L'étude menée par un spécialiste suédois de l'authentification tend à montrer que la conformité des mots de passe aux recommandations des autorités cyber demeure insuffisante pour échapper à la compromission.
Le fournisseur suédois de solutions de gestion de mots de passe et d'authentification Specops Software vient de publier une étude. Celle-ci porte sur l'analyse de mots de passe qui ont été compromis et qui, pourtant, correspondaient aux normes réglementaires de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et de ses homologues européens. Près de 53 % d'entre eux étaient conformes aux recommandations.
Les recommandations de conformité ne suffisent pas toujours
« La complexité et les recommandations d'organisations officielles peuvent aider à renforcer son mot de passe », reconnaît le spécialiste cyber de Specops Software, Darren James. Il tempère toutefois cette affirmation théorique en affirmant que « cela ne protégera pas votre réseau si ce dernier figure sur la liste des mots de passe compromis que possède un pirate. »
Pour éviter les risques de compromission et de piratage de ses mots de passe, l'ANSSI prodigue plusieurs recommandations spécifiques. Il est ainsi vivement conseillé d'adopter un mot de passe :
- Qui comporte au moins 1 majuscule ou minuscule ou chiffre ou symbole ;
- Qui ne contient aucun caractère consécutif (du type « 123 » ou « abc ») ;
- Qui ne présente pas de mots répétitifs (comme « aaaa ») ;
- Qui ne comporte pas de modèles de mots-clés (les fameux « azerty » et autres) ;
- Qui fait état d'une longueur minimale à 9, 12 et 15 caractères pour les trois niveaux.
Une autre recommandation consiste à comparer votre mot de passe, au moment où vous êtes en train de le créer, avec une liste de mots de passe communs ou connus pour être compromis.
Les pirates maîtrisent les codes du mot de passe entre la conformité et la facilité
Sur les 800 millions de mots de passe compromis analysés par Specops, 52,95 % très exactement répondaient aux différentes recommandations que nous venons de lister. Et pourtant, bon nombre d'entre eux se retrouvent sur les listes des mots de passe compromis d'un pirate. Avec le temps, les hackers ont en effet constitué une liste de plus de 2 milliards de mots de passe compromis qui respectent bien les recommandations des différentes autorités cyber du monde, mais qui sont peu originaux et se retrouvent sur la liste des mots de passe les plus communs. Prenons quelques exemples.
La plus banale des illustrations reste le mot de passe « password1 », qui suit toutes les recommandations ou presque : un chiffre en plus des lettres, pas de caractère consécutif, une longueur minimale. Mais écrire « password » suivi d'un « 1 » pour un mot de passe n'a rien de sécurisé ni d'original. Cet exemple est volontairement grossier.
Mais étendons-le à des mots de passe qui respectent la quasi-totalité, si ce n'est toutes les recommandations des autorités :
- yuantuo2012
- 1q2w3e4r5t
- startfinding
- 111222tianya
- malcolm01
- magvai87magvai87
- 21pink657
Tous ces mots de passe, s'ils vous paraissent peu originaux, sont pourtant conformes à presque toutes les recommandations. Certes, les initiés ont acquis les bons réflexes, en utilisant des gestionnaires de mots de passe, des phrases de passe ou des mots de passe qui ne dépendent que du hasard, et non de ce que le pirate connaît ou peut deviner. Néanmoins, une bonne partie du grand public doit encore être convaincue de l'intérêt de rendre plus complexe ce qui demeure le moyen d'authentification le plus utilisé.
Source : communiqué de presse Specops