Sécurité IT : la faiblesse relative des mots de passe

Cloud
securite-faiblesse-mots-passe

Des chercheurs estiment que définir des mots de passe dits « faibles » et les réutiliser sur plusieurs sites ou services Web n’est pas forcément une mauvaise idée… dans certaines circonstances.

Plusieurs études l’ont démontré : malgré la médiatisation croissante des attaques informatiques et des fuites massives de données personnelles, les habitudes des internautes n’évoluent guère concernant ce que les experts considèrent comme le talon d’Achille de la sécurité IT : les mots de passe.

Éviter de choisir des termes issus du dictionnaire ou en rapport avec les services utilisés, créer une chaîne de caractères suffisamment longue en combinant si possible chiffres, minuscules, majuscules, signes et lettres accentuées : les recommandations sont nombreuses. Mais avec les limites du cerveau humain, il n’est pas toujours facile de suivre ces bonnes pratiques à moins de se doter d’un gestionnaire d’identifiants.

Pour autant, définir des mots de passe dits « faibles » et les exploiter sur plusieurs services n’est pas nécessairement une mauvaise chose, à en croire Dinei Florencio et Cornac Herley de Microsoft Research. Dans leur rapport « Password Portfolios and the Finite-Effort User : Sustainably Managing Large Number of Accounts » cosigné avec Paul C. van Oorschot de l’université canadienne de Carleton, ils se concentrent sur la manière de réutiliser « plus intelligemment » des mots de passe.

Leurs conclusions sont les suivantes : l’usage de mots de passe complexe doit être privilégié pour des sites considérés comme sensibles ou importants. Typiquement ceux liés au secteur bancaire ou à la santé, comme le note Silicon.fr. A contrario, la réutilisation de mots de passe simples sera affectée à des sites où les pertes potentielles de données peuvent être jugées minimes : « le rendement marginal de l’effort est inversement proportionnel à la valeur des comptes« . En d’autres termes, « la réutilisation de mots de passe doit faire partie du portefeuille technique de sécurité, même si ce n’est pas la panacée« .

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous le Web chinois ?

Crédit photo : Florida3D – Shutterstock.com

Lire aussi :