Un groupe de chercheurs du CyLab, le laboratoire de sécurité et de confidentialité de l'Université Carnegie Mellon, a présenté une étude avec laquelle ils affirment avoir développé une politique pour créer des mots de passe plus faciles à mémoriser et plus sûrs, une politique soutenue par la science.
Après plus d'une décennie d'étude du problème, ils affirment que cette méthode maintient l'équilibre idéal entre sécurité et convivialité : « Oubliez toutes les règles concernant les lettres majuscules et minuscules, les chiffres et les symboles ; votre mot de passe n'a besoin que d'au moins 12 caractères et doit passer un test de résistance en temps réel développé par des chercheurs. »
Le peu d'utilité d'ajouter des symboles, des caractères spéciaux et des chiffres simplement parce que
Selon les données recueillies au cours de la recherche, l'ajout de lettres majuscules, de symboles, de chiffres et de caractères spéciaux n'augmente pas autant la sécurité des mots de passe que d'autres exigences, et tend également à avoir un impact négatif sur la convivialité des mots de passe.
En fait, une conclusion similaire a été tirée il y a quelques années par Bill Burr, la même personne qui avait initialement recommandé d’utiliser des caractères spéciaux et de changer constamment les mots de passe. « C'est complètement inutile », a-t-il déclaré. Désormais, pour Burr, la chose la plus importante dans un mot de passe fort est la longueur.
Les scientifiques du CyLab ont passé des années et beaucoup plus de travail à essayer de le prouver. Pour ce faire, ils ont développé en 2016 un « indicateur de force de mot de passe » alimenté par un réseau neuronal artificiel suffisamment petit pour s'intégrer dans un navigateur Web.
Le compteur fait des choses comme une fois que vous avez créé un mot de passe avec au moins 10 caractères, il commence à vous donner des suggestions pour le rendre plus fort afin d'atteindre une « force minimale », soit en ajoutant des caractères supplémentaires, soit en décomposant les mots courants.
Avec ce compteur, les chercheurs ont commencé à réaliser des expériences évaluant des combinaisons de différentes politiques de création de mots de passe. Dans ces expériences, il a été demandé aux participants de créer et de mémoriser des mots de passe avec des politiques assignées de manière aléatoire, comme exiger un nombre minimum de caractères, forcer l'utilisation de caractères spéciaux, bloquer l'utilisation de mots de passe non sécurisés (type 123456 soit QWERTY), etc.
La longueur minimale idéale est de 12 caractères
Les premiers participants ont dû se mettre à la place de quelqu'un qui venait d'apprendre que son fournisseur de messagerie avait subi une violation de données et devait immédiatement changer son mot de passe. Quelques jours plus tard, il leur a été demandé de mémoriser leur mot de passe afin de mesurer la convivialité de la politique de mot de passe à laquelle ils étaient soumis.
Les chercheurs ont constaté qu'une politique exigeant à la fois une force minimale (déterminée par son mètre) et une longueur minimale de 12 caractères établissait un bon équilibre entre sécurité et convivialité.
Il est moins ennuyeux pour un utilisateur de saisir un mot de passe plus long au lieu d'un mot de passe comportant davantage de caractères spéciaux, et il s'avère également plus sécurisé.
Fondamentalement, leur étude a révélé que les politiques de sécurité minimale des mots de passe peuvent protéger contre les attaques en ligne en obligeant l'utilisateur à saisir davantage de types de caractères ou à saisir des mots de passe plus longs. Cependant, l'augmentation de la limite minimale de mot de passe permet d'obtenir une plus grande sécurité à un moindre coût en termes de convivialité, en particulier en ce qui concerne le temps nécessaire à l'utilisateur pour créer un mot de passe qui répond aux exigences et à quel point il est ennuyeux.
Une politique de sécurité utile en combinaison avec cela consiste pour les services à utiliser des listes noires de mots de passe non sécurisés afin que l'utilisateur ne puisse pas les utiliser. Les chercheurs recommandent que ces listes vérifient que l'utilisateur n'utilise pas de mots de passe fréquemment divulgués.
Le monde numérique recherche la sécurité des mots de passe depuis des années et des années, mais même les mesures les plus élémentaires ne parviennent toujours pas à convaincre le grand public. Il n’est donc pas surprenant qu’à maintes reprises, les mots de passe les plus utilisés restent les mêmes, terribles, comme « 123456 ».
Lorsqu'une entreprise ou une organisation ne met pas en œuvre des politiques de sécurité, même minimales, comme empêcher l'utilisateur d'utiliser un « mot de passe » comme mot de passe, nous ne pouvons pas blâmer l'utilisateur seul.
Cette recherche suggère qu'exiger un mot de passe d'au moins 12 caractères augmente considérablement la sécurité et propose un outil qui peut être implémenté dans les navigateurs pour guider l'utilisateur dans la création d'un mot de passe plus sécurisé, au lieu d'offrir le feu de signalisation traditionnel qui vous indique uniquement « faible, fort, très fort ».
Images | Marcos Merino grâce à l'IA
