IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Pourquoi les outils d’analyse de mot de passe sont inefficaces face aux comportements humains ?


Sujet :

Sécurité

  1. #1
    Futur Membre du Club
    Homme Profil pro
    Inscrit en
    Décembre 2021
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : Décembre 2021
    Messages : 1
    Points : 5
    Points
    5
    Par défaut Pourquoi les outils d’analyse de mot de passe sont inefficaces face aux comportements humains ?
    Pourquoi les outils d’analyse de mot de passe sont inefficaces face aux comportements humains ? par Patrick Tilley, Product Security Engineer, chez Pathwire

    Nom : Patrick Tilley.jpeg
Affichages : 79697
Taille : 55,4 Ko
    Patrick Tilley

    L'année dernière, la cybercriminalité a augmenté de 600 %, profitant pleinement du développement du travail à distance. Avec la croissance constante de la numérisation, les entreprises et les consommateurs doivent prendre des précautions supplémentaires en matière de sécurité.

    Un compte de message compromis est aujourd’hui pris très au sérieux, car il expose l'utilisateur final à un risque d'usurpation d'identité, de fraude au compte bancaire ou à la carte de crédit, voire pire puisque l’auteur de la menace peut se faire passer pour un utilisateur légitime et continuer à tromper d'autres victimes.

    De nombreux facteurs peuvent contribuer à la compromission d'un compte, à commencer par l'une des premières choses que les gens configurent lorsqu'ils créent un compte, à savoir leur mot de passe. Si des mots de passe robustes sont essentiels à la sécurité, leur création peut sembler fastidieuse aux utilisateurs qui, par défaut, optent pour des mots de passe souvent faibles. Une mauvaise habitude qu’il va falloir s’efforcer d’éliminer.

    Analyse des règles et exigences

    De nombreuses organisations intègrent un compteur de force de mot de passe sur le formulaire d'ouverture de compte afin d'encourager la création de mots de passe plus robustes. Parmi les exigences ou règles les plus courantes, citons :
    • Comporter au moins huit caractères
    • Comprendre au moins une lettre majuscule
    • Inclure au moins une lettre minuscule
    • Inclure au moins un chiffre
    • Inclure au moins un caractère spécial


    Malheureusement ces règles, assez standards pour les organisations aujourd'hui, ne suffisent pas à bloquer la plupart des pirates.

    Les failles humaines donnent l’avantage aux hackers

    Inclure l’ensemble des règles évoquées ci-dessus au sein d’un mot de passe constitue un premier pas dans la bonne direction, même si cela ne le rend pas nécessairement plus difficile à cracker. Pourquoi ? Parce que « Motdepasse1! » respecte l’ensemble des conditions mais n’est pas robuste pour autant. De manière générale, les internautes sont de mauvais générateurs aléatoires de mots de passe. Ils optent souvent pour des mots ou des phrases qui ont une signification particulière pour eux. Et le cerveau est également programmé pour utiliser des mots associés lorsqu'il est exposé à un environnement spécifique.

    Security Boulevard a analysé les 250 meilleurs mots de passe trouvés sur le Dark Web. Il ressort de cette analyse que les catégories d'informations les plus utilisées pour générer de mauvais mots de passe en 2020 étaient les noms, les sports, la nourriture, les lieux, les animaux et les personnes/personnages célèbres. La plupart des mots de passe proviennent de ces groupes : 59 % des américains utilisent ainsi le nom d'une personne ou l'anniversaire d'un proche de la famille dans leurs mots de passe, 33 % incluent le nom d'un animal de compagnie et 22 % utilisent leur propre nom. En outre, un internaute réutilise en moyenne 14 fois son mauvais mot de passe.

    Dépasser les règles et la nature humaine

    Dans cette optique, comment juger la force du mot de passe créé par un utilisateur ? Pour commencer, l'un des moyens les plus efficaces consiste à les comparer à une base de données d'informations d'identification exposées et hachées.

    L'une des plus connues est haveibeenpwned.com. Les organisations peuvent se connecter au site web et voir si le mot de passe qu'une personne essaie d'utiliser a été exposé. Si tel est le cas, l'utilisateur ne devrait pas être en mesure de poursuivre le processus. Un autre avantage est d'encourager l'utilisateur à changer ce mot de passe en particulier s'il l'utilise à d'autres fins.

    En outre, les entreprises devraient également signaler les mots de passe qui comportent moins de 10 caractères ou qui comportent toute information fournie précédemment dans le formulaire d'inscription, comme le nom de l’utilisateur, le nom de la société, le nom de domaine, etc.

    Vérifier la prévisibilité d’un mot de passe

    Il peut arriver néanmoins qu'un mot de passe ne figure pas dans la liste des hachages de mots de passe exposés ou qu'il réponde à d'autres exigences. Heureusement, il existe des mesures supplémentaires que les entreprises peuvent prendre dans ce cas, à commencer par calculer son entropie pour mesurer sa robustesse. L’entropie permet d’estimer à quel point un mot de passe est prévisible en fonction de sa longueur et des caractères utilisés pour le composer.

    Si l’on se penche sur les mots de passe faibles qui n'ont pas encore fait l'objet d'une fuite ou d'un craquage, le recours à l'entropie permet de transmettre un message à l'utilisateur par le biais d'un compteur de force de mot de passe et lui montrer qu'il devrait opter pour quelque chose de plus sécurisé.

    Mesurer la force d'un mot de passe en se basant uniquement sur son entropie serait cependant une erreur. Prenons l'exemple de « Motdepasse1! ». Ce mot de passe est malheureusement assez courant et peut être facilement deviné. Un outil d’analyse des mots de passe, ou « password meter », avec des exigences minimales de longueur de caractères, comme nous l'avons vu, est dans ce cas imparfait. Le mot de passe choisi en exemple serait en effet qualifié de « très fort », alors qu’en l’état, il apparait plus de 400 fois sur haveibeenpwned.com.

    Prenons un autre exemple avec un mot de passe composé de cinq mots choisis au hasard, sans majuscules, sans symboles spéciaux, sans chiffres, et dont la longueur de chaque mot varie.

    Pour cet exemple, nous utiliserons les mots « chien », « pot », « genou », « caillou » et « chou ». En termes d’entropie, ce mot de passe n’utilise que des petits caractères et sera estimé comme « faible » au regard de sa complexité. Pourtant, il n’a pas été volé, si l’on se fie aux réponses de la base haveibeenpwned.com.

    Si l'on tient compte du nombre de permutations et de combinaisons dont disposent les utilisateurs lorsqu'ils choisissent cinq mots au hasard parmi les mots de trois, quatre et cinq lettres par exemple, le mot de passe peut s’avérer très complexe.

    L’indication fournie par haveibeenpwned n’est pas une garantie : ce n'est pas parce qu'il n'a pas été volé qu'il doit nécessairement être la norme en matière de mots de passe. Mais il est certain qu’il plus facile à mémoriser par les humains, tout en étant plus difficile à craquer pour les ordinateurs.

    Pourquoi ne pas faire confiance au Password Meters

    Nous avons pu voir que les exigences communes en matière de mot de passe ne fonctionnent pas bien et que l'entropie est imparfaite. Comment les ingénieurs peuvent-ils aider les utilisateurs finaux à se protéger ?

    Les entreprises devraient envisager un compteur de force de mot de passe capable d’aller au-delà de la nature humaine. En plus de fournir un retour d'information sur le mot de passe lui-même, il pourrait suggérer la mise en place d'une authentification multifactorielle et faire ainsi passer le message que des mesures de sécurité supplémentaires renforcent la protection.

    Les ingénieurs doivent également tenir compte du fait que la plupart des compteurs sont défectueux en raison du renforcement positif. Dès qu'une personne remplit les conditions requises, elle reçoit des félicitations sur la qualité de son mot de passe et se voir signifier qu'elle n'a rien d'autre à faire. En d'autres termes, elle s’imagine donc que son mot de passe ne sera jamais compromis et qu’elle n’a aucune raison de s’inquiéter.

    Ce que les organisations devraient s'efforcer de faire, c'est de challenger les utilisateurs finaux sur le choix de leur mot de passe la plupart du temps – et se montrer indifférentes le reste du temps. Aujourd'hui, le mot de passe ne constitue pas une porte infranchissable pour les hackers. Les entreprises doivent encourager les mesures de sécurité supplémentaires.

    Aux développeurs qui se posent la question, je ne recommanderai pas la mise en place d’un indicateur de force des mots de passe, même si dans l'ensemble, il est difficile de créer un bon indicateur et que le risque existe de voir les utilisateurs créer des mots de passe plus faibles sans ces compteurs. Je pense que l'utilisation de ressources comme haveibeenpwned.com pour vérifier les mots de passe exposés est beaucoup plus robuste que l'invention et l'utilisation d'algorithmes de vérification de la force.

    L'utilisation d'un gestionnaire de mots de passe capable de générer des mots de passe à partir d'un ensemble suffisamment large de caractères pour atteindre le niveau d'entropie souhaité est l'une des meilleures options actuelles pour créer des mots de passe forts et uniques.

    Et même dans ces conditions, les utilisateurs doivent envisager d'utiliser toutes les autres options de sécurité disponibles, telles que les connexions sans mot de passe, les clés de sécurité, les applications d'authentification ou toute autre méthode d'authentification multifactorielle disponible, au-delà de l'utilisation d'un simple mot de passe, afin de se protéger efficacement face aux cyber menaces.

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Les conseils pour protéger son identité numérique dans le nouveau méta-univers, par Kaspersky

    La sécurité dans le cloud est également l'affaire des utilisateurs, par Edouard Camoin, VP Résilience chez 3DS OUTSCALE et Matthieu Bonenfant, Chief Marketing Officer chez Stormshield

    Cybersécurité : 66 statistiques sur les mots de passe qui vont changer vos habitudes en ligne, par Panda Security

  2. #2
    Invité
    Invité(e)
    Par défaut
    Bonsoir

    Pourquoi les outils d’analyse de mot de passe sont inefficaces face aux comportements humains ?
    Tout simplement que les programmes automatiques ne peuvent pas tenir compte de notions "contexte/concept" qu'il y a derrière un mot de passe.

    Qu'en pensez-vous ?
    Comme précité , pour une notion de contexte/concept il faut un cadre. Par exemple dans une entreprise "toto", c'est mettre des verrous sur de mots de passes en lien avec le nom ou les marques de l’entreprise.

  3. #3
    Membre expert
    Profil pro
    programmeur du dimanche
    Inscrit en
    Novembre 2003
    Messages
    891
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : programmeur du dimanche
    Secteur : Santé

    Informations forums :
    Inscription : Novembre 2003
    Messages : 891
    Points : 3 838
    Points
    3 838
    Par défaut Si on veut, on peut aussi écrire un testeur de mots de passe qui marche
    * ça coûte plus cher en CPU, mais on peut aussi tester le mot de passe contre un gros dictionnaire de mots de passe (après avoir nettoyé les caractère non-alphabétiques). ça éliminera à peu près tous les pass bidon.

    * S'il y a une politique de renouvellement, ça devient plus complexe pour éviter d'avoir une itération du même pass (genre toto2022 juste après toto2021 ) vu qu'on est pas sensé stocker autrement qu'en hash. Mais on peut aussi muter le nouveau pass caractère par caractère et voir si on tombe pas sur le hash de l'ancien pass... (ou trouver quelqu'un qui sait calculer la distance de Levenshtein en chiffrement homomorphe, si ça existe...)

  4. #4
    Expert confirmé Avatar de AoCannaille
    Inscrit en
    Juin 2009
    Messages
    1 430
    Détails du profil
    Informations forums :
    Inscription : Juin 2009
    Messages : 1 430
    Points : 4 783
    Points
    4 783
    Par défaut
    Citation Envoyé par Fagus Voir le message
    * S'il y a une politique de renouvellement, ça devient plus complexe pour éviter d'avoir une itération du même pass (genre toto2022 juste après toto2021 ) vu qu'on est pas sensé stocker autrement qu'en hash. Mais on peut aussi muter le nouveau pass caractère par caractère et voir si on tombe pas sur le hash de l'ancien pass... (ou trouver quelqu'un qui sait calculer la distance de Levenshtein en chiffrement homomorphe, si ça existe...)
    Une technique plus simple existe : On demande à entrer l'ancien mot de passe avant le nouveau. On a donc l'ancien mot de passe en clair, qu'on peut comparer au hash stocké évidement, mais également au nouveau mot de passe pour constater ou pas des ressemblances.

  5. #5
    Membre éprouvé
    Homme Profil pro
    Architecte cybersécurité
    Inscrit en
    Avril 2014
    Messages
    530
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Architecte cybersécurité
    Secteur : Industrie

    Informations forums :
    Inscription : Avril 2014
    Messages : 530
    Points : 1 238
    Points
    1 238
    Par défaut
    Citation Envoyé par AoCannaille Voir le message
    Une technique plus simple existe : On demande à entrer l'ancien mot de passe avant le nouveau. On a donc l'ancien mot de passe en clair, qu'on peut comparer au hash stocké évidement, mais également au nouveau mot de passe pour constater ou pas des ressemblances.
    Et quand l'historique de mot de passe est configuré pour retenir 24 mots de passes?

  6. #6
    Expert confirmé Avatar de AoCannaille
    Inscrit en
    Juin 2009
    Messages
    1 430
    Détails du profil
    Informations forums :
    Inscription : Juin 2009
    Messages : 1 430
    Points : 4 783
    Points
    4 783
    Par défaut
    Citation Envoyé par tabouret Voir le message
    Et quand l'historique de mot de passe est configuré pour retenir 24 mots de passes?
    Ah, là effectivement, soit il y a mauvaise pratique, soit il y a puissance de calcul ^^

  7. #7
    Membre éprouvé
    Homme Profil pro
    Architecte cybersécurité
    Inscrit en
    Avril 2014
    Messages
    530
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Architecte cybersécurité
    Secteur : Industrie

    Informations forums :
    Inscription : Avril 2014
    Messages : 530
    Points : 1 238
    Points
    1 238
    Par défaut
    Citation Envoyé par AoCannaille Voir le message
    Ah, là effectivement, soit il y a mauvaise pratique, soit il y a puissance de calcul ^^
    Les valeurs recommandées se situent entre 5 et 10 historiques de mot de passe généralement.

    Sachant que c'est du one shot et qu'on ne change pas non plus son mot de passe toutes les 30 secondes ça va la puissance de calcul.

  8. #8
    Membre émérite
    Profil pro
    Inscrit en
    Juin 2009
    Messages
    951
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2009
    Messages : 951
    Points : 2 908
    Points
    2 908
    Par défaut
    Citation Envoyé par Fagus Voir le message
    * ça coûte plus cher en CPU, mais on peut aussi tester le mot de passe contre un gros dictionnaire de mots de passe (après avoir nettoyé les caractère non-alphabétiques). ça éliminera à peu près tous les pass bidon.

    * S'il y a une politique de renouvellement, ça devient plus complexe pour éviter d'avoir une itération du même pass (genre toto2022 juste après toto2021 ) vu qu'on est pas sensé stocker autrement qu'en hash. Mais on peut aussi muter le nouveau pass caractère par caractère et voir si on tombe pas sur le hash de l'ancien pass... (ou trouver quelqu'un qui sait calculer la distance de Levenshtein en chiffrement homomorphe, si ça existe...)
    Laisse mon itération tranquille, déjà que a chaque fois que je change, y'a un truc que je zappe qui verrouille mon compte au moins une fois, j'ai mieux a faire que de regénérer des (oui des, parce que plusieurs domaine windows) vrais mots de passe tous frais tout les deux foutus mois.

  9. #9
    Membre expert
    Profil pro
    programmeur du dimanche
    Inscrit en
    Novembre 2003
    Messages
    891
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : programmeur du dimanche
    Secteur : Santé

    Informations forums :
    Inscription : Novembre 2003
    Messages : 891
    Points : 3 838
    Points
    3 838
    Par défaut
    Citation Envoyé par walfrat Voir le message
    Laisse mon itération tranquille, déjà que a chaque fois que je change, y'a un truc que je zappe qui verrouille mon compte au moins une fois, j'ai mieux a faire que de regénérer des (oui des, parce que plusieurs domaine windows) vrais mots de passe tous frais tout les deux foutus mois.
    Oui, je fais la même chose sur les accès dont il faut changer le mot de passe régulièrement. C'est typiquement à ça qu'on aboutit quand l'admin a une mauvaise politique de pass. Tous ceux qui ont pu obtenir un accès privilégié à un système se sont vite rendu compte que tout le monde utilise des itérations quand c'est possible... C'est sans doute pour ça que la double authentification a été inventée.

Discussions similaires

  1. Réponses: 3
    Dernier message: 02/09/2014, 10h51
  2. Problème avec les comptes utilisateur sans mot de passe
    Par andrianiaina dans le forum Windows XP
    Réponses: 8
    Dernier message: 16/04/2011, 09h05
  3. Réponses: 0
    Dernier message: 10/11/2010, 16h15
  4. [XL-2003] Lister les fichiers protégés par mot de passe
    Par macat dans le forum Macros et VBA Excel
    Réponses: 0
    Dernier message: 27/10/2010, 12h04
  5. Gérer les erreurs dans le mot de passe protégeant la feuille
    Par Maverick27 dans le forum Macros et VBA Excel
    Réponses: 2
    Dernier message: 09/06/2009, 20h04

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo