Mots de passe : doit-on faire contre mauvaise fortune bon cœur ?
Toujours aussi massivement utilisés… mais toujours aussi fragiles : quelles bonnes pratiques adopter pour sécuriser les mots de passe sans compromettre l’expérience utilisateur ?
Entre « 12345 » et « 123456 », lequel sera le plus haut placé ?
La question revient à chaque réactualisation du « classement SplashData ».
La firme californienne s’intéresse à un aspect particulier de la sécurité informatique, dont elle est spécialiste : les mots de passe.
Depuis des années, le constat est invariable : lesdits mots de passe sont toujours aussi fragiles.
Dans le monde anglophone, « admin », « password » et « qwerty » restent indémodables, autant que les suites de chiffres susmentionnées… et plusieurs autres, qui figurent en bonne position au top 100 réalisé sur la base de 5 millions de mots de passe ayant fuité à l’insu d’individus européens et nord-américains.
L’essentiel de ce qui figure sur la liste se trouve aussi dans les dictionnaires de langue anglaise.
De la phrase au mot de passe
GMX conseillait précisément d’éviter cette pratique dans une série de recommandations récemment communiquée par voie de presse.
Le service de messagerie électronique, propriété du groupe allemand United Internet, faisait une suggestion plus insolite : profiter de ses connaissances en langues étrangères pour composer une phrase facile à mémoriser et en tirer un mot de passe.
En France, la CNIL (Commission nationale de l’informatique et des libertés) a mis en place un outil « Phrase2passe » qui exploite cette idée, avec la promesse de créer un mot de passe « fort et simple à retenir ».
La Commission réédite régulièrement ses appels à la vigilance. En début d’année, elle avait adopté une recommandation dont les principales mesures sont synthétisées en une affiche (document PDF).
Parmi les enseignements à retenir : à chaque compte son mot de passe, pour s’épargner les piratages en cascade. On évitera par ailleurs d’en choisir de trop « personnels » – qu’il s’agisse du nom de son chien ou de son film préféré – et de les enregistrer dans des boîtes de messagerie ou des navigateurs installés sur des ordinateurs partagés.
Avec ou sans caractères spéciaux ?
Au cours de l’été, la CNIL a adopté une modification de ces recommandations, additionnée de conseils à l’attention des gestionnaires des systèmes d’authentification : utiliser un algorithme public réputé fort et dont la mise en œuvre logicielle est exempte de vulnérabilité connue, ne pas communiquer le mot de passe à l’utilisateur en clair par courriel, etc.
Non sans reconnaître qu’il « n’existe pas de définition universelle d’un bon mot de passe », la Commission formule une mesure qui ne fait pas l’unanimité : utiliser au moins 12 caractères* de 4 types (minuscules, majuscules, chiffres et caractères spéciaux).
Aux États-Unis, le NIST (traduisible par « Institut national des normes et de la technologie »), rattaché au ministère du Commerce, se départit partiellement de cette approche : il appelle à rendre les caractères spéciaux facultatifs, au profit de mots de passe plus longs pouvant inclure des espaces (qui pourraient être automatiquement corrigés si saisis en double).
Dans quelle mesure les conclusions de SplashData valent-elles pour le monde professionnel ? À en croire LastPass, les frontières sont poreuses.
L’éditeur américain estime, sur la base d’une compilation « anonyme » de données de « plus de 30 000 entreprises clientes », que plus de la moitié d’entre elles laissent leurs employés seuls responsables de la gestion de leurs mots de passe.
* Un mot de passe plus court peut être envisagé si des sécurités complémentaires sont activées, à l’image de restrictions d’accès, de la collecte d’autres données ou d’un support détenu en propre par l’utilisateur, explique la CNIL, tout en suggérant d’exploiter un gestionnaire de mots de passe ou un trousseau d’accès chiffré (Keepass, Passwordsafe et Zenyway sont donnés en exemple).
Crédit photo : IntelFreePress via Visualhunt / CC BY-SA