Sécurité : des chercheurs de Microsoft conseillent le recours aux mots de passe faibles

**Hinault Romaric** · 17/07/2014, 11h27

Sécurité : des chercheurs de Microsoft conseillent le recours aux mots de passe faibles
et leur réutilisation pour conserver la matière grise

Un conseil des chercheurs de Microsoft qui pourrait être qualifié « d’absurde » par un expert en sécurité, mais qui n’est pas, cependant, dénué de tout sens, vu l’analyse apportée dans le rapport qu'ils ont publié.

Le mot de passe est un des éléments essentiels de la sécurité des systèmes d’information. Le couple mot de passe/identifiant de l’utilisateur est le moyen d’authentification le plus utilisé par les services en ligne.

Compte tenu de la sensibilité de cette information, il est conseillé de toujours créer un mot de passe fort, en respectant certaines consignes. Les internautes doivent également éviter d’utiliser le même mot de passe sur plusieurs services.

Cependant, au vu du nombre de services nécessitant une authentification qui sont utilisés sur internet, il est pratiquement impossible pour un humain de créer un mot de passe fort pour chacun, et de le retenir.

La stratégie pour faire face à ce problème serait l’utilisation d’un gestionnaire de mots de passe. Cependant, selon les experts de Microsoft, le recours à un gestionnaire de mots de passe peut poser plus de problèmes qu’il n’en résout.

Bien qu’ils permettent l’utilisation de mots de passe entièrement aléatoires et uniques, les gestionnaires de mots de passe ont un point de défaillance important, selon Microsoft : les utilisateurs peuvent perdre ou oublier le mot de passe de leur gestionnaire de mots de passe, ou le service Cloud qui héberge leurs mots de passe peut être piraté. De plus, stocker les mots de passe sur le client sacrifie aussi la portabilité.

Pour y remédier, les chercheurs de Microsoft suggèrent d’avoir recours à des mots de passe faibles et de les réutiliser pour les sites ne disposant pas d’informations précieuses concernant l'utilisateur, et de concentrer les efforts sur la mémorisation que nécessite un mot de passe fort pour des services plus critiques.

Ils conseillent aux internautes de diviser leurs mots de passe en deux catégories. La première pour les mots de passe forts pouvant être difficilement compromis, qui seront utilisés pour les services bancaires, les comptes de messagerie, etc. La seconde catégorie, constituée des mots de passe faibles, servira pour des sites, forums, où l’internaute a besoin de se connecter pour commenter, mais jamais pour des transactions bancaires.

« Pour être réaliste, une gestion efficace des mots de passe devrait envisager des attaques et minimiser la somme des pertes et de l’effort humain », conclut le rapport de Microsoft.

Source : Microsoft Research

Et vous ?

Qu’en pensez-vous ? Pour ou contre ? Pourquoi ?

**eldran64** · 17/07/2014, 11h50

C'est une excellente idée que je met déjà en pratique.
Et pour les mots de passes fort des sites "sensibles" (paypal & co), j'utilise des mots de passes fort et unique.

**Jbx 2.0b** · 17/07/2014, 11h53

C'est exactement ce que je fais.
J'ai un mot de passe très simple, pour tout ce que je qualifierais de "services poubelle", souvent parce qu'on m'oblige à créer un compte alors que je considère que je n'en ai pas besoin. Et je complexifie ce mot de passe au fur à mesure de la criticité du service, en ajoutant autour de celui-ci (que je qualifierais de "noyau") des caractères. Les services les plus critiques étant pour moi les boîtes mail, vu que c'est le point d'entrée pour récupérer l'ensemble des autres mots de passe !
Au final je jongle avec des mots de passe qui comportent 6 chiffres au minimum, à des mots de passe de 16 caractères alphanumériques et caractères spéciaux. Et comme leur complexité est fonction de la criticité du site, je me trompe rarement plus d'une fois

**Uranne-jimmy** · 17/07/2014, 11h55

Plus que pertinent ça me semble logique, voir même normal Oo
Je vois pourquoi on devrait attendre l'avis de spécialistes pour trouver cette évidence ^^
Quand comme moi on a un accès à beaucoup de sites, avec pour beaucoup d'entre eux, très peu d'incidence réelle en cas de hack, on va pas s'amuser à avoir whatmille mot de passe de grande complexité, c'est un peu comme enfiler une combinaison de cosmonaute pour sortir de chez soi, ça rime à rien.

**pmithrandir** · 17/07/2014, 12h00

Ca parait logique, mais nombre de site peu important n'hésite pas à demander des mots de passe fort, alors que le besoin de sécurité est faible.

Montrer que la chose n'est pas dogmatique me parait donc intelligent.

**benjani13** · 17/07/2014, 12h59

Envoyé par Hinault Romaric

Pour pallier à cela, les chercheurs de Microsoft suggèrent d’avoir recours à des mots de passe faibles et de les réutiliser pour les sites ne disposant pas d’informations précieuses concernant l'utilisateur, et de concentrer les efforts sur la mémorisation que nécessite un mot de passe fort pour des services plus critiques.

Ils y avait vraiment besoin d'une équipe de chercheurs pour en arriver là?

**LSMetag** · 17/07/2014, 13h15

Ca paraît logique en effet.
Seulement utiliser des mots de passe faibles et uniques sur plusieurs services permet de donner des pistes pour décoder d'autres éléments.
Et ce n'est jamais sympa lorsque quelqu'un s'empare de ton compte pour te discréditer sur des forums.

Je reste au gestionnaire de mots de passe qui crypte les mots de passe avant de les enregistrer et qui a 2 sauvegardes : leurs serveurs et en local.

Quand au mot de passe d'activation, il est fort mais inoubliable pour moi.

**phmatray** · 17/07/2014, 13h25

Un article qui brasse du vent tellement cela semble logique.

Ces jours-ci, j'ai eu l'occasion de lire un article intéressant sur Comment un mot de passe à changé ma vie.
Cet article contient également quelques conseils de sécurité qui sembleront évidents mais que l'on oublie trop souvent comme le changement régulier de mot de passe.

Outre cet article, je me pose une question.
Quand viendra l'authentification rétinienne qui éviterait de générer et retenir des mots de passe qui peuvent être cracké par ingénierie sociale ?

**Zirak** · 17/07/2014, 13h34

Envoyé par phmatray

Un article qui brasse du vent tellement cela semble logique.

Amen.

Envoyé par phmatray

Outre cet article, je me pose une question.
Quand viendra l'authentification rétinienne qui éviterait de générer et retenir des mots de passe qui peuvent être cracké par ingénierie sociale ?

Oui comme ça pour se faire pirater son compte en banque, il faudra d'abord se faire arracher un oeil, quelle perspective réjouissante (pas tapé

)

**Bestel74** · 17/07/2014, 13h50

Personnellement, j'utilise le même système avec 3 niveaux de sécurité, car je prends aussi en compte le "sérieux" du site... car mettre son mot de passe fort (26 caractères pour moi A-Z a-z 0-9 + spéciaux) sur un site ou il sera stocké en MD5...

(c'est d'ailleurs une des raison pour lesquelles mon adresse hotmail est devenu ma poubelle, impossible de mettre mon mot de passe fort...

)

**Saverok** · 17/07/2014, 14h01

Envoyé par phmatray

Quand viendra l'authentification rétinienne qui éviterait de générer et retenir des mots de passe qui peuvent être cracké par ingénierie sociale ?

Le hic avec la biométrie est qu'une fois que tu te fais voler ton empreinte numérique, tu es foutu car impossible de changer cette empreinte (je ne suis pas sûr que changer la cornée soit suffisant pour modifier l'empreinte rétinienne).
Avec un mot de passe, s'il est corrompu, tu peux le changer.

Sans compter que les critères biométriques peuvent évoluer temporairement ou de manière permanente (infection, accident, ...)

**doublex** · 17/07/2014, 14h39

Les experts en sécurité de la police conseillent de ne pas se balader tout nu dans le 93 avec un grand panneau "Je hais les Noirs".

**tiresias54** · 17/07/2014, 15h36

C'est exactement ce que je fait depuis des années. Merci aux experts de Microsoft pour cette brillante idée originale.

**schonai** · 18/07/2014, 09h32

Envoyé par phmatray

Quand viendra l'authentification rétinienne qui éviterait de générer et retenir des mots de passe qui peuvent être cracké par ingénierie sociale ?

L'ingénierie social fonctionnent si il y a de la sémantique dans le mot de passe.

Comme l'a dit phmatray, ils brassent du vent. Un pirate va t'il vraiment s'attaquer à un ptit internaute directement ? Non, quand on fait une attaque c'est pour récupérer plusieurs millier de compte, on attaque directement le service. Et on en arrive au vrai soucis au vu du nombre de site (dont ceux de l'administration fr) qui limite la longueur des mots de passe à 8 caractères et/ou sont capables de le renvoyer par mail en clair (le hash c'est pour les chiens ?). Bref demander au moldu de faire ce que tout les pros ne font pas...

**trace_de_pat** · 25/07/2014, 18h29

Ca fait des années que je pratique ce conseil. Et que je change régulièrement les uns et les autres, forts, mais très facile à retenir pour moi.
Par contre, la gestion des mots de passe n'est pas "unifiée". Certains sites ne prennent que les chiffres ( téléphonie par ex.), d'autres refusent les mots de passe de plus de 8 caractères, et la, ça devient coton, parce que je dois soit amputer, soit modifier mes mots de passe et je me retrouve à devoir quand même en gérer plus.

**bes51** · 26/07/2014, 09h53

Les mots de passe bancaires sont faibles par définition : 6 chiffres.
Mais ils sont renforcés par plusieurs couches :
- interface de saisie
- envoi de SMS.
Il est donc indispensable de protéger son micro et son téléphone.

Je suis assez d'accord avec l'article ; les mots de passe, quand on en a une centaine à gérer, doivent être mnémotechniques.
Quant à mettre 26 lettres avec des caractères spéciaux, ce n'est pas réaliste ; le mot de passe de mon micro qui de met en veille au bout de 2 minutes et que je retape 50 fois par jour est forcément court.

Celui qui avait raison 30 ans avant tout le monde, c'était Moreno : le sésame au doigt (l'ancêtre de la carte à puce était une bague).

**marc_ch** · 26/07/2014, 10h04

Les conclusions de l'article me paraissent logiques. Cependant il existe des gestionnaires de mots de passe tels KeePassX ou PINs450 qui génèrent des mots de passe forts. S'ils sont stockés sur une clé USB qui se trouve dans ma poche, ils sont en sécurité. Le seul problème que je me pose, et il me serait agréable que quelqu'un y réponde, ces logiciels sont-ils fiables ou peuvent-ils être des chevaux de Troie ?

**larsal007** · 26/07/2014, 10h59

Déjà en pratique. Et c'est fort ... pratique.

**Denis la Malice** · 26/07/2014, 16h17

Un mot de passe sert à se préserver des usurpations d'identité. Classer ces dernières en 2 catégories suivant qu'elles soient bénignes ou grave est inconscient. Toutes les usurpations d'identité sont sérieuses. Faciliter la tâche des "méchants" en mettant à leur disposition un compte qui masque leur identité parce qu'il a été créé par un autre, c'est se rendre complice des méfaits qui vont suivre.
Préconiser de baisser la sécurité parce qu'on est incapable de proposer des solutions pour l'améliorer est un aveu d'incompétence.
Cet article avait sa place dans l'édition du 1ier avril.

**Matthieu Vergne** · 27/07/2014, 23h38

Je fais aussi déjà la même chose. Donc rien de bien nouveau sous le soleil. Comme quoi, chez Microsoft, ils ont de bonnes idées, mais ils doivent réfléchir longtemps pour les avoir... Quoi que si ça se trouve ils l'ont chopé à quelqu'un dans le train encore une fois.

Sécurité : des chercheurs de Microsoft conseillent le recours aux mots de passe faibles

Discussions similaires

Partager

Partager