Mot de passe, leur complexité n’augmente pas la sécurité selon Bill Burr

Bill Burr à l’origine de « recommandations » autour des mots de passe fait machine arrière. Quatorze après avoir préconisé l’usage de multiples caractères pour augmenter leur complexité, il fait machine arrière en avouant avoir fait une erreur.

Le mot de passe est une technique très répandue pour sécuriser des données informatiques. Il est un moyen d’authentification pour prouver son identité. Ceci peut concerner l’accès à des ressource ou à un service dont l’accès est limité et protégé.

Mot de passe, complexité et nécessite de la mettre à jour régulièrement

Depuis plus d’une décennie, l’usage veut que sa construction s’appuie sur la complexité. Cela va d’un mélange de minuscules et majuscule en passant par des caractères spéciaux ou encore des chiffres. Par le passé, Bill Burr avait préconisé cette technique en argumentant que la complexité permettait d’augmenter la difficulté de les pirater. Dans une récente interview accordée au Wall Street Journal, l’homme fait machine arrière.

En 2003, cet ancien employé du National Institute of Standards and Technology, l’agence gouvernementale en charge de l’édiction des normes dans les technologies (NIST) avait suggérait de recourir à des mots de passe complexes. Sa liste de préconisations pour protéger des comptes en ligne est devenue avec le temps une sorte de référence.

Bill Burr explique

«Je regrette la plupart des choses que j’ai faites […] Tout cela était probablement trop compliqué à comprendre pour le plus grand nombre et, à vrai dire, ce n’était pas forcément pertinent.»

La recommandation de complexité n’a en réalité aucun impact. L’expérience montre qu’un mot de passe complexe, au point de ne pas pouvoir le retenir, ne serait pas plus sûr qu’un simple phare. Pourquoi ?  La raison est simple, cette standardisation de leur construction a créé d’elle-même une mécanique d’élaboration récurrente. Un exemple ? Beaucoup d’utilisateur mettent une majuscule au début ou un chiffre à la fin. Ce constat est désormais intégré dans les logiciels de piratage.

En parallèle à la complexité, cette liste de recommandation fait aussi mention d’une mise à jour régulièrement afin de mettre des bâtons dans les roues des pirates.  Là encore la réalité n’est malheureusement pas en accord avec le but recherché. L’expérience montre qu’une telle démarche dans une entreprise est à l’origine que de peu de changements au final. A des fins de mémorisation, l’utilisateur a tendance à ne faire évoluer son mot de passe que de manière légère si bien que le but recherché n’est pas atteint. Le mot de passe reste facile à retenir mais aussi facile à deviner par un logiciel pirate.

Mot de passe, les nouvelles recommandations

Désormais, un mot de passe jugé pertinent doit s’appuyer sur de longues phrases, faciles à retenir, et non un mélange de chiffres, de lettres, de caractères spéciaux ou encore de majuscules et minuscules. De con coté son renouvellement n’est recommandé qu’en cas de pirate ou de soupçon de piratage.

En janvier 2017, L’Autorité française de contrôle en matière de protection des données personnelles a mis en ligne des conseils en matière de mot de passe. Il s’agit de recommandations pour les professionnels mais les règles décrites s’appliquent aussi pour le grand public. Voici ce qu’il faut retenir lors du choix de votre mot de passe.

Enfin une récente étupde de Keeper Security révèle que le mot de passe le plus utilisé sur Internet est la suite de chiffre « 123456 ». D’une simplicité déconcertante, il est sans doute la protection la plus simple à pirater. Pas moins de 17% des utilisateurs devant définir un mot de passe l’exploite.  En deuxième position nous retrouvons « 123456789 » puis « qwerty« , « 12345678 » et enfin « 111111« . La liste comporte ensuite des variantes (123123, 123321…) ou encore des choix comme « password », « google » ou « 987654321 » et « 666666 ».