NOUVELLES

Oubliez tout ce qu'on vous a dit sur le mot de passe idéal

La personne à l'origine des recommandations classiques (caractères spéciaux, majuscules, etc) regrette d'avoir dit ça.

09/08/2017 07:24 EDT | Actualisé 09/08/2017 09:05 EDT

Trouver un mot de passe est devenu un exercice très frustrant, car il faut souvent s'y reprendre à plusieurs fois. "Le mot de passe doit contenir une majuscule". Ah, et aussi un chiffre. Et un caractère de ponctuation. Une fois votre code entré, il y a même des chances qu'on vous demande d'en changer d'ici quelques mois, pour des raisons de sécurité. Enfin, si vous ne l'avez pas oublié avant.

Le pire, dans tout ça? C'est que l'homme à l'origine de toutes ces nuisances quotidiennes regrette aujourd'hui d'avoir établi ces règles. C'est dans une interview au Wall Street Journal, lundi 7 août, que Bill Burr fait son mea culpa. En 2003, alors qu'il est à la tête de l'institut américain des normes technologiques, il publie un document destiné aux entreprises avec des bonnes pratiques permettant d'améliorer la sécurité sur internet, rappelle The Verge.

Effets pervers

On y trouve notamment les conseils suivant: utiliser des caractères spéciaux, des majuscules, des chiffres. Mais aussi demander un nouveau mot de passe à l'utilisateur régulièrement. Des recommandations qui suivent une même logique: empêcher des pirates de réussir à deviner le mot de passe en utilisant des programmes qui testent toutes les combinaisons possibles. Plus il y a de caractères possible, plus il faudra de temps à une machine pour tester toutes les possibilités.

Mais 14 ans après, Bill Burr regrette "la majorité de ce qu'il a fait". Car ses recommandations ont eu un effet pervers. Face à la complexité de ces mots de passe bizarres, difficiles à mémoriser et qu'il faut changer régulièrement, beaucoup de gens ont triché. Par exemple en mettant simplement une majuscule au début ou un chiffre à la fin.

Il suffit donc de prendre cela en compte pour réussir à pirater assez facilement un mot de passe relativement court. C'est ce qu'illustre parfaitement ce webcomic (en anglais) de xkcd: un mot de passe tout en minuscule, composé de quatre mots sans aucun lien entre eux, est plus simple à retenir pour l'homme et plus difficile à casser pour une machine. Et selon le Wall Street Journal, des études ont confirmé ce propos.

LIRE AUSSI:
» Les jeux vidéo auraient des répercussions problématiques sur le cerveau
» Cette machine sait reconnaître le sarcasme sur les réseaux sociaux mieux qu'un humain
» Les robots de sécurité à la mode malgré le «suicide» de l'un d'entre eux

Nouvelles recommandations

"En fin de compte, c'était probablement trop compliqué pour beaucoup de personnes de bien comprendre [ces recommandations], nous faisions fausse route", estime Bill Burr. Et justement, les nouvelles recommandations de l'Institut américain des normes technologiques a tiré un trait sur ces conseils.

Dans la dernière édition, publiée en juin, l'institut conseille d'arrêter de demander un nouveau mot de passe aux utilisateurs régulièrement. De même, il ne faut plus obliger les utilisateurs à ajouter des caractères spéciaux dans les mots de passe. Cela permettra d'imaginer un code secret plus long, mais plus simple à retenir.

Enfin, dernière suggestion, qui risque de moins vous faire plaisir: mettre en place des dictionnaires empêchant de rentrer un mot de passe trop évident. Par exemple, mettons que vous souhaitiez utiliser un mot commun, ou pire un terme lié au compte que vous ouvrez (par exemple, monfacebook pour votre mot de passe sur le réseau social). Le site vous avertira alors que le mot de passe est trop commun et le refusera.

Ce texte a été publié originalement dans le HuffPost France.

Voir aussi: