Pourquoi fG2mk?D5 n’est pas un bon mot de passe ?

Regardez les mots de passe suivants : fG2mk?D5 , UnePetiteSourisVerte .

Lequel de ces deux mots de passe prend le plus de temps à un ordinateur pour le craquer ? Et lequel pensez-vous être le plus facile à retenir ? Le deuxième mot de passe répond aux deux critères précédents. Les gens sont encouragés à créer des mots de passe tels que le premier. Ils ont appris à concevoir des mots de passe difficiles à mémoriser sans aucune raison valable.

Il existe de multiples critères étranges sur internet. Nous pouvons citer par exemple la validation. C’est alors le devoir d’un développeur front-end de s’assurer que l’utilisateur n’entre rien de malveillant dans les champs de saisie.

La validation a été implémentée pour plusieurs raisons, l’une d’entre elles est la sécurité. Elle permet d’éviter qu’un utilisateur entre un code dans un champ de saisie qui pourrait altérer la base de données ou d’autres actions malveillantes. Le développeur peut aussi mettre en place une colonne de base de données qui n’autorise que des nombres, ce qui signifie qu’un symbole qui n’est pas un nombre renverrait un message d’erreur.

Mais la raison principale est d’aider l’utilisateur à éviter les erreurs.

Craquer vos mots de passe

Les développeurs front-end ont pour but d’aider les utilisateurs à choisir un mot de passe fiable. Il est censé correspondre à au moins huit caractères incluant des majuscules, minuscules et un nombre et on peut ajouter un caractère spécial tel qu’un point d’interrogation ou d’exclamation.

Voici un exemple de ce qui est considéré comme étant un mot de passe robuste : fG2mk?D5. Puisqu’on vous demande souvent d’entrer ce type de mot de passe, il serait normal de le considérer comme un bon mot de passe.

Mais ce n’est pas le cas.

Premièrement, comment peut-on le retenir ? Habituellement, les utilisateurs ne peuvent pas s’en souvenir alors ils l’écrivent quelque part sur note par exemple. Ils finissent par être « piratés ».

Deuxièmement, les utilisateurs gardent le même mot de passe pour différents sites web car il est difficile de garder une trace de toute une liste de mots de passe complexes. Lorsque vous créez un compte pour un site web, un code transforme votre mot de passe en une succession de caractères appelée communément « cryptage ». Votre mot de passe ressemblera donc à ceci dans la base de données :

H5juybklqjfgklepq9kfh4jjfeoalkihhhklitzsbv7nolqaolNVhgLQPME0MPghn.

Bien que la base de données soit piratée, le hacker ne peut rien faire de cette information. Il est toutefois possible de comprendre quel était le mot de passe original si ce dernier est assez commun et l’algorithme assez simple mais un assez bon mot de passe correctement crypté est généralement sûr.

Le problème est que tous les sites ne cryptent pas les mots de passe. Si vous utilisez le même mot de passe sur différents sites web par exemple, vous pourriez tomber sur un site mal programmé qui enregistre votre mot de passe en texte brut dans sa base de données.

Si ce site est piraté, le hacker sera en possession de votre mot de passe qui est commun à tous vos comptes. Ceci arrive malheureusement bien plus souvent que ce que l’on peut croire.

Combien de temps faut-il pour craquer un mot de passe ?

Voici une chaine de caractère : hujkoplm. Il ne faut que quelques minutes à un ordinateur moderne pour le craquer. Il suffit de remplacer quelques caractères en chiffres, par exemple h9jko2lm, et vous obtenez un mot de passe qui prendra jusqu’à une heure à craquer. Vous pouvez aussi ajouter des majuscules (H9jko2lM) et cela prendra quelques jours. Mais si vous ajoutez encore des caractères spéciaux (H9jk ?2lM) il pourrait prendre jusqu’à un mois.

On obtient alors H9jk ?2lM qui est techniquement un mot de passe robuste. Personne ne peut le deviner, il ne figure dans aucune liste de mots de passe communs et un ordinateur aura besoin d’un certain temps pour le craquer. Mais un problème persiste : il est inconcevable de pourvoir retenir un tel mot de passe.

Regardez maintenant ce mot de passe : unebellepetitesourisverte (une belle petite souris verte). Il n’y a ni chiffre, ni caractère aléatoire, ni caractère spécial. Pourtant, ce mot de passe prendre des milliers d’années à être craqué par un ordinateur et ce temps augmentera considérablement à chaque fois que vous ajoutez un caractère.

Voici donc un bon mot de passe

Choisissez un mot de passe lié à une histoire. Besoin d’un mot de passe pour Amazon ? Que pensez-vous de : acheteurunjouracheteurtoujours(acheteur un jour acheteur toujours) ?

Vous avez ainsi un mot de passe puissant, facile à retenir et particulier à chaque site web. Il doit être fait de sorte que même les personnes qui vous connaissent le plus ne puissent pas le deviner. Vous ne parlez pas souvent des moutons ? optez pour ce mot de passe : jevoisparfoisunmoutonvoler (je vois parfois un mouton voler).

Ces mots de passe sont faciles à retenir et personne ne pourra les deviner.

Toutefois, certains sites web n’autoriseront pas ce type de mots de passe. Ils exigeront un chiffre, un caractère spécial ou jugeront que votre mot de passe est trop long. Vous pouvez alors ajouter un 1?Z à la fin de chaque mot de passe ou bien mettre (Acheteur1jouracheteurtoujours!).

Ainsi, Acheteur1jouracheteurtoujours ! et acheteurunjouracheteurtoujour sont tous deux impossibles pour un ordinateur à craquer. Les majuscules et les caractères spéciaux ne sont rien d’autre que des contraintes à satisfaire pour valider le mot de passe.

Les limites de cette méthode

L’attaque par dictionnaire permet à un hacker de trouver un mot de passe contenant des mots courants et faciles à retenir. Cette méthode est inopérante contre les systèmes utilisant des lettres aléatoires ainsi que des chiffres.

Ces attaques peuvent être évitées en introduisant un délai entre l’envoi du supposé mot de passe et la validation de ce dernier. Ainsi, il faudra attendre entre chaque essai de mot de passe. Il est nécessaire de limiter le nombre d’essais ou les nombres de connexions en parallèle.  Une méthode à envisager est le recourt à un password manager (Dashlane, Roboform, Nordpass). Ce dernier permet de chiffrer les mots de passe que vous utilisez afin d’optimiser votre sécurité.

Les ordinateurs quantiques et la cybersécurité

En 2019, IBM a lancé le premier ordinateur quantique commercial sous le nom de Q System One.

La puissance de calcul d’un ordinateur quantique permet de résoudre en un temps beaucoup plus restreint n’importe quel problème.

Le chiffrement actuel qui protège nos données peut alors être détruit à l’aide d’un ordinateur quantique.

Cependant, les chercheurs au sein d’IBM ont annoncé que grâce au système CRYSTALS basé sur des problèmes mathématiques insolubles aucune attaque algorithmique n’a présenté de succès.

Ainsi, la firme internationale espère protéger les données de ses utilisateurs tout en développant les ordinateurs quantiques.

4 commentaires sur “Pourquoi fG2mk?D5 n’est pas un bon mot de passe ?

Ajouter un commentaire

  1. C’est toute une histoire ! Pour tout il faut 1 identifiant associé à un mot de passe (MdP). Le souci est-il possible de tous les retenir ? Non, bien sûr !
    Que font les esprits simples ? Ils utilisent le même le plus souvent.
    Les navigateurs Chrome et Edge les retiennent, le plus souvent, mais ce n’est pas certain.
    C’est tout une histoire.
    Certains sites veulent des mots de passe longs et hétéroclites…
    Impossible de les retenir.
    Un exemple : Microsoft qui devrait changer de nom, je propose Microhard parce qu’avec eux, pour se faire reconnaître c’est plusieurs batailles homériques…
    Le mobile ayant joué un double rôle.
    Les banques ont suivi le pas.
    Pour la BNP j’ai cru devenir fou, ils réclamaient une clé à toutes les pages. Ayant appelé le Dteur Régional je lui ai demandé s’il voulait que je change de banque ? Il m’a avoué qu’il avait le même souci…
    Comme par hasard le trouble a cessé le lendemain !
    Toute une Histoire !

    Aimé par 1 personne

    1. Tout à fait d’accord avec vous…

      En effet, aujourd’hui afin de bénéficier de certains serices en ligne, nous devons nous authentifier et donc prouver notre identité pour éviter toute usurpation de cette dernière.

      Il existe actuellement trois façons de faire :
      1. La preuve par ce que je sais : mot de passe, tracé de déverrouillage, signature.
      2. La preuve par ce que je possède : carte à puce, clé USB, carte magnétique, RFID, un téléphone pour recevoir un code SMS.
      3. La preuve par ce que je suis : empreinte biométrique.

      Néanmoins, la première méthode reste la plus utilisée pour des raisons de simplicité. Cependant, il exite ce qu’on appelle l’Authentification multiple qui combine deux ou plus de ces méthodes.

      J'aime

      1. Cette énumération est exacte. Ce n’est ni amusant, ni rassurant, c’est navrant, consternant. Moi qui suis un adepte de Google, j’utilise depuis peu Edge, je me suis rendu compte que Chrome créait des difficultés à l’usage de WordPress. Du coup Google me relance chaque jour afin que je déclare Chrome navigateur par défaut… Ah, ah, ah trop drôle !

        J'aime

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Créez un site ou un blog sur WordPress.com

Retour en haut ↑

%d blogueurs aiment cette page :