un mois et demi est assez long, mais pas improbable.

En conclusion : le mot de passe long et simple l’emporte

Non seulement il est facile de s’en souvenir, il est aussi très difficile pour un robot de le trouver. Je dis très difficile car il n’est pas impossible qu’il le trouve du premier coup par pure chance, mais le risque existe pour tous les mots de passe.

L’avantage indéniable d’un tel mot de passe est qu’il est très facile à retenir. Vu la sécurité, vous pouvez même l’utiliser sur tous vos sites vu qu’il ne sera jamais découvert par force brute. Par contre, ne faites pas l’erreur de l’écrire en clair quelque part !

Leave a comment

Name

Website

Comment