Piratage de mots de passe : le mieux est (parfois) l’ennemi du bien

Ça fait 15 ans que l’on s’arrache les cheveux sur votre ordinateur pour trouver un mot de passe valable, qui checke tous les critères exigés et même au-delà. Il ne doit être ni trop court ni trop long, doit comporter des majuscules, des minuscules, des chiffres, des symboles… Est-on bien sûrs que tout ça soit nécessaire ?

Mais au fait, qui décrète les règles du jeu des mots de passe ?

Il y a 15 ans, Bill Burr, du National Institute of Standards and Technology (NIST) a publié un rapport compilant ses recommandations pour créer un mot de passe le plus sûr possible.

De là est née la psychose de la créativité quand il s’agit de se créer un profil… Et l’angoisse, crispé sur son smartphone quand il s’agit de s’en rappeler exactement 2 ans, 2 mois, 2 jours ou 2 heures après.

Des millions de personnes traumatisées et totalement parano plus tard, le même Bill Burr a confié ses regrets au Wall Street Journal à propos de la pertinence de ses conseils. Oui Bill, il aurait fallu tourner sept fois sa langue dans ta bouche avant de balancer ce genre de pavé dans la mare.

Pourquoi toutes nos parades ne suffisent-elles pas ?

Parce qu’on se croit malin alors que le hacker a toujours une longueur d’avance sur nous (vous croyez pouvoir doubler Néo de Matrix, vous ?).

Tout d’abord, petit exercice d’honnêteté, on n’est jamais aussi créatif qu’on le dit pour les mots de passe.

On part souvent d’un mot familier = choupette, le petit chat tigré qu’on avait à 7 ans
Que l’on pimpe vaguement avec des majuscules = ChouPette
Et des chiffres = ChouPette91 (mon année de naissance, ça personne le trouvera jamais) (…oh wait !)
– Et si on est en forme, un caractère spécial-mais-pas-trop-dont-on-se-souviendra-et-qu-l’on-sait-taper-sur-le-clavier = ChouP€tte91

Mouais… Pas super original finalement ?

D’autant que depuis le temps, Néo et ses collègues ont pu s’entraîner, fouiller et éplucher des bases de données de mots de passe de tous horizons, histoire de comprendre et d’analyser les comportements récurrents des internautes de base pour affiner leurs algorithmes.

En effet, pas besoin de demander aux Experts à Miami pour déterminer des habitudes chez des groupes de personnes similaires.

Mais alors, demain, tous hackés ?

Respirez par le nez, votre compte Myspace et votre Skyblog ne sont potentiellement pas si exposés que ça (en revanche, si vous vous reconnaissez ici, vous êtes resté bloqué en 1999 et il est temps d’agir).

Désormais, L’Agence nationale de la sécurité des systèmes d’information recommande plutôt de miser sur une suite de mots sans lien ou une phrase (plus facile à mémoriser du coup).

Vous pouvez de ce fait, réactualiser votre mot de passe avec des idées fraîches :
« ChoupetteLePetitChatTigréDeQuandJavais7ans » (option nostalgie)
« ChoupetteTropMimiBouleDePoilsDAmour » (option cœur avec les doigts)
« ChoupetteTtrobeljtekiffXtraPlubocha2lavil » (option Jul)

Previous Post Next Post

You Might Also Like

No Comments

Leave a Reply