IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Pourquoi les outils d'analyse de mot de passe sont inefficaces face aux comportements humains ?
Par Patrick Tilley, Product Security Engineer, chez Pathwire

Le , par Patrick Tilley

375PARTAGES

10  0 

Patrick Tilley

L'année dernière, la cybercriminalité a augmenté de 600 %, profitant pleinement du développement du travail à distance. Avec la croissance constante de la numérisation, les entreprises et les consommateurs doivent prendre des précautions supplémentaires en matière de sécurité.

Un compte de message compromis est aujourd’hui pris très au sérieux, car il expose l'utilisateur final à un risque d'usurpation d'identité, de fraude au compte bancaire ou à la carte de crédit, voire pire puisque l’auteur de la menace peut se faire passer pour un utilisateur légitime et continuer à tromper d'autres victimes.

De nombreux facteurs peuvent contribuer à la compromission d'un compte, à commencer par l'une des premières choses que les gens configurent lorsqu'ils créent un compte, à savoir leur mot de passe. Si des mots de passe robustes sont essentiels à la sécurité, leur création peut sembler fastidieuse aux utilisateurs qui, par défaut, optent pour des mots de passe souvent faibles. Une mauvaise habitude qu’il va falloir s’efforcer d’éliminer.

Analyse des règles et exigences

De nombreuses organisations intègrent un compteur de force de mot de passe sur le formulaire d'ouverture de compte afin d'encourager la création de mots de passe plus robustes. Parmi les exigences ou règles les plus courantes, citons :
  • Comporter au moins huit caractères
  • Comprendre au moins une lettre majuscule
  • Inclure au moins une lettre minuscule
  • Inclure au moins un chiffre
  • Inclure au moins un caractère spécial


Malheureusement ces règles, assez standards pour les organisations aujourd'hui, ne suffisent pas à bloquer la plupart des pirates.

Les failles humaines donnent l’avantage aux hackers

Inclure l’ensemble des règles évoquées ci-dessus au sein d’un mot de passe constitue un premier pas dans la bonne direction, même si cela ne le rend pas nécessairement plus difficile à cracker. Pourquoi ? Parce que « Motdepasse1! » respecte l’ensemble des conditions mais n’est pas robuste pour autant. De manière générale, les internautes sont de mauvais générateurs aléatoires de mots de passe. Ils optent souvent pour des mots ou des phrases qui ont une signification particulière pour eux. Et le cerveau est également programmé pour utiliser des mots associés lorsqu'il est exposé à un environnement spécifique.

Security Boulevard a analysé les 250 meilleurs mots de passe trouvés sur le Dark Web. Il ressort de cette analyse que les catégories d'informations les plus utilisées pour générer de mauvais mots de passe en 2020 étaient les noms, les sports, la nourriture, les lieux, les animaux et les personnes/personnages célèbres. La plupart des mots de passe proviennent de ces groupes : 59 % des américains utilisent ainsi le nom d'une personne ou l'anniversaire d'un proche de la famille dans leurs mots de passe, 33 % incluent le nom d'un animal de compagnie et 22 % utilisent leur propre nom. En outre, un internaute réutilise en moyenne 14 fois son mauvais mot de passe.

Dépasser les règles et la nature humaine

Dans cette optique, comment juger la force du mot de passe créé par un utilisateur ? Pour commencer, l'un des moyens les plus efficaces consiste à les comparer à une base de données d'informations d'identification exposées et hachées.

L'une des plus connues est haveibeenpwned.com. Les organisations peuvent se connecter au site web et voir si le mot de passe qu'une personne essaie d'utiliser a été exposé. Si tel est le cas, l'utilisateur ne devrait pas être en mesure de poursuivre le processus. Un autre avantage est d'encourager l'utilisateur à changer ce mot de passe en particulier s'il l'utilise à d'autres fins.

En outre, les entreprises devraient également signaler les mots de passe qui comportent moins de 10 caractères ou qui comportent toute information fournie précédemment dans le formulaire d'inscription, comme le nom de l’utilisateur, le nom de la société, le nom de domaine, etc.

Vérifier la prévisibilité d’un mot de passe

Il peut arriver néanmoins qu'un mot de passe ne figure pas dans la liste des hachages de mots de passe exposés ou qu'il réponde à d'autres exigences. Heureusement, il existe des mesures supplémentaires que les entreprises peuvent prendre dans ce cas, à commencer par calculer son entropie pour mesurer sa robustesse. L’entropie permet d’estimer à quel point un mot de passe est prévisible en fonction de sa longueur et des caractères utilisés pour le composer.

Si l’on se penche sur les mots de passe faibles qui n'ont pas encore fait l'objet d'une fuite ou d'un craquage, le recours à l'entropie permet de transmettre un message à l'utilisateur par le biais d'un compteur de force de mot de passe et lui montrer qu'il devrait opter pour quelque chose de plus sécurisé.

Mesurer la force d'un mot de passe en se basant uniquement sur son entropie serait cependant une erreur. Prenons l'exemple de « Motdepasse1! ». Ce mot de passe est malheureusement assez courant et peut être facilement deviné. Un outil d’analyse des mots de passe, ou « password meter », avec des exigences minimales de longueur de caractères, comme nous l'avons vu, est dans ce cas imparfait. Le mot de passe choisi en exemple serait en effet qualifié de « très fort », alors qu’en l’état, il apparait plus de 400 fois sur haveibeenpwned.com.

Prenons un autre exemple avec un mot de passe composé de cinq mots choisis au hasard, sans majuscules, sans symboles spéciaux, sans chiffres, et dont la longueur de chaque mot varie.

Pour cet exemple, nous utiliserons les mots « chien », « pot », « genou », « caillou » et « chou ». En termes d’entropie, ce mot de passe n’utilise que des petits caractères et sera estimé comme « faible » au regard de sa complexité. Pourtant, il n’a pas été volé, si l’on se fie aux réponses de la base haveibeenpwned.com.

Si l'on tient compte du nombre de permutations et de combinaisons dont disposent les utilisateurs lorsqu'ils choisissent cinq mots au hasard parmi les mots de trois, quatre et cinq lettres par exemple, le mot de passe peut s’avérer très complexe.

L’indication fournie par haveibeenpwned n’est pas une garantie : ce n'est pas parce qu'il n'a pas été volé qu'il doit nécessairement être la norme en matière de mots de passe. Mais il est certain qu’il plus facile à mémoriser par les humains, tout en étant plus difficile à craquer pour les ordinateurs.

Pourquoi ne pas faire confiance au Password Meters

Nous avons pu voir que les exigences communes en matière de mot de passe ne fonctionnent pas bien et que l'entropie est imparfaite. Comment les ingénieurs peuvent-ils aider les utilisateurs finaux à se protéger ?

Les entreprises devraient envisager un compteur de force de mot de passe capable d’aller au-delà de la nature humaine. En plus de fournir un retour d'information sur le mot de passe lui-même, il pourrait suggérer la mise en place d'une authentification multifactorielle et faire ainsi passer le message que des mesures de sécurité supplémentaires renforcent la protection.

Les ingénieurs doivent également tenir compte du fait que la plupart des compteurs sont défectueux en raison du renforcement positif. Dès qu'une personne remplit les conditions requises, elle reçoit des félicitations sur la qualité de son mot de passe et se voir signifier qu'elle n'a rien d'autre à faire. En d'autres termes, elle s’imagine donc que son mot de passe ne sera jamais compromis et qu’elle n’a aucune raison de s’inquiéter.

Ce que les organisations devraient s'efforcer de faire, c'est de challenger les utilisateurs finaux sur le choix de leur mot de passe la plupart du temps – et se montrer indifférentes le reste du temps. Aujourd'hui, le mot de passe ne constitue pas une porte infranchissable pour les hackers. Les entreprises doivent encourager les mesures de sécurité supplémentaires.

Aux développeurs qui se posent la question, je ne recommanderai pas la mise en place d’un indicateur de force des mots de passe, même si dans l'ensemble, il est difficile de créer un bon indicateur et que le risque existe de voir les utilisateurs créer des mots de passe plus faibles sans ces compteurs. Je pense que l'utilisation de ressources comme haveibeenpwned.com pour vérifier les mots de passe exposés est beaucoup plus robuste que l'invention et l'utilisation d'algorithmes de vérification de la force.

L'utilisation d'un gestionnaire de mots de passe capable de générer des mots de passe à partir d'un ensemble suffisamment large de caractères pour atteindre le niveau d'entropie souhaité est l'une des meilleures options actuelles pour créer des mots de passe forts et uniques.

Et même dans ces conditions, les utilisateurs doivent envisager d'utiliser toutes les autres options de sécurité disponibles, telles que les connexions sans mot de passe, les clés de sécurité, les applications d'authentification ou toute autre méthode d'authentification multifactorielle disponible, au-delà de l'utilisation d'un simple mot de passe, afin de se protéger efficacement face aux cyber menaces.

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Les conseils pour protéger son identité numérique dans le nouveau méta-univers, par Kaspersky

La sécurité dans le cloud est également l'affaire des utilisateurs, par Edouard Camoin, VP Résilience chez 3DS OUTSCALE et Matthieu Bonenfant, Chief Marketing Officer chez Stormshield

Cybersécurité : 66 statistiques sur les mots de passe qui vont changer vos habitudes en ligne, par Panda Security

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de AoCannaille
Expert confirmé https://www.developpez.com
Le 18/01/2022 à 13:51
Citation Envoyé par Fagus Voir le message
* S'il y a une politique de renouvellement, ça devient plus complexe pour éviter d'avoir une itération du même pass (genre toto2022 juste après toto2021 ) vu qu'on est pas sensé stocker autrement qu'en hash. Mais on peut aussi muter le nouveau pass caractère par caractère et voir si on tombe pas sur le hash de l'ancien pass... (ou trouver quelqu'un qui sait calculer la distance de Levenshtein en chiffrement homomorphe, si ça existe...)
Une technique plus simple existe : On demande à entrer l'ancien mot de passe avant le nouveau. On a donc l'ancien mot de passe en clair, qu'on peut comparer au hash stocké évidement, mais également au nouveau mot de passe pour constater ou pas des ressemblances.
1  0 
Avatar de Fagus
Membre expert https://www.developpez.com
Le 17/01/2022 à 18:13
* ça coûte plus cher en CPU, mais on peut aussi tester le mot de passe contre un gros dictionnaire de mots de passe (après avoir nettoyé les caractère non-alphabétiques). ça éliminera à peu près tous les pass bidon.

* S'il y a une politique de renouvellement, ça devient plus complexe pour éviter d'avoir une itération du même pass (genre toto2022 juste après toto2021 ) vu qu'on est pas sensé stocker autrement qu'en hash. Mais on peut aussi muter le nouveau pass caractère par caractère et voir si on tombe pas sur le hash de l'ancien pass... (ou trouver quelqu'un qui sait calculer la distance de Levenshtein en chiffrement homomorphe, si ça existe...)
0  0 
Avatar de A3gisS3c
Membre éprouvé https://www.developpez.com
Le 19/01/2022 à 10:54
Citation Envoyé par AoCannaille Voir le message
Une technique plus simple existe : On demande à entrer l'ancien mot de passe avant le nouveau. On a donc l'ancien mot de passe en clair, qu'on peut comparer au hash stocké évidement, mais également au nouveau mot de passe pour constater ou pas des ressemblances.
Et quand l'historique de mot de passe est configuré pour retenir 24 mots de passes?
0  0 
Avatar de AoCannaille
Expert confirmé https://www.developpez.com
Le 19/01/2022 à 11:43
Citation Envoyé par tabouret Voir le message
Et quand l'historique de mot de passe est configuré pour retenir 24 mots de passes?
Ah, là effectivement, soit il y a mauvaise pratique, soit il y a puissance de calcul ^^
0  0 
Avatar de A3gisS3c
Membre éprouvé https://www.developpez.com
Le 19/01/2022 à 13:11
Citation Envoyé par AoCannaille Voir le message
Ah, là effectivement, soit il y a mauvaise pratique, soit il y a puissance de calcul ^^
Les valeurs recommandées se situent entre 5 et 10 historiques de mot de passe généralement.

Sachant que c'est du one shot et qu'on ne change pas non plus son mot de passe toutes les 30 secondes ça va la puissance de calcul.
0  0 
Avatar de walfrat
Membre émérite https://www.developpez.com
Le 04/02/2022 à 16:02
Citation Envoyé par Fagus Voir le message
* ça coûte plus cher en CPU, mais on peut aussi tester le mot de passe contre un gros dictionnaire de mots de passe (après avoir nettoyé les caractère non-alphabétiques). ça éliminera à peu près tous les pass bidon.

* S'il y a une politique de renouvellement, ça devient plus complexe pour éviter d'avoir une itération du même pass (genre toto2022 juste après toto2021 ) vu qu'on est pas sensé stocker autrement qu'en hash. Mais on peut aussi muter le nouveau pass caractère par caractère et voir si on tombe pas sur le hash de l'ancien pass... (ou trouver quelqu'un qui sait calculer la distance de Levenshtein en chiffrement homomorphe, si ça existe...)
Laisse mon itération tranquille, déjà que a chaque fois que je change, y'a un truc que je zappe qui verrouille mon compte au moins une fois, j'ai mieux a faire que de regénérer des (oui des, parce que plusieurs domaine windows) vrais mots de passe tous frais tout les deux foutus mois.
0  0 
Avatar de Fagus
Membre expert https://www.developpez.com
Le 05/02/2022 à 12:19
Citation Envoyé par walfrat Voir le message
Laisse mon itération tranquille, déjà que a chaque fois que je change, y'a un truc que je zappe qui verrouille mon compte au moins une fois, j'ai mieux a faire que de regénérer des (oui des, parce que plusieurs domaine windows) vrais mots de passe tous frais tout les deux foutus mois.
Oui, je fais la même chose sur les accès dont il faut changer le mot de passe régulièrement. C'est typiquement à ça qu'on aboutit quand l'admin a une mauvaise politique de pass. Tous ceux qui ont pu obtenir un accès privilégié à un système se sont vite rendu compte que tout le monde utilise des itérations quand c'est possible... C'est sans doute pour ça que la double authentification a été inventée.
0  0 
Avatar de
https://www.developpez.com
Le 01/01/2022 à 22:32
Bonsoir

Pourquoi les outils d’analyse de mot de passe sont inefficaces face aux comportements humains ?
Tout simplement que les programmes automatiques ne peuvent pas tenir compte de notions "contexte/concept" qu'il y a derrière un mot de passe.

Qu'en pensez-vous ?
Comme précité , pour une notion de contexte/concept il faut un cadre. Par exemple dans une entreprise "toto", c'est mettre des verrous sur de mots de passes en lien avec le nom ou les marques de l’entreprise.
0  1