Vous utilisez des mots de passe plus longs ? Ce n'est pourtant pas synonyme de sécurité, selon une étude

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 28 septembre 2023 à 13h30

Quelle est la longueur idéale d’un mot de passe ? Est-ce que plus c’est long, mieux c’est ? Pas forcément, selon une nouvelle étude qui explore le lien entre la longueur des mots de passe et leur sécurité.

Si vous pensez que vos mots de passe sont sûrs parce qu'ils sont longs, détrompez-vous ! Une nouvelle étude issue de l'équipe de recherche de Specops remet en question cette idée reçue. En analysant quelque 800 millions de mots de passe qui ont été piratés, les chercheurs ont découvert que la longueur moyenne de ces derniers était inférieure à 12 caractères, et que 85 % d'entre eux avaient moins de 12 caractères.

Mais les chercheurs ont aussi constaté qu'une longueur de 8 caractères était la plus vulnérable, probablement parce qu'elle correspond à la longueur par défaut des mots de passe dans Active Directory, l'annuaire pour les systèmes Windows.

Un mot de passe « juste » long ne vous protège pas forcément plus qu'un mot de passe court

Parmi les mots de passe les plus compromis à 8 caractères, on trouve des mots courants comme « password » ou « research » et « GGGGGGGG ». Au total, Specops a identifié 212,5 millions de mots de passe possiblement hackés.

Par la suite, le nombre de mots de passe compromis diminue à mesure que sa longueur augmente. Mais pour autant, même s'ils paraissent plus sûrs, les mots de passe plus longs ne sont pas à l'abri des menaces. La longueur au sens strict du terme ne suffit plus. L'efficacité d'un mot de passe repose sur la diversité des caractères, la complexité et la régularité des changements. Le nombre de mots de passe compromis reste ainsi très important pour des codes à 14 caractères (67,7 millions), à 15 caractères (45,7 millions) et même à 16 caractères (31,1 millions).

Les séquences simples comme « GGGGGGGG » apparaissent toujours aussi régulièrement, ce qui montre que de nombreux internautes privilégient toujours et encore la simplicité à la sécurité.

À fuir d'urgence, sont ces mots de passe ! (Même Yoda vous le dit)

Mot de passe fort et long : une première base

Cette étude peut servir de leçon : un mot de passe doit être fort et complexe, pour résister aux attaques. Mais si nous remettons (un peu) en cause ici la pertinence des mots de passe plus longs, doit-on systématiquement créer des codes à rallonge ? « La réponse est claire : absolument », nous dit Specops Software.

Nous le disions, l'immense majorité des mots de passe compromis (85 %) ont moins de 12 caractères. Les chercheurs se sont aperçus qu'un mot de passe de 12 caractères comprenant des chiffres et des caractères divers, mais aussi des majuscules et minuscules, prendrait 26 500 ans à un hacker pour le pirater. Autant dire que même Michel Drucker n'y survivrait pas ! Il faut évidemment que ce mot de passe soit haché, c'est-à-dire qu'il est converti en une chaîne alphanumérique qui le rend, contrairement au chiffrement, irréversible et donc plus sécurisé.

Taquinerie mise à part, un mot de passe de 12 caractères composé de chiffres uniquement peut être craqué, lui, instantanément. Et si jamais le mot de passe long est compromis (le phishing et les autres formes d'ingénierie sociale existent toujours malheureusement), alors il n'y a rien à faire, surtout si les attaquants mettent la main sur une base de données de mots de passe provenant d'une application en ligne ou d'un site moins sûr.

À gauche, le temps qu'il faudrait à un hacker pour cracker un mot de passe haché ; à droite, celui qu'il lui faudrait pour un mot de passe compromis © Specops

Voilà pourquoi il faut aussi bien utiliser un mot de passe long, complexe, et surtout combiner votre modeste outil de défense à une double authentification, en faisant en sorte de ne réserver qu'un seul mot de passe unique par site ou application. Car aucune stratégie de mot de passe n'est encore totalement infaillible.

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Cybersécurité

Logiciels & services

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Jolan

La solidité des mots de passe dépend aussi - et je dirais presque surtout - du système qui le réclame.

Une carte bleu ne possède qu’un mot de passe à 4 chiffres et cela ne l’empêche pas d’être très solide.

Sur le système que je développe, on ne peut soumettre qu’une demande de login toutes les 2 secondes. Complètement transparent pour un utilisateur qui se serait trompé et à qui on redemanderait son authentification. Mais une armée d’ordinateur zombie ne pourrait donc soumettre que 43200 soumission par 24h. Et en réalité même pas, puisqu’au bout d’un certain nombre d’échec le compte est verrouillé pour 24h. L’attaque par force brut n’a aucune chance.
Au pire cela provoquerait un deny of service.
Je ne vais pas conseiller un mot de passe simple, mais avec des contre-mesures simples à l’autre bout de la ligne, on ne crack pas 12 chiffres instantanément.

e_garfield

« les chercheurs ont découvert que la longueur moyenne de ces derniers était inférieure à 12 caractères, et que 85 % d’entre eux avaient moins de 12 caractères. »

Ca veut pas dire quand chose ça.

« une longueur de 8 caractères était la plus vulnérable, probablement parce qu’elle correspond à la longueur par défaut des mots de passe dans Active Directory ».

Nan, pk c’est la plus courte de l’étude… et pas par défaut, mais minimum par défaut, donc la plus courte, donc la taille compte.

« Par la suite, le nombre de mots de passe compromis diminue à mesure que sa longueur augmente ».

Donc la taille compte…

« Cette étude peut servir de leçon : un mot de passe doit être fort et complexe, pour résister aux attaques »

Vraiment, on apprend qq chose alors dis donc. Si le mot de passe est « fort », alors il est plus fort qu’un faible ! Incroyable, j’ai bien fait de me lever, la complexité fait partie de la force d’un pwd.

« Voilà pourquoi il faut aussi bien utiliser un mot de passe long, complexe »

Ha bon ? Moi lisant le titre, je me dis qu’un pwd de 3 lettres c’est bien mieux.
Le titre est faux

« Vous utilisez des mots de passe plus longs ? Ce n’est pourtant pas synonyme de sécurité, selon une étude ».
Bha si, c’est écrit noir sur blanc.

Peut-être aurait-il fallu mettre.
Vous utilisez des mots de passe longs ? Encore faut-il qu’ils soient complexex.

Le contenu est a minima contradictoire avec ce titre, soit faux, ou mal expliqué.
Pourtant les 2 tableaux de la fin sont assez lisible.

frigolu

Tous les systèmes se piratent, y compris le code d’une carte bancaire (le phishing et l’ingénierie sociale, l’observation, les caméras cachées aux distributeurs tout comme les faux lecteurs introduits dans les distributeurs juste pour intercepter le code, etc…). Si l’authentification à 2 facteurs s’est généralisée, avant les passkeys, c’est parce-qu’aucune protection n’est infaillible, aucune. On tente alors d’empiler plusieurs protections pour rendre la tâche un peu plus ardue. Mais avec la puissance de calcul dans le cloud disponible aujourd’hui, trouver un mot de passe devient de moins en moins long.

Le standard Wifi moderne utilise WPA3, cassé depuis des années. Ce n’est pas le chiffrement qui est cassé, mais les failles du protocole qui sont exploitées. C’est pareil pour les voitures, il n’y a pas besoin de connaitre le code de l’antidémarrage, avec un branchement électronique on outrepasse ce besoin et faisant croire qu’on dispose de ce code.

Après avoir été hacker entre la fin des années 80 et le milieu des années 90, j’ai travaillé plusieurs années dans la cybersécurité, et il faut se rendre à l’évidence : absolument aucune « protection », même si elle semble géniale à son inventeur, n’est infaillible. Et encore moins les protections dites « propriétaires », qui n’ont donc pas été soumises à l’analyse poussée de pairs (la base des protocoles de sécurité). Sur les voitures, c’est un fléau, les ingénieurs en cybersécurité ne cessent de mettre au point de nouvelles méthodes toujours plus complexes, mais ça reste très difficile. Avec un boitier électronique d’une centaine d’euros et un complice, on peut dupliquer à peu près n’importe quelle clé de voiture utilisant une SmartKey (qui n’est qu’un transporteur RFID), à l’insu de son propriétaire. On peut aussi lui voler sa voiture de la même manière, un complice restant à proximité du propriétaire (la portée des transporteurs étant limitée) et l’autre devant la voiture, les données de la clé étant alors transmises à distance et la voiture croit que la clé est présente, sans avoir besoin de casser le moindre code. On peut alors dupliquer la clé.

Pour le web, j’ai des mots de passes complexes, les plus longs admis par les sites (jamais les mêmes trio id/mail/mdp). Le plus long fait 32 caractères. Je n’en retiens aucun, ils sont générés puis stockés par KeyPass (application open source locale). Le mot de passe de la base de données comporte 26 caractères (min/maj/caractères spéciaux), c’est le seul que j’ai à retenir. Un fichier binaire, que je suis le seul à connaitre, sert également pour chiffrer la base de données en plus de la clé. Ma base est stockée dans mon espace cloud (BackBlaze B2), pour que je puisse y accéder depuis toutes mes machines, quel que soit l’OS. Ça fait 10 ans que je fonctionne ainsi et ça fonctionne très bien.

J’ai des centaines de comptes (et emails associés), très peu ont été compromis. Ceux qui l’ont été sont les plus anciens (années 90), parce-que je n’avais pas changé les mots de passe très limités de l’époque. Par exemple mon premier compte Hotmail de 1996, toujours utilisé, a été piraté facilement à cause de la grande faiblesse des mots de passe à l’époque (9 caractères alphanumériques en minuscule, pas de caractères spéciaux). Dès 1992, j’ai adopté une attitude de sécurité stricte en ligne, mais au début des années 90, le web naissant était très loin d’avoir la sécurité comme priorité.

Il ne faut pas penser attaque par force brute avec une machine de bureau, mais avec des grappes de serveurs dans le cloud, ou des supercalculateurs. Casser des mots de passe devient alors beaucoup, beaucoup plus rapide.

L’article se mélange les pinceaux. Oui, la taille seule ne suffit pas, il faut la taille ET la complexité pour une protection maximale (mais en aucun cas infaillible).

meromictique

tu as manqué :

" doit-on systématiquement créer des codes à rallonge ? « La réponse est claire : absolument », "

NumLOCK

L’article dit le contraire du titre. Next !

odyssseus

« ’au bout d’un certain nombre d’échec le compte est verrouillé pour 24h. »

C’est un peu bêta pour la personne qui voit son compte bloqué alors qu’elle peut en avoir besoin. Elle ne peut même pas entrer le bon mot de passe.
Bloquer pour 5 mn reconductibles si re-mauvais mot de passe (ce qui est énorme pour une machine cherchant à nuire) ok, mais pas 24h. Ca n’a pas de sens.

Jice06

Les tables présenté sont sur des hash md5, ça fait une éternité que c’est obsolète !
https://md5hashing.net/hash/md5

qu’ils montrent le même tableau en sha256 qu’on sache la vérité.
Pour en savoir un peu plus, allez au chapitre5 : hashing

Jolan

Certes mais en cas de phishing, d’ingénérie sociale etc… Ce n’est plus la complexité du mot de passe qui entre en ligne de compte. La complexité du mot de passe est là pour s’opposer à la force brut. Maintenant s’il est en clair sur un post-it sous l’écran, il peut bien faire 64 caractères, cela ne changera rien. C’est certain.

J’ai bien parlé d’armée d’ordinateurs zombie.
Mais si tu limite le nombre de tentative sur le compte pour une période donnée, que l’attaquant soit un vieux PC ou une grappe de super calculateurs ne changera rien à l’affaire.

Les utilisateurs sont mal éduqué. Il faut en tenir compte dans la conception des systèmes.

Jolan

C’est arrivé 1 fois en 10 ans.
Quand tu insiste encore et encore et encore et encore et encore (20 fois) avec le même mot de passe, sans passer par le système de récupération, c’est que tu as un important problème.

Et pour info, la personne a contacté le support par téléphone et on a débloqué le compte en quelques minutes.

Jpp59

@jice06 , Exact, meme sha256 a lui tout seul n’est plus utilisé, on fait des 100aine de milliers de passe a la suite (pkdf2 par exemple).