{"id":6331,"date":"2016-10-01T00:11:00","date_gmt":"2016-09-30T22:11:00","guid":{"rendered":"http:\/\/e3mag.com\/?p=6331"},"modified":"2022-05-01T08:12:26","modified_gmt":"2022-05-01T06:12:26","slug":"assez-bon-ou-trop-bon","status":"publish","type":"post","link":"https:\/\/e3mag.com\/fr\/gut-gut-genug-oder-zu-viel-des-guten\/","title":{"rendered":"S\u00e9curit\u00e9 des mots de passe - une cause perdue ?"},"content":{"rendered":"<p>Toutes les optimisations ont en commun le souhait d'une plus grande s\u00e9curit\u00e9.<\/p>\n<p>Au plus tard avec l'apparition des craqueurs de mots de passe modernes, il est possible d'estimer tr\u00e8s pr\u00e9cis\u00e9ment, pour une longueur de mot de passe donn\u00e9e et une r\u00e9serve de caract\u00e8res d\u00e9finie, le temps n\u00e9cessaire pour casser un mot de passe par force brute (\"Bruteforce\").<\/p>\n<p>L'id\u00e9e est simple : plus le mot de passe est complexe et long, plus il dure longtemps - et plus le mot de passe est s\u00fbr. C'est l'opinion courante...<\/p>\n<p>Malheureusement, la probl\u00e9matique n'est pas aussi unidimensionnelle. Plusieurs facteurs jouent d\u00e9sormais un r\u00f4le tr\u00e8s important dans la s\u00e9curit\u00e9 des mots de passe.<\/p>\n<h3>Bien ?<\/h3>\n<p>On observe aujourd'hui une tendance \u00e0 l'assouplissement des directives relatives aux mots de passe. Ce n'est pas tant la longueur du mot de passe qui est en cause, mais plut\u00f4t le nombre de caract\u00e8res requis.<\/p>\n<p>Alors que certains qualifient cela de \"moins sensible \u00e0 la s\u00e9curit\u00e9\", je vois ici autre chose : apr\u00e8s tout, la saisie de mots de passe avec des caract\u00e8res sp\u00e9ciaux sur un terminal mobile est laborieuse. On ne demande donc plus que des caract\u00e8res facilement accessibles sur le clavier standard des smartphones.<\/p>\n<p>Cette d\u00e9cision prend alors plus de sens si l'on consid\u00e8re la situation dans les helpdesks.<\/p>\n<p>Les mots de passe difficiles \u00e0 saisir sur l'appareil mobile entra\u00eenent une augmentation massive du travail d'assistance aux utilisateurs. Pour y rem\u00e9dier, les directives sont parfois assouplies...<\/p>\n<h3>Trop bien intentionn\u00e9 ?<\/h3>\n<p>La recherche sur le craquage efficace des mots de passe est tr\u00e8s avanc\u00e9e.<\/p>\n<p>Les \u00e9tudes sur l'\u00e9tape pr\u00e9c\u00e9dente - la mani\u00e8re dont nous \"inventons\" les mots de passe - n'ont commenc\u00e9 \u00e0 se multiplier que r\u00e9cemment.<\/p>\n<p>Une \u00e9tude r\u00e9cente de l'Universit\u00e9 de Caroline du Nord conclut que des changements de mots de passe trop fr\u00e9quents et des directives trop strictes nuisent \u00e0 la s\u00e9curit\u00e9 plut\u00f4t qu'ils ne la favorisent.<\/p>\n<p>En effet, les utilisateurs ont alors tendance \u00e0 continuer \u00e0 utiliser l'\"ancien\" mot de passe en y apportant de simples modifications - par exemple en ne changeant que les majuscules ou en ajoutant des caract\u00e8res suppl\u00e9mentaires.<\/p>\n<p>Dans ce contexte, des chercheurs ont d\u00e9sormais d\u00e9velopp\u00e9 des proc\u00e9dures qui essaient de nombreuses modifications fr\u00e9quentes d'un mot de passe de base existant et parviennent ainsi beaucoup plus rapidement \u00e0 leurs fins.<\/p>\n<h3>Assez bon ?<\/h3>\n<p>Dans de nombreuses formations \u00e0 la s\u00e9curit\u00e9, on inculque aux utilisateurs d'utiliser des mots de passe diff\u00e9rents pour des acc\u00e8s diff\u00e9rents et de s\u00e9parer ce qui est priv\u00e9 de ce qui est professionnel.<\/p>\n<p>Mais l'homme est un animal d'habitudes, la r\u00e9alit\u00e9 est diff\u00e9rente.<\/p>\n<p>Il faut partir du principe que beaucoup utilisent \u00e9galement des mots de passe identiques ou similaires pour leurs comptes priv\u00e9s. Ainsi, le piratage d'un fournisseur ou d'un prestataire tiers devient tout \u00e0 coup pertinent - surtout si les mots de passe sont d\u00e9rob\u00e9s en texte clair.<\/p>\n<p>En effet, les pirates disposent ainsi d'un seul coup d'une grande base de mots de passe de base qu'ils peuvent simplement essayer avec des modifications contre l'acc\u00e8s de l'entreprise.<\/p>\n<h3>Tout est bien qui finit bien ?<\/h3>\n<p>L'exemple des mots de passe montre que la s\u00e9curit\u00e9 n'est pas un processus technique unidimensionnel. Les d\u00e9cisions techniques ont une influence directe sur d'autres dimensions, sur les personnes et les processus.<\/p>\n<p>Une d\u00e9cision qui rend le syst\u00e8me plus s\u00fbr d'un point de vue technique peut avoir un impact massif sur d'autres dimensions, de sorte que la s\u00e9curit\u00e9 de l'ensemble du syst\u00e8me peut en souffrir.<\/p>\n<p>A-t-on vraiment besoin du mot de passe de s\u00e9curit\u00e9 maximale avec caract\u00e8res sp\u00e9ciaux pour tous les services, ou une authentification adapt\u00e9e au degr\u00e9 de confidentialit\u00e9 n'est-elle pas \u00e9galement \" ?<em>assez bon\"<\/em>?<\/p>\n<p>Ou alors, le fait de modifier le mot de passe ne s'adresse-t-il pas simplement au sympt\u00f4me ? Dans certains cas, une authentification \u00e0 deux facteurs ou biom\u00e9trique peut s'av\u00e9rer utile.<\/p>\n<p>La d\u00e9cision de prot\u00e9ger tel ou tel acc\u00e8s d\u00e9pend du personnel, des services, des processus et des possibilit\u00e9s techniques.<\/p>\n<p>Et cette d\u00e9cision doit \u00eatre prise en dernier ressort, apr\u00e8s une r\u00e9flexion et une \u00e9valuation des risques qui ne se limitent pas \u00e0 la dimension technique.<\/p>\n<p>Il n'y a pas de bonne ou de mauvaise r\u00e9ponse - les d\u00e9cisions doivent toujours \u00eatre prises dans le contexte de l'utilisation pr\u00e9vue et de la tol\u00e9rance au risque. Et cela vaut pour les mots de passe comme pour les autres techniques et processus de s\u00e9curit\u00e9 informatique.<\/p>\n<p><a href=\"https:\/\/e3mag.com\/partners\/trend-micro-deutschland-gmbh\/\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" title=\"La s\u00e9curit\u00e9 des mots de passe - un cas d\u00e9sesp\u00e9r\u00e9 ?\" class=\"aligncenter wp-image-11382 size-full\" src=\"https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/CI-TREND-MICRO.jpg\" alt=\"https:\/\/e3mag.com\/partners\/trend-micro-deutschland-gmbh\/\" width=\"1000\" height=\"112\" srcset=\"https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/CI-TREND-MICRO.jpg 1000w, https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/CI-TREND-MICRO-768x86.jpg 768w, https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/CI-TREND-MICRO-100x11.jpg 100w, https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/CI-TREND-MICRO-480x54.jpg 480w, https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/CI-TREND-MICRO-640x72.jpg 640w, https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/CI-TREND-MICRO-720x81.jpg 720w, https:\/\/e3mag.com\/wp-content\/uploads\/2017\/03\/CI-TREND-MICRO-960x108.jpg 960w\" sizes=\"auto, (max-width: 1000px) 100vw, 1000px\" \/><\/a><\/p>","protected":false},"excerpt":{"rendered":"<p>Peu de technologies de s\u00e9curit\u00e9 nous ont accompagn\u00e9s aussi longtemps que le mot de passe. Au fil des d\u00e9cennies, il y a toujours eu des optimisations, mais le principe de base est rest\u00e9 le m\u00eame.<\/p>","protected":false},"author":52,"featured_media":2451,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[21,7,704],"tags":[637,5481],"coauthors":[24313],"class_list":["post-6331","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-security","category-meinung","category-mag1610","tag-hacker","tag-komplexitaet","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",400,172,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-768x331.jpg",768,331,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-100x43.jpg",100,43,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-480x207.jpg",480,207,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-640x276.jpg",640,276,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-720x310.jpg",720,310,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-960x414.jpg",960,414,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",600,259,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",600,259,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"<p>Kaum eine Sicherheitstechnologie hat uns so lange begleitet wie das Passwort. Im Laufe der Jahrzehnte gab es immer Optimierungen, das Grundprinzip ist aber gleich geblieben.<\/p>\n","category_list_v2":"<a href=\"https:\/\/e3mag.com\/fr\/category\/meinung\/it-security\/\" rel=\"category tag\">IT-Security Kolumne<\/a>, <a href=\"https:\/\/e3mag.com\/fr\/category\/meinung\/\" rel=\"category tag\">Die Meinung der SAP-Community<\/a>, <a href=\"https:\/\/e3mag.com\/fr\/category\/mag1610\/\" rel=\"category tag\">MAG 16-10<\/a>","author_info_v2":{"name":"Raimund Genes, Trend Micro","url":"https:\/\/e3mag.com\/fr\/author\/raimund-genes\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/6331","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/users\/52"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/comments?post=6331"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/6331\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media\/2451"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media?parent=6331"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/categories?post=6331"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/tags?post=6331"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/coauthors?post=6331"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}