Quelle est la longueur idéale d’un mot de passe ? Est-ce que plus c’est long, mieux c’est ? Pas forcément, selon une nouvelle étude qui explore le lien entre la longueur des mots de passe et leur sécurité.
La solidité des mots de passe dépend aussi - et je dirais presque surtout - du système qui le réclame.
Une carte bleu ne possède qu’un mot de passe à 4 chiffres et cela ne l’empêche pas d’être très solide.
Sur le système que je développe, on ne peut soumettre qu’une demande de login toutes les 2 secondes. Complètement transparent pour un utilisateur qui se serait trompé et à qui on redemanderait son authentification. Mais une armée d’ordinateur zombie ne pourrait donc soumettre que 43200 soumission par 24h. Et en réalité même pas, puisqu’au bout d’un certain nombre d’échec le compte est verrouillé pour 24h. L’attaque par force brut n’a aucune chance.
Au pire cela provoquerait un deny of service.
Je ne vais pas conseiller un mot de passe simple, mais avec des contre-mesures simples à l’autre bout de la ligne, on ne crack pas 12 chiffres instantanément.
11 « J'aime »
« les chercheurs ont découvert que la longueur moyenne de ces derniers était inférieure à 12 caractères, et que 85 % d’entre eux avaient moins de 12 caractères. »
Ca veut pas dire quand chose ça.
« une longueur de 8 caractères était la plus vulnérable, probablement parce qu’elle correspond à la longueur par défaut des mots de passe dans Active Directory ».
Nan, pk c’est la plus courte de l’étude… et pas par défaut, mais minimum par défaut, donc la plus courte, donc la taille compte.
« Par la suite, le nombre de mots de passe compromis diminue à mesure que sa longueur augmente ».
Donc la taille compte…
« Cette étude peut servir de leçon : un mot de passe doit être fort et complexe, pour résister aux attaques »
Vraiment, on apprend qq chose alors dis donc. Si le mot de passe est « fort », alors il est plus fort qu’un faible ! Incroyable, j’ai bien fait de me lever, la complexité fait partie de la force d’un pwd.
« Voilà pourquoi il faut aussi bien utiliser un mot de passe long, complexe »
Ha bon ? Moi lisant le titre, je me dis qu’un pwd de 3 lettres c’est bien mieux.
Le titre est faux
« Vous utilisez des mots de passe plus longs ? Ce n’est pourtant pas synonyme de sécurité, selon une étude ».
Bha si, c’est écrit noir sur blanc.
Peut-être aurait-il fallu mettre.
Vous utilisez des mots de passe longs ? Encore faut-il qu’ils soient complexex.
Le contenu est a minima contradictoire avec ce titre, soit faux, ou mal expliqué.
Pourtant les 2 tableaux de la fin sont assez lisible.
10 « J'aime »
Tous les systèmes se piratent, y compris le code d’une carte bancaire (le phishing et l’ingénierie sociale, l’observation, les caméras cachées aux distributeurs tout comme les faux lecteurs introduits dans les distributeurs juste pour intercepter le code, etc…). Si l’authentification à 2 facteurs s’est généralisée, avant les passkeys, c’est parce-qu’aucune protection n’est infaillible, aucune. On tente alors d’empiler plusieurs protections pour rendre la tâche un peu plus ardue. Mais avec la puissance de calcul dans le cloud disponible aujourd’hui, trouver un mot de passe devient de moins en moins long.
Le standard Wifi moderne utilise WPA3, cassé depuis des années. Ce n’est pas le chiffrement qui est cassé, mais les failles du protocole qui sont exploitées. C’est pareil pour les voitures, il n’y a pas besoin de connaitre le code de l’antidémarrage, avec un branchement électronique on outrepasse ce besoin et faisant croire qu’on dispose de ce code.
Après avoir été hacker entre la fin des années 80 et le milieu des années 90, j’ai travaillé plusieurs années dans la cybersécurité, et il faut se rendre à l’évidence : absolument aucune « protection », même si elle semble géniale à son inventeur, n’est infaillible. Et encore moins les protections dites « propriétaires », qui n’ont donc pas été soumises à l’analyse poussée de pairs (la base des protocoles de sécurité). Sur les voitures, c’est un fléau, les ingénieurs en cybersécurité ne cessent de mettre au point de nouvelles méthodes toujours plus complexes, mais ça reste très difficile. Avec un boitier électronique d’une centaine d’euros et un complice, on peut dupliquer à peu près n’importe quelle clé de voiture utilisant une SmartKey (qui n’est qu’un transporteur RFID), à l’insu de son propriétaire. On peut aussi lui voler sa voiture de la même manière, un complice restant à proximité du propriétaire (la portée des transporteurs étant limitée) et l’autre devant la voiture, les données de la clé étant alors transmises à distance et la voiture croit que la clé est présente, sans avoir besoin de casser le moindre code. On peut alors dupliquer la clé.
Pour le web, j’ai des mots de passes complexes, les plus longs admis par les sites (jamais les mêmes trio id/mail/mdp). Le plus long fait 32 caractères. Je n’en retiens aucun, ils sont générés puis stockés par KeyPass (application open source locale). Le mot de passe de la base de données comporte 26 caractères (min/maj/caractères spéciaux), c’est le seul que j’ai à retenir. Un fichier binaire, que je suis le seul à connaitre, sert également pour chiffrer la base de données en plus de la clé. Ma base est stockée dans mon espace cloud (BackBlaze B2), pour que je puisse y accéder depuis toutes mes machines, quel que soit l’OS. Ça fait 10 ans que je fonctionne ainsi et ça fonctionne très bien.
J’ai des centaines de comptes (et emails associés), très peu ont été compromis. Ceux qui l’ont été sont les plus anciens (années 90), parce-que je n’avais pas changé les mots de passe très limités de l’époque. Par exemple mon premier compte Hotmail de 1996, toujours utilisé, a été piraté facilement à cause de la grande faiblesse des mots de passe à l’époque (9 caractères alphanumériques en minuscule, pas de caractères spéciaux). Dès 1992, j’ai adopté une attitude de sécurité stricte en ligne, mais au début des années 90, le web naissant était très loin d’avoir la sécurité comme priorité.
Il ne faut pas penser attaque par force brute avec une machine de bureau, mais avec des grappes de serveurs dans le cloud, ou des supercalculateurs. Casser des mots de passe devient alors beaucoup, beaucoup plus rapide.
L’article se mélange les pinceaux. Oui, la taille seule ne suffit pas, il faut la taille ET la complexité pour une protection maximale (mais en aucun cas infaillible).
3 « J'aime »
tu as manqué :
" doit-on systématiquement créer des codes à rallonge ? « La réponse est claire : absolument », "
2 « J'aime »
L’article dit le contraire du titre. Next !
2 « J'aime »
« ’au bout d’un certain nombre d’échec le compte est verrouillé pour 24h. »
C’est un peu bêta pour la personne qui voit son compte bloqué alors qu’elle peut en avoir besoin. Elle ne peut même pas entrer le bon mot de passe.
Bloquer pour 5 mn reconductibles si re-mauvais mot de passe (ce qui est énorme pour une machine cherchant à nuire) ok, mais pas 24h. Ca n’a pas de sens.
Les tables présenté sont sur des hash md5, ça fait une éternité que c’est obsolète !
https://md5hashing.net/hash/md5
qu’ils montrent le même tableau en sha256 qu’on sache la vérité.
Pour en savoir un peu plus, allez au chapitre5 : hashing
Certes mais en cas de phishing, d’ingénérie sociale etc… Ce n’est plus la complexité du mot de passe qui entre en ligne de compte. La complexité du mot de passe est là pour s’opposer à la force brut. Maintenant s’il est en clair sur un post-it sous l’écran, il peut bien faire 64 caractères, cela ne changera rien. C’est certain.
J’ai bien parlé d’armée d’ordinateurs zombie.
Mais si tu limite le nombre de tentative sur le compte pour une période donnée, que l’attaquant soit un vieux PC ou une grappe de super calculateurs ne changera rien à l’affaire.
Les utilisateurs sont mal éduqué. Il faut en tenir compte dans la conception des systèmes.
C’est arrivé 1 fois en 10 ans.
Quand tu insiste encore et encore et encore et encore et encore (20 fois) avec le même mot de passe, sans passer par le système de récupération, c’est que tu as un important problème.
Et pour info, la personne a contacté le support par téléphone et on a débloqué le compte en quelques minutes.
@jice06 , Exact, meme sha256 a lui tout seul n’est plus utilisé, on fait des 100aine de milliers de passe a la suite (pkdf2 par exemple).
1 « J'aime »
Le PB est surtout les leak des bdd. Tu n’es pas a l’abri d’une exfiltration malveillante ou intrusion.
1 « J'aime »
Non, l’article ne dit pas tout et son contraire. On l’a peut-être pas suffisamment bien expliqué, et mea culpa pour ça, mais concrètement, il y a deux enseignements à retenir :
- Mot de passe long, oui c’est la reco’, mais elle ne prend sa pleine efficacité qu’avec les bonnes recommandations, relayées dans l’article.
- Un mot de passe béton même compromis, ne vaut plus grand chose. C’est une vérité.
- Et excusez-moi, mais je n’enfonce pas une porte ouverte en disant que la meilleure sécurité n’est pas infaillible, hein.
Pour ceux qui évoquent le passwordless, on en a déjà parlé sur Clubic, et bien entendu que c’est une solution. Mais ce n’était pas le sujet ici…
Ensuite, pour expliquer les autres subtilités sur les MDP, il faudrait des heures, et ce n’est pas sur un même article que vous trouverez les réponses.
Il y a du bon dans ce que vous dites dans les commentaires, mais on a essayé de retranscrire au mieux ce qui était expliqué par Specops
En revanche, nous creuserons un peu le sujet pour en constituer de futurs papiers/dossiers plus détaillés prochainement. Mais comme souvent, les papiers fournis, reportages, dossiers et avis d’experts ne seront, eux, pas commentés par autant de monde ni avec autant de véhémence dans le texte de votre part, et c’est ce qui est toujours dommage sur le forum de discussion 
La critique à géométrie variable
Évidemment que le titre est trompeur. En le lisant j’ai failli envoyer l’article à mes contacts experts en sécu. Heureusement que j’ai d’abord lu le contenu et que je me suis abstenu.
Tout le monde sait que le mot de passe n’est pas la panacée, mais ce n’est pas ça que le titre remet en cause. Il remet en cause la longueur comme facteur d’importance pour la sécurité. Quant à savoir si c’est la longueur ou la complexité qui est le plus important, là dessus le titre semble apporter une réponse, le contenu démontre qu’il n’en est rien.
Bref, le feu ça brûle, l’eau ça mouille, un secret dit à tout le monde c’est plus un secret, et les commentaires clubic ne critiquent que les articles clubic, comme par hasard.
Oui en fait c’est ça dont on parle dans le temps pour retrouver ton mot de passe en force brute.
On a le hash, et en combien de temps il faut pour trouver le mot de passe originel.
Et une fois qu’ils ont le couple email / mot de passe, ils l’essayent sur le site leak, et plein d’autres sites (le gmail, les réseaux etc…) pour pirater tes données.
La solution la plus sécuritaire, quelle que soit la taille des mdp, est de ne jamais utiliser le même mot de passe pour tous les sites, donc soit tu génère Keypass etc…
Soit tu trouve une règle d’après l’url ou le nom du site qui modifierait ton mot de passe.
Car si on met le même mot de passe long partout, une fois qu’il est grillé, les hackers te pillent tous tes comptes…