Sécurité des mots de passe - une cause perdue ?

Toutes les optimisations ont en commun le souhait d'une plus grande sécurité.

Au plus tard avec l'apparition des craqueurs de mots de passe modernes, il est possible d'estimer très précisément, pour une longueur de mot de passe donnée et une réserve de caractères définie, le temps nécessaire pour casser un mot de passe par force brute ("Bruteforce").

L'idée est simple : plus le mot de passe est complexe et long, plus il dure longtemps - et plus le mot de passe est sûr. C'est l'opinion courante...

Malheureusement, la problématique n'est pas aussi unidimensionnelle. Plusieurs facteurs jouent désormais un rôle très important dans la sécurité des mots de passe.

Bien ?

On observe aujourd'hui une tendance à l'assouplissement des directives relatives aux mots de passe. Ce n'est pas tant la longueur du mot de passe qui est en cause, mais plutôt le nombre de caractères requis.

Alors que certains qualifient cela de "moins sensible à la sécurité", je vois ici autre chose : après tout, la saisie de mots de passe avec des caractères spéciaux sur un terminal mobile est laborieuse. On ne demande donc plus que des caractères facilement accessibles sur le clavier standard des smartphones.

Cette décision prend alors plus de sens si l'on considère la situation dans les helpdesks.

Les mots de passe difficiles à saisir sur l'appareil mobile entraînent une augmentation massive du travail d'assistance aux utilisateurs. Pour y remédier, les directives sont parfois assouplies...

Trop bien intentionné ?

La recherche sur le craquage efficace des mots de passe est très avancée.

Les études sur l'étape précédente - la manière dont nous "inventons" les mots de passe - n'ont commencé à se multiplier que récemment.

Une étude récente de l'Université de Caroline du Nord conclut que des changements de mots de passe trop fréquents et des directives trop strictes nuisent à la sécurité plutôt qu'ils ne la favorisent.

En effet, les utilisateurs ont alors tendance à continuer à utiliser l'"ancien" mot de passe en y apportant de simples modifications - par exemple en ne changeant que les majuscules ou en ajoutant des caractères supplémentaires.

Dans ce contexte, des chercheurs ont désormais développé des procédures qui essaient de nombreuses modifications fréquentes d'un mot de passe de base existant et parviennent ainsi beaucoup plus rapidement à leurs fins.

Assez bon ?

Dans de nombreuses formations à la sécurité, on inculque aux utilisateurs d'utiliser des mots de passe différents pour des accès différents et de séparer ce qui est privé de ce qui est professionnel.

Mais l'homme est un animal d'habitudes, la réalité est différente.

Il faut partir du principe que beaucoup utilisent également des mots de passe identiques ou similaires pour leurs comptes privés. Ainsi, le piratage d'un fournisseur ou d'un prestataire tiers devient tout à coup pertinent - surtout si les mots de passe sont dérobés en texte clair.

En effet, les pirates disposent ainsi d'un seul coup d'une grande base de mots de passe de base qu'ils peuvent simplement essayer avec des modifications contre l'accès de l'entreprise.

Tout est bien qui finit bien ?

L'exemple des mots de passe montre que la sécurité n'est pas un processus technique unidimensionnel. Les décisions techniques ont une influence directe sur d'autres dimensions, sur les personnes et les processus.

Une décision qui rend le système plus sûr d'un point de vue technique peut avoir un impact massif sur d'autres dimensions, de sorte que la sécurité de l'ensemble du système peut en souffrir.

A-t-on vraiment besoin du mot de passe de sécurité maximale avec caractères spéciaux pour tous les services, ou une authentification adaptée au degré de confidentialité n'est-elle pas également " ?assez bon"?

Ou alors, le fait de modifier le mot de passe ne s'adresse-t-il pas simplement au symptôme ? Dans certains cas, une authentification à deux facteurs ou biométrique peut s'avérer utile.

La décision de protéger tel ou tel accès dépend du personnel, des services, des processus et des possibilités techniques.

Et cette décision doit être prise en dernier ressort, après une réflexion et une évaluation des risques qui ne se limitent pas à la dimension technique.

Il n'y a pas de bonne ou de mauvaise réponse - les décisions doivent toujours être prises dans le contexte de l'utilisation prévue et de la tolérance au risque. Et cela vaut pour les mots de passe comme pour les autres techniques et processus de sécurité informatique.